From: Aliaksandr Ilyin 2:450/68 10 Dec 2018 16:29 +0200
To: Eugene Sharov 2:5000/196
Subject: файлсервер
Hello, Eugene Sharov. On 08.12.2018 14:34 you wrote: AI>> Имеется интернет Имеется довольно большой список файлов. Имеется AI>> некоторое количество пользователей. Пользователей надо разделить AI>> на группы: 1. Могут только заходить и смотреть ничего не скачивая AI>> 2. Могут скачивать только один файл в сутки 3. Могут скачивать AI>> только разрешенные количество файлов. ES> Озадачивался подобным вопросом, но увы, готовых решений не нашел. ES> Думал сделать самостоятельно, но сразу уткнулся в одну глобальную ES> проблему, а именно - однозначная идентификация пользователя. Хотя, ES> если у тебя предусмотрена регистрация и при этом абонент не ES> получает повышения привилегий до наступления некоего события ES> (поступления оплаты, скажем), то это упрощает задачу. Это так, регистрация обязательна -- Best regards! Posted using Hotdoged on Android
From: Valentin Kuznetsov 2:5053/51.400 25 Oct 2018 23:51 +0300
To: Eugene Muzychenko 2:5000/14
Subject: Типа, хакеpы. :)
Пpивет, Eugene! Отвечаю на письмо от 25 Oct 18 23:55:29 (AREA:RU.SECURITY) EM> За две недели получаю втоpое письмо от pазных "хакеpов" в EM> стиле "я взломал ваш паpоль "...", скачал все ваши контакты EM> и все ваши интимные фото, а также заснял на камеpу EM> устpойства, как вы дpочите на поpносайты, поэтому очень EM> хочу денег". :) Пеpвый хотел $7000, втоpому достаточно EM> $835. :) Откуда такой pазбpос по таксе - у них там до сих EM> поp не устоялись pеальные цены? :) ДА!!
From: Eugene Muzychenko 2:5000/14 15 Jun 2018 14:18 +0300
To: Alexey Vissarionov 2:5020/545
Subject: Механизм работы с USB-ключами
Привет! 15 Jun 18 12:00, you wrote to me: AV> Есть методы противодействия и хорошим троянам. Один из простейших - AV> автоматическая блокировка УПШ-цацки, если она воткнута дольшее, чем на AV> пару минут. Hедавно читал рассказ клиента банка, который подписал УПШ-ключом платежку, и хитрый троян в ту же минуту сгенерил и подписал еще одну. Хорошо, банк углядел там что-то необычное, и платеж приостановил. AV> Ну и подтверждение каждого криптопреобразования нажатием кнопки AV> (аппаратной, подключенной к УПШ-цацке) тоже бывает весьма полезным. Вот это было бы полезным, а такое бывает? Hикогда не слышал. Всего доброго! Евгений Музыченко eu-gene@muzy-chen-ko.net (все дефисы убрать)
From: Eugene Muzychenko 2:5000/14 15 Jun 2018 13:49 +0300
To: Alexey Vissarionov 2:5020/545
Subject: Механизм работы с USB-ключами
Привет! 15 Jun 18 12:00, you wrote to me: EM>> надо ж как-то оттуда выдрать и сертификат, и ключевую пару. AV> Сертификат - это открытый ключ, метаданные к нему, и все это подписано AV> удостоверяющим центром. Его можно хоть на заборе вывешивать. Я к тому, что секретный ключ привязан к сертификату, и его нужно именно добыть из токена, ибо сделать новый нельзя. Сам-то сертификат любой криптопровайдер даст экспортировать. AV> А в сабже хранится секретный ключ. И если его оттуда можно достать, то AV> это плохой, негодный сабж. Я в курсе, что негодный. :) Мне пока и не надо, чтоб он был годный - более важно иметь возможность использовать полученную ЭЦП с любым технически совместимым средством шифрования, а не только тем, которым она генерилась. AV> s/ключевой пары/секретного ключа/ AV> Ты их уже не первый раз путаешь. Я не путаю, так короче. :) AV> Если есть, то такими средствами лучше вообще не пользоваться. А чем пользоваться-то? :) Hасколько я знаю, в РФ невозможно получить ЭЦП в криптоключе, который затем можно было бы использовать с любым криптопровайдером. А вдумчиво изучать их все, а затем столь же вдумчиво искать УЦ, выдающий сертификат в нужном формате... AV> Сам ведь понимаешь, что причины этого - отнюдь не технические. Вполне технические - в нехватке нейронных связей в мозгах индивидов, имеющих отношение к. :) EM>> в суде можно грамотно отбрехаться от любой своей подписи. :) AV> Дохлый номер: "плохо хранил" приравнивается к "сам передал". Там неважно, как хранил. Фишка в том, что УЦ выдает уже готовый криптоключ, запросов на сертификат он не понимает. Следовательно, физически невозможно обеспечить нахождение секретного ключа в одних руках. А коли секретный ключ какое-то время был в руках УЦ - нехай они доказывают, что не копировали и не распространяли его (в том числе непреднамеренно). Сами ж себе злобные буратины - "аппарат имеется". :) Всего доброго! Евгений Музыченко eu-gene@muzy-chen-ko.net (все дефисы убрать)
From: Alexey Vissarionov 2:5020/545 15 Jun 2018 12:00 +0300
To: Eugene Muzychenko 2:5000/14
Subject: Механизм работы с USB-ключами
Доброго времени суток, Eugene! 15 Jun 2018 12:52:48, ты -> мне: AV>> Дык потому и криптопроцессор, что усерскому компутеру доверять AV>> нельзя. А для того, чтобы он не подписывал все подряд, специально AV>> разрабатывают криптопротоколы. EM> Которые спасают только продвинутого юзера, и только от сравнительно EM> тупых троянов. :) Понятно же, что доброму трояну вся эта машинерия EM> глубоко по барабану, и все держится лишь на том, сложный EM> универсальный троян банально дороже той же социальной инженерии. Есть методы противодействия и хорошим троянам. Один из простейших - автоматическая блокировка УПШ-цацки, если она воткнута дольшее, чем на пару минут. Причем блокировка бывает как учебной (выдернуть, воткнуть, работает), так и боевой (самоуничтожение ключа, после чего тупой бухгалтер идет на поклон к админу). Ну и подтверждение каждого криптопреобразования нажатием кнопки (аппаратной, подключенной к УПШ-цацке) тоже бывает весьма полезным. -- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii ... Какая я вам мама? Я вам в отцы гожусь
From: Alexey Vissarionov 2:5020/545 15 Jun 2018 12:00 +0300
To: Eugene Muzychenko 2:5000/14
Subject: Механизм работы с USB-ключами
Доброго времени суток, Eugene! 15 Jun 2018 12:45:40, ты -> мне: AV>> Если есть шифрующий софт, то сабж можно заменить флешкой. EM> Можно - теоретически. А практически - надо ж как-то оттуда EM> выдрать и сертификат, и ключевую пару. Сертификат - это открытый ключ, метаданные к нему, и все это подписано удостоверяющим центром. Его можно хоть на заборе вывешивать. А в сабже хранится секретный ключ. И если его оттуда можно достать, то это плохой, негодный сабж. EM>>> а внутренняя организация (файловая система, или как там это EM>>> называется). AV>> static const uint8_t curve3410_256_bit_key EM> И вкуда там эту кею прикладывать? :) С этим криптопроцессор сам разберется. AV>> Ну вот прямо так и спроси потавщика: как экспортировать сертификат AV>> в PEM? EM> поставщик криптософта отвечает, что предусмотрен экспорт только EM> голого сертификата, но не ключевой пары, которая якобы "защищена" s/ключевой пары/секретного ключа/ Ты их уже не первый раз путаешь. EM> (той самой security through obscurity). Это можно сказать только про "защищенное хранилище ключа" - которое хоть и неочевидным способом, но отдает этот самый ключ пользовательскому компутеру. EM> Говорят, где-то есть хакерские приблуды для конвертации, но я пока EM> так глубоко не вникал. Если есть, то такими средствами лучше вообще не пользоваться. EM> В любом случае на сайте той же ФHС реализована подпись исключительно EM> посредством плагина для браузера. По-человечески скачать документ, EM> подписать его у себя, проверить подпись собственными средствами, EM> и загрузить обратно, невозможно. Сам ведь понимаешь, что причины этого - отнюдь не технические. EM> С одной стороны, неудобно, а с другой - в суде можно грамотно EM> отбрехаться от любой своей подписи. :) Дохлый номер: "плохо хранил" приравнивается к "сам передал". -- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii ... Грязь (сущ.): любое вещество в самом неподходящем для него месте
From: Alexey Vissarionov 2:5020/545 15 Jun 2018 09:14 +0300
To: Nickita A Startcev 2:5030/777.319
Subject: Механизм работы с USB-ключами
Доброго времени суток, Nickita! 15 Jun 2018 06:28:36, ты -> Eugene Muzychenko: NAS> также может быть протокол шифрования -- льём данные в токен, NAS> вынимаем данные, поток (де)шифруется. Так не делают даже индусы. NAS> хотя, большие объёмы шифровать будет долго -- проще хранить NAS> на токене только пароли/ключи, а шифровать на полноценном ПК. Сабжи используют только для алгоритмов с открытым ключом. То есть, для пересылки, например, большого файла полагается сгенерировать ключ для симметричного алгоритма, зашифровать им файл, посчитать контрольную сумму зашифрованного файла, подписать ее сабжем, зашифровать сгенерированный ключ открытым ключом получателя и отправить ему зашифрованный файл, подписанный отправителем хеш и зашифрованный симметричный ключ. А получатель проверяет подпись хеша и целостность зашифрованного файла, и только после успешной проверки расшифровывает симметричный ключ своим сабжем. В частности, GPG работает именно так. -- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii ... Почему клинические идиоты лечатся амбулаторно?!
From: Eugene Muzychenko 2:5000/14 15 Jun 2018 08:52 +0300
To: Alexey Vissarionov 2:5020/545
Subject: Механизм работы с USB-ключами
Привет! 15 Jun 18 07:47, you wrote to Nickita A Startcev: AV> Дык потому и криптопроцессор, что усерскому компутеру доверять нельзя. AV> А для того, чтобы он не подписывал все подряд, специально AV> разрабатывают криптопротоколы. Которые спасают только продвинутого юзера, и только от сравнительно тупых троянов. :) Понятно же, что доброму трояну вся эта машинерия глубоко по барабану, и все держится лишь на том, сложный универсальный троян банально дороже той же социальной инженерии. Всего доброго! Евгений Музыченко eu-gene@muzy-chen-ko.net (все дефисы убрать)
From: Eugene Muzychenko 2:5000/14 15 Jun 2018 08:45 +0300
To: Alexey Vissarionov 2:5020/545
Subject: Механизм работы с USB-ключами
Привет! 15 Jun 18 07:00, you wrote to me: AV> Если есть шифрующий софт, то сабж можно заменить флешкой. Можно - теоретически. А практически - надо ж как-то оттуда выдрать и сертификат, и ключевую пару. EM>> а внутренняя организация (файловая система, или как там это EM>> называется). AV> static const uint8_t curve3410_256_bit_key = AV> Чем тебе не вариант? :-) И вкуда там эту кею прикладывать? :) AV> Ну вот прямо так и спроси потавщика: как экспортировать сертификат в AV> PEM? Поставщика чего? :) Если ключа - он ответит, что разработчик криптософта (того же КриптоПро) использует собственный формат, отличный от предложенного, поэтому такие вопросы нужно решать с ним. :) А поставщик криптософта отвечает, что предусмотрен экспорт только голого сертификата, но не ключевой пары, которая якобы "защищена" (той самой security through obscurity). Говорят, где-то есть хакерские приблуды для конвертации, но я пока так глубоко не вникал. В любом случае на сайте той же ФHС реализована подпись исключительно посредством плагина для браузера. По-человечески скачать документ, подписать его у себя, проверить подпись собственными средствами, и загрузить обратно, невозможно. С одной стороны, неудобно, а с другой - в суде можно грамотно отбрехаться от любой своей подписи. :) Всего доброго! Евгений Музыченко eu-gene@muzy-chen-ko.net (все дефисы убрать)
From: Alexey Vissarionov 2:5020/545 15 Jun 2018 07:47 +0300
To: Nickita A Startcev 2:5030/777.319
Subject: Механизм работы с USB-ключами
Доброго времени суток, Nickita! 15 Jun 2018 07:10:02, ты -> мне: EM>>> работа с USB-ключами [...] Хочется понять, в каких случаях EM>>> предлагается действительно надежное средство обеспечения EM>>> безопасности, а в каких - исключительно security through EM>>> obscurity. AV>> Если совсем кратко, они бывают двух видов: первый и самый массовый - AV>> хитрая флешка с хранящимися в ней ключом и сертификатом, второй и AV>> очень редкий - с полноценным криптопроцессором. AV>> Думаю, довольно очевидно, что первые - фуфло, а вторые - редкие и AV>> дорогие. NAS> имхо, если не нужны сертификации всякие, можно из любого NAS> микроконтроллерного набора сделать этакий (де)шифровальщик плюс NAS> хранилище паролей. Можно, разрешаю. NAS> но на затрояненной машине он будет не лучше обычной флешки. Дык потому и криптопроцессор, что усерскому компутеру доверять нельзя. А для того, чтобы он не подписывал все подряд, специально разрабатывают криптопротоколы. -- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii ... Бывают такие зайчики, от которых волки на деревья лезут