LINUX.ORG.RU
ФорумTalks

Смогут ли заблокировать шифрование как класс?

 , ,


1

2

Мне тут интересно стало. Возможно ли полностью исключить шифрование и функционирование защищённых соединений? Но при сохранении работоспособности внешнего интернета?

★★★★★

Нет, маловерятно. Но могут заставить использовать какой-то там ГОСТ-Кузнечик-Лисси-или-Что-там-оно-такое. А как читать это непотребство т.майор знает. Так что ответ и «нет» (не заблокируют) и «да» (сделают его бессмысленной тратой ресурсов).

Deleted
()

Ну, если устроить глобальный MitM то можно. Правда под тз все равно не очень подходит.

StReLoK ☆☆
()

стеганографию никто не отменял

дропать однозначно зашифрованные соединения можно, выявлять скрытую шифрованную нагрузку в открытом тексе тоже можно, но сложнее

в общем, возможность останется, но пропускная способность упадёт, если начнут блокировать

Harald ★★★★★
()
Ответ на: комментарий от StReLoK

Понял. Либо «блокировки» и у всех всё работает, либо «чебурнет» в сферическом вакууме, так?

burato ★★★★★
() автор топика
Ответ на: комментарий от Harald

Радиоканалы до 300 км со скоростью до 100 мбит/с даже школьники могут себе позволить. Так что пропускная способность это вопрос такое себе.

burato ★★★★★
() автор топика
Ответ на: комментарий от burato

Это как это ты на 300 км собрался радио на 100 мбит/с подымать имея в бюджете пачки две доширака? Направленной антенной можно нормально бить километров на 10-15, дальше уже сложно и нужен бюджет хотя бы в пару коробок доширака.

StReLoK ☆☆
()

Зачем так сложно? Просто обязать встраивать в браузеры необходимые сертификаты. А кто не согласится — в блокировку.
Можно, в принципе, и не заморачиваться, а обязать встраивать в операционки. С серьёзными игроками договорятся, а 1% никого не интересует.

dogbert ★★★★★
()
Ответ на: комментарий от Riniko

Ты наверное еще не слышал про Windows сертифицированную ФСТЭК и ФСБ России? Их давно уже юзают в госсекторе. Так что про сертификат это ты слабо замахнулся.

Promusik ★★★★★
()

при сохранении работоспособности внешнего интернета?

Зачем?

aidaho ★★★★★
()
Ответ на: комментарий от Promusik

В госсекторе вроде собираются переходить на Linux. Про закладки для АНБ я в курсе, про то что исходники ФСБ открыли тоже в курсе. Но это до десяточки было

Riniko ★★
()
Ответ на: комментарий от Riniko

Ну десяточку да, я уж не знаю как ее можно сертифицировать с таким вибратором в пользователя. Но я думаю и тут можно специальную сборочку намутить.

В госсекторе вроде собираются переходить на Linux

Для Linux нужно воняющих пользователей переучить, но это еще не проблема. Проблема в том что админы уже должны быть другой квалификации, а не галочкотыкатели в шиндоуз сервер. Для этого нужно старых админов разогнать/переучить и денег платить уже не как мамкиным админам. А у нас в зарплаты совсем не умеют, если ты не топменеджер Почты России.

Promusik ★★★★★
()
Ответ на: комментарий от Harald

Да это я сметафорил. Пока на 297 км я лишь боды передаю. Но если прижмёт я буду активнее работать в этом направлении.

burato ★★★★★
() автор топика

Нет, невозможно. Ибо стеганография и все дела. Даже Китай полностью задушить VPN-ы не смог - надо просто использовать менее популярные протоколы и сервера и всё работает. А он вложил в инфраструктуру блокировок столько денег, сколько у РФ в принципе нет.

KivApple ★★★★★
()
Ответ на: комментарий от KivApple

Блин, значит моя задумка с дальнобойным радиоинтернетом гавно... Правда я и не старался.

burato ★★★★★
() автор топика
Ответ на: комментарий от Promusik

Windows сертифицированную ФСТЭК и ФСБ России? Их давно уже юзают в госсекторе

Не понял, а чего тут тогда у многих полыхало по поводу Астры, когда вполне легально можно заюзать винду?

Bobby_
()
Ответ на: комментарий от burato

Такие дальнобойные радиоканалы и их владельцев найти намного проще будет, чем автора поста в интернете. Или думаешь это не запретят?

snizovtsev ★★★★★
()
Ответ на: комментарий от snizovtsev

Мы с тобой о разных каналах говорим, наверное.

burato ★★★★★
() автор топика

Вообще есть стенография, но вроде там всё в зачаточном состоянии, готового и удобного софта для пользователей пока не видел. Ещё сложность в том, что там обычно сигнал кодируют в аудио/картинки/видео (где можно применять lossy кодирование), и роскомнадзор может предписать всем сервисам его перекодировать перед публикацией - это удалит или сильно подпортит полезный сигнал.

snizovtsev ★★★★★
()

Мне тут интересно стало.

USB-токены и смарт-карты Рутокен на базе отечественных микросхем Микрона готовы к серийному производству ©.

В новых устройствах на аппаратном уровне реализованы криптографические алгоритмы ГОСТ (в том числе и 2012 года): электронная подпись ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012, хеширование ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012, шифрование ГОСТ 28147-89, механизмы выработки сессионного ключа VKO GOST R 34.10-2001 (RFC 4357) и VKO GOST R 34.10-2012 (RFC 7836).

P.S. «Налетай, торопись, покупай криптопись!» :)

quickquest ★★★★★
()

Конечно можно, до недавнего взлёта криптопаранойи большинство протоколов без шифрования и работало.

bodqhrohro_promo
()

лол только дошло?

а, да, не забудь, формальным поводом для регуляции вообще vpn как класса будет именно ваше бесконтрольное использование для обход законных блокировок

targitaj ★★★★★
()
Последнее исправление: targitaj (всего исправлений: 1)
Ответ на: комментарий от burato

Это как? Можно пример такой реализации? Желательно чтоб там еще было написано почему за мной не приедет пативен в случае использования этой штуки.

micronekodesu ★★★
()
Ответ на: комментарий от micronekodesu

У убикуити было, но это не бюджетно и там всего 100 км. Микротики есть, это если искаропки.

Я играюсь с радиопередатчиком, подробности пока не буду сливать. Я пока сотни бод/сек могу только передавать, но думаю если запретят интернет и к этому вопросу взгорит интерес, то можно добиться более результативной приёмопередачи.

burato ★★★★★
() автор топика

В Великобритании и США гражданина могут посадить за отказ расшифровать свой крипто-контейнер (в Великобритании это по закону можно, но по факту не применялась норма, в США по закону нельзя, но уже сидел как минимум 1 товарищ так). В россии пока еще таких норм нет. Как говорил Бонифаций - думайте дальше сами.

qrck ★★
()
Последнее исправление: qrck (всего исправлений: 1)
Ответ на: комментарий от qrck

Думаю если человек будет православным и поделится, то его криптоконтейнер никого не заинтересует.

burato ★★★★★
() автор топика
Ответ на: комментарий от Deleted

Не только товарищ майор, но и школотрон прочитает.

peregrine ★★★★★
()
Ответ на: комментарий от Deleted

Пока ещё нет. Но, я думаю, что теоритически это возможно через suricat'у.

ne-vlezay ★★★★★
()

На сегодня мне известны только 2 страны, успешно поборовшие шифрование. Это Северная Корея и Иран.

В Сев. Корее всё просто: у них там своя чебурашка, в которой могут зеркалироваться зарубежные сайты по запросам гос. структур после тщательной проверки кем надо, а выход в мировую сеть разрешён только немногим избранным со спец. допусками.

В Иране посложнее. Там есть Интернет, но он тотально блокируется (как в Китае, а то и ещё хлеще), для асимметричного шифрования же используется национальный удостоверяющий центр, который, понятно, сдаёт все ключи кому надо, поэтому весь местный трафик для иранских спец. служб открыт. А трафик, шифрующийся другими ключами, просто блокируется. Соответственно, любые ваши торы, и2пи, впны и прочие методы обхода блокировок и защиты личных данных не работают.

Наконец, в Китае шифрование победить не удалось. Тор они, правда, практически прикрыли (т. е. теоретически им там возможно пользоваться, используя теневые мосты и obfs4, но недолго, потому что эти мосты будут быстро выявлены и прикрыты). Зато китайцы активно пользуются буржуйскими корпоративными впнами, которые китайское правительство не может заблокировать, т. к. лишит в этом случае миллионы китайских программёров, удалённо работающих на западные фирмы, доходов, а себя — налоговых поступлений.

В Казахстане, Белоруссии и некоторых других банановых республиках странах с самобытной демократией тоже уже много лет пытаются заблокировать тор, но безуспешно, т. к. серые мосты и obfs рулят.

Теперь о том, почему у нас, скорее всего, не пройдут северо-корейский, иранский и даже китайский варианты (хотя последний к блокировке шифрования как класса отношения не имеет).

С корейским вариантом всё понятно: тут надо полностью отгородиться от Всемирной сети, что ударит и по экономике, и по нано- и прочим технологиям, и по олигархам. И на это, уверен, Путин не пойдёт. М. б. когда-нибудь, когда Мизулина станет президентом, а Железняк — премьером, это и случится, но не раньше.

По той же причине не прокатит скорее всего и иранский вариант. Дело в том, что многие сайты (в т. ч. и коммерческие) и западное сетевое ПО (в т. ч. и для ведения бизнеса) не признают эти прозрачные для спецслужб Ирана государственные сертификаты. И если большинству браузеров можно сказать, что ты, дескать, доверяешь этому сертификату и принимаешь все риски на себя, то со многими программами для ведения бизнеса, работы с банками и пр. такое не прокатывает. Иранский бизнес это, по-видимому, не очень напрягает, т. к. они были под тотальными санкциями с самого начала широкого распространения Интернета в массы, и сейчас они просто не знают, что можно работать не так, как у них принято. Т. е. это, разумеется, тормозит развитие Ирана, но не ухудшает экономическое положение, потому что этих технологий у них не было и раньше. Наш же бизнес глубоко интегрирован в международную финансовую систему через Интернет (и не только с Западом, но и с Востоком), поэтому он к подобным ограничениям будет куда более чувствителен. И я думаю, что Путин не позволит олигархам массово разоряться ради тотального контроля.

Ну и до кучи выскажу своё мнение про китайский путь применительно к нашим палестинам (хотя это смежная тема, к вопросу в верхнем посте напрямую не относящаяся). Почему китайцы так оперативно отлавливают и закрывают теневые тор-мосты? Потому что у них везде стоит дорогущее оборудование, позволяющее быстро (без серьёзного замедления работы сети) производить довольно глубокий dpi анализ трафика на разные нехорошие пакеты, в т. ч. на пакеты tor. Но т. к. узнать на 100%, является ли тот или иной трафик tor-трафиком или обычным шифрованным трафиком, невозможно, они пытаются создать с подозрительными узлами тор-соединение, и если узел принимает такое соединение, то его немедленно блокируют как серый мост. А ещё в китайской интернет-полиции работает порядка миллиона человек (для нас миллион человек — это около 1.5% нашего населения, включая младенцев). Поэтому, думаю, китайский путь России просто не по карману (да-да, бедность рулит!) В лучшем случае применительно к тору, думаю, у нас ограничатся потугами типа белорусских и казахских потуг по его блокировке, которые при желании легко обходятся. Практические рекомендации по обходу блокировки тора, если за него возьмутся, см. в моей древней теме «Законопроект об анонимайзерах». Ну и ещё могу добавить про vpn: это необязательно должен быть какой-то крутой платный буржуйский сервис. VPN для тебя могут организовать твои знакомые за бугром. Даже на той же Украине они могут организовать vpn для тебя, а ты — для них, т. к. и у нас, и у них многое блокируется, но эти блокировки никогда не пересекаются. :-)

aureliano15 ★★
()
Ответ на: комментарий от burato

Я играюсь с радиопередатчиком, подробности пока не буду сливать. Я пока сотни бод/сек могу только передавать, но думаю если запретят интернет и к этому вопросу взгорит интерес, то можно добиться более результативной приёмопередачи.

Не стоит. Скорость по радиоканалу можно выжать только при высоких соотношениях сигнал-шум (предел Шеннона). А это значит, что нужно будет воротить приемники, передатчики и антенны, кустарям непосильные. Но сотни килобит вполне можно, особенно если почему-то нет страха, что в дверь постучатся.

vaddd ★☆
()
Ответ на: комментарий от vaddd

Скорость по радиоканалу можно выжать только при высоких соотношениях сигнал-шум (предел Шеннона).

Если только не использовать DSSS какой. Оно прекрасно работает при уровнях сигнала даже ниже уровня шума. Скорость зависит только от ширины используемой полосы тащемта. И да, если супостат не знает PN то даже запеленговать проблематично, не говоря уже о приёме.

Stanson ★★★★★
()
Последнее исправление: Stanson (всего исправлений: 2)
Ответ на: комментарий от Stanson

Если только не использовать DSSS какой

Да ради бога. Протоколы 802.11 - это dsss. Пусть прокладывает линк на свои 300 км. Велосипед.

vaddd ★☆
()
Ответ на: комментарий от aureliano15

Интересно, возможен ли полный запрет зарубежных хостингов на территории РФ? У наших dedicated раза в два-три дороже аналогичных хецнеровских. (Это на самом деле вопрос об SSH-туннелях.)

dimgel ★★★★★
()
Ответ на: комментарий от vaddd

Да ради бога. Протоколы 802.11 - это dsss. Пусть прокладывает линк на свои 300 км. Велосипед.

300км - лишь вопрос выбора рабочей частоты и способа распространения. И никакого велосипеда - всё давно придумано до нас - от ионосферного отражения, до всякой отражёнки от Луны.

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

И никакого велосипеда - всё давно придумано до нас

Вам незнакомо выражение «изобретать велосипед»? Вопрос риторический, не отвечайте

vaddd ★☆
()
Ответ на: комментарий от Stanson

от ионосферного отражения, до всякой отражёнки от Луны.

интернет от ионосферы и от луны? ню-ню. удачи.

vaddd ★☆
()
Ответ на: комментарий от burato

Я играюсь с радиопередатчиком, подробности пока не буду сливать.

100 мБит это весьма широкополосный сигнал, потребуется как минимум диапазон метровых волн, а скорее дециметровых. И как ты на таких частотах на 300 км пробивать собираешься? На самом деле, крайне интересно.

curufinwe ★★★★★
()
Ответ на: комментарий от Stanson

от ионосферного отражения, до всякой отражёнки от Луны.

А мощность передатчиков и размер приемников ты прикинул?

tailgunner ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.