доверять нельзя никому

кроме себя. Ты можешь прочитать код, понять, как он работает, и доверять

кроме себя

Это личный вопрос. Кто-то доверяет, кто-то нет :) А вообще из первого пункта это само выливается.

Ребята, так людей не заманивают на новую ОС!

И что в этом плохого? Все свободное, открытое, включая свободных «маркетологов». Все равно конечное решение будет основано на личном опыте.

И что в этом плохого?

Такие объяснения подходят только для личного блога. Я даже думаю, что это копи-паста из далеких нулевых. А тут ресурс о безопасности. Вот решил я заняться безопасностью и читаю это. Честно говоря, это даже не смешно, просто фанатизм какой-то без явных фактов почему открытые ОС безопасней (кроме первого пункта естественно). Сейчас можно было бы указать на факты, того что NTLM-пароль длиной 8 символов ломается менее чем за 5 секунд. Это уже повод задуматься. Можно указать на то, что Microsoft работает в сотрудничестве с NSA. Можно было бы указать, что шифрование дисков по технологии BitLocker не является 100% защищенным (cold boot attack). И т.д.

Проще говоря, текст не соответствует тематике сайта.

Если вы лично доверяете этим людям, то да.

Я доверяю тому, что если в широко используемой опенсорсной программе есть бекдор, то довольно скоро на форумы напишут сообщения о нем, и конкретно где в коде он находится. Кстати, чем более бажна и плохо задокументирована программа, тем чаще сторонние разработчики лезут в код, а значит тем более она безопасна :)

Не верю я вашим словам, т.к. вы некомпетентное лицо

То есть о качестве ядра и libc может знать только Линус и приближенные лица? О_о

Я могу дать кучу линков, а также рассказать свой опыт о взломе серверов.

Но то, что под линукс на порядки меньше проблем с вирусами (с практической точки зрения а не с оценки теоритических возможностей) это факт.

а также рассказать свой опыт о взломе серверов

расскажи, пожалуйста!

//разговор записывается, мы попробуем использовать запись как подвтерждение того, что ты активно помогал следствию

Я доверяю тому, что если в широко используемой опенсорсной программе есть бекдор, то довольно скоро на форумы напишут сообщения о нем, и конкретно где в коде он находится.

Приватность уровня Майкрософт (комментарий)

Но то, что под линукс на порядки меньше проблем с вирусами (с практической точки зрения а не с оценки теоритических возможностей) это факт.

Сейчас. А завтра? Послезавтра?

Приватность уровня Майкрософт (комментарий)

Я не понял твою точку зрения. Ты, как атеист, говоришь, что проприетарный софт и проприетарная ОС Windows более безопасна для пользователей, или как агностик, говоришь, что безопасность программ и ОС в принципе непознаваемы?

Сейчас. А завтра? Послезавтра?

Что будет завтра и послезавтра неизвестно, возможно выйдет ОС лучше, а сегодня я использую GNU/Linux

Ты, как атеист, говоришь, что проприетарный софт и проприетарная ОС Windows более безопасна для пользователей, или как агностик, говоришь, что безопасность программ и ОС в принципе непознаваемы?

Второе. Я даже добавлю, что сейчас кроме безопасности ОС надо заботится и о выбираемом железе. Встроенные чипы до добра не доведут. Большинство людей даже не знают, что ввезенные процессоры Intel, а также SSD-диски с поддержкой AES-NI имеют урезанную длину ключа, что уже ставит под сомнение использование подобных устройств. Поэтому, говорить только о том, что ОС открытая и она безопасна, когда железо, на котором она крутится небезопасно ломает этот тезис в корне. И об этом кстати на этом ресурсе ни слова! Только для заинтересованных лиц. Зачем человеку менять ОС тогда?

Дык, это и есть листовка для вербовки фанатиков. Только фанатики свободы (или несвободы) могут принести пользу своей стороне. А ты говоришь что все г.., а работать за такую идею никто не будет.

фанатики

Во жеж, развели слепых котят. Рано или поздно это тоже выйдет боком (кому-то).

Не можешь - не читай. Расходимся, это всего лишь баттхарт.

[/thread]

расскажи, пожалуйста!

Опечатка по Фрейду, лол :)

Где опечатка?

Большинство людей даже не знают, что ввезенные процессоры Intel, а также SSD-диски с поддержкой AES-NI имеют урезанную длину ключа

Лучше бы ты сидел и молчал в тряпочку, вместо рассуждений про «урезанную длину ключа»...

Лучше бы ты сидел и молчал в тряпочку

Скажи мне, человек, который не понимает, когда включается AES-NI, а когда используется софтверная реализация будет также защищен? Этот пример дан для понимания вопроса о безопасности железок не со стороны, что такая защита ничего не дает, а в том контексте, что это сделано не случайно, а значит имеет место появлению сомнений в таких решениях. Или ты не согласен?

урезанную длину ключа

Ты хочешь сказать что режут только буфер? Ты уверен?

• SECRET - 128b
  
• TOP SECRET 192/256b

http://cryptome.org/aes-natsec.htm

Но вот этого я не читал, да: http://habrahabr.ru/post/68328/

а какая связь между AES-NI и длиной ключа?

а какая связь между AES-NI и длиной ключа?

В аппаратной поддержке. Вот включишь ты софтину, а она по умолчанию возьмет и заюзает AES-NI с поддержкой ключей в 128бит. А ты и не понимаешь хорошо или плохо, знаешь, что только даст прирост производительности. Надо еще добавить, что количество раундов могут повысить стойкость, но кто даст гарантии, что так надежней? И снова вопрос доверия. Честно говоря, я не спец. в вопросах криптографии, так что не надо меня этим проверять и мучить. Я дал посыл в каком направлении следует мыслить при выборе железа и только это хотел сказать.

Вот включишь ты софтину, а она по умолчанию возьмет и заюзает AES-NI с поддержкой ключей в 128бит.

я не понимаю, а разве длина ключа не в софтине настраивается?

я тоже совсем не спец в криптографии, но ведь AES-NI ускоряет aes шифрование с ключом любой длины, разве нет?

Ребята, так людей не заманивают на новую ОС!

А заманивать и не надо. Надо просто предложить, если появилась проблема и линукс позволит её решить. А в некоторых случаях бить по рукам, если на сервер водружают венду.

От кривых рук спасут только кандалы. См. однострочник на PERL.

Такие вопросы лучше задавать на сайте в сабже :)

я не понимаю, а разве длина ключа не в софтине настраивается?

Нет. Имеется аппаратное шифрование и софтверное. Аппаратное делает тоже самое (в рамках дозволенного), что и софтверное, но гораздо быстрее.

но ведь AES-NI ускоряет aes шифрование с ключом любой длины, разве нет?

Нет. Сам подумай, как железка с определенным набором микросхемтранзисторов сделает что-то другое?

Было и такое: https://www.pgpru.com/novosti/2010/sertificirovannyeshifrujuschieusbnakopitel...

Нет. Сам подумай, как железка с определенным набором микросхем сделает что-то другое?

что значит «что-то другое»?
где в спецификации AES-NI написано про фиксированную длину ключа, и почему тогда на тестах при смене длины этого не заметно?

что значит «что-то другое»?

Это значит, что если чип поддерживает AES-128, а ты хочешь AES-256, то он не будет его поддерживать.

где в спецификации AES-NI написано про фиксированную длину ключа, и почему тогда на тестах при смене длины этого не заметно?

Ох, лучше тебе задать эти вопросы на том сайте. Какие тесты? Софтина может автоматом. включать аппаратную поддержку или делать по старинке, софтверно.
Или я чего не понимаю. Тогда зачем развели шумиху, что ввоз в РФ устройств выше/кручу/сильнее AES-128 запрещен?

Ну сделали аппаратное ускорение некоторых функций, и что?

Ну сделали аппаратное ускорение некоторых функций, и что?

Безопасность это компромисс между удобством и надежностью. Удобство в данном случае означает быстродействие, надежность определяется шифром, длиной ключа, алгоритмами. Если шифр ненадежен, то нет никакой безопасности. Все «урезанные» технологии могут быть уже взломаны давным-давно и попадание этих данных в публичный доступ лишь вопрос времени. Настоящие параноики могут написать свои шифры и не давать их никому, или использовать действительно стойкие в настоящий момент, я же не спорю. А есть часть людей, которые не шибко разбираются и верят тому, что пишут на «секьюрити»-сайтах. Что-то в духе «поставь линукс и ты 100% защищен» :)

gh0stwizard, Вы слишком всё упрощаете.....

а затем делаете неверные выводы.

Вот, например: //Безопасность кроме того, что это компромисс между удобством и надежностью, также и вопрос доверия. Все пункты кроме первого основаны на доверии. И в нынешнем современном мире доверять нельзя никому.//

Здесь Вы некорректно персонифицируете доверие. На самом деле свободный доступ любого разработчика к коду и наличие вокруг каждой значительной программы/модуля/системы многочисленного сообщества разработчиков/тестировщиков гарантирует невозможность скрытого умышленного вредительства в виде «закладок». И не Торвальдс и никто другой не могут «продаться» (Вы ведь на это намекаете), поскольку это станет вскоре неизбежно известно сообществу. Так что Ваша фраза «Я не могу доверять даже Линусу, т.к. он доверяет другим людям, которые доверяют третьим и т.д. Невозможно доверять всем разработчикам» -просто лишена смысла в условиях той технологии, которая используется при разработке Open Source (Столмен как-то касался вопроса безопасности в технологии разработки Open Source). Доверяем мы сообществу, членом которого можете быть и Вы.

Итак практически по каждому Вашему возражению, поскольку они все построены на вашем заблуждении.

Поэтому у меня нет желания опровергать сентенции типа: " Идеального кода не существует, т.к. не существует идеальных людей. Первый же вопрос, кто написал это предложение является ключевым разработчиком ядра Linux/FreeBSD и других открытых ОС, которые они пропагандируют? Нет? Хорошо, доверенное лицо второго уровня (доверенное лицо того, кому Линус доверяет) ? Нет? Хм, может третьего? Нет. Не верю я вашим словам, т.к. вы некомпетентное лицо, чтобы рассуждать о таких вещах." - здесь всё тоже о чём я уже написал.

Делаю вывод, все исходные пункты имеют основание быть корректными. ИМХО.

И да, однажды мне довелось заниматься разработкой рабочей системы безопасности при обработке секретной информации на ЭВМ (программные средства и административные).

Личный опыт (домашний) использования Linux для доступа в Internet однозначно говорит о множестве её преимуществ перед осями MS, в том числе и вирусной безопасности. Это факт. И он не отменяется рассуждениями о незначительной распространенности Linux на декстопах. Мой установленный домашний экземпляр ОС Linux для меня абсолютно надёжен и ни разу за более чем десятиление меня не подвел.

Еще раз: Приватность уровня Майкрософт (комментарий)

Там авторы до сих пор не знают было ли это или нет. История раскрутилась спустя 5 с лишним лет. Если ты не слушаешь, что говорит Торвальдс, то мне тебя очень жаль. Все разработчики специализируются на определенных областях, людей гуру по криптографии не так много. И не факт, что кто-то из них не догадается что был подлог в какой-то день. У них все строится на доверии. Все мы люди. Подкупить/надавить можно при желании на каждого. Если ты в это не веришь - твое дело.

Вдобавок, если не прокручиваешь: Приватность уровня Майкрософт (комментарий)

gh0stwizard> Все «урезанные» технологии могут быть уже взломаны давным-давно и попадание этих данных в публичный доступ лишь вопрос времени.

Мне интересно, как именно в штеуде это дело урезано. Просто аппаратные ускорялки все поголовно основаны на том, что есть набор функций, который ускоряется железом, и потом эти функции используют в программе. Они по сути ускоряют программную реализацию, давая исполнять ускоренные версии некоторых вычислительных функций. И в случае с аппаратным ускорением шифрования ну очень сомневаюсь, что аппаратный блок полностью заменяет всю программу.

Мне кажется, ты слишком буквально воспринял написанное.

Эти тексты ориентированы на людей дошкольного и младшего юникс-уровня.

Ребята, так людей не заманивают на новую ОС!

Если им описать реальное положение дел, то проще дать ссылку на тлен и безысходность :)

Кстати, там никто никого уже давно не заманивает, контента сгенерировано достаточно много, если человек хочет, то освоит.

Если им описать реальное положение дел, то проще дать ссылку на тлен и безысходность :)

Ну и отлично. Не надо создавать иллюзии, что все в порядке.

там никто никого уже давно не заманивает

По данному тексту не скажешь.

Ну и отлично. Не надо создавать иллюзии, что все в порядке.

Э не, тут другой подход, сперва подсадить дошколят на открытую систему, потом постепенно наполнять их умы информацией.

Постепенно они дойдут до понимания фразы «Знания умножают скорбь». :)

«От многой мудрости много скорби, и умножающий знание умножает печаль.»

Но так или иначе отравленные горечью знаний останутся на пусть не идеальном, но тем не менее лучшем чем венда.

Таким образом хоть как-то можно добиться увеличения числа пользователей.

Если им сразу дать это вкусить они скорее скажут «нафиг-нафиг» нам лучше крайсис и вкусняшки чем ваш тлен :D

Жестоко, но справедливо :)

Пяный чоль?

Столько букв..

истина посередине

Жестоко

Да, но это касаемо того о чём ведает pgpru, а в прочих сообществах вполне себе успешно не давая «скорбных знаний» множат всяких линукс-пони :D

кроме себя

Откуда такая уверенность? Вдруг ты стал жертвой нлп и твое внимание рефлекторно пропускает модуль backdoor.c?

Да ну. Ты на полном серьёзе доверяешь себе? Ни разу не лажался?

когда включается AES-NI, а когда используется софтверная реализация будет также защищен?

Чувак, AES-NI не реализует полный цикл шифрования/расшифрования, а является аппаратной реализацией одного раунда и оперирует round key, который является частью результата key expansion. Поэтому твое заявление об «урезанной длине ключа» мягко говоря некорректно, поскольку длиной ключа заведует код использующий инструкции AES-NI, а не AES-NI.

Именно поэтому реализация софтварная и реализация средствами AES-NI являются в равной мере безопасными.

Вследствие этого, «урезанная длина ключа» (откуда кстати ты это бред взял?) является свойством софтовой части реализации, а не «закладкой». И ещё - AES специфицирует три длины ключа - 128, 192 и 256 бит, и если длина ключа другая, это уже не AES а «вариация на тему» со всеми вытекающими.

Или я чего не понимаю

Про AES-NI точно ничего не понимаешь :-)

Большинство людей даже не знают, что ввезенные процессоры Intel, а также SSD-диски с поддержкой AES-NI имеют урезанную длину ключа,

Можно поподробнее? Т.е. я вот беру библиотеку с поддержкой AES, стандартные наборы тестовых векторов, прогоняю шифрование софтварное, прогоняю хардварное, получаю одинаковые результаты. Беру собственные вектора, тоже получаю одинаковые результаты. А где собака-то зарыта?

Я могу доверять лишь себе.

Тебе надо быть гуру в криптографии и читать миллионы строк кода, каждый месяц патчи на десятки или сотни тысяч кода. Сейчас ты этого просто не осилишь (если, конечно, я сейчас не общаюсь с ИИ или с человеком с нейроинтерфейсами, загружающие код прям в моцк).

Если весь мир против тебя — ты заведомо проиграл в защите информации. Так или иначе приходится доверять сообществу.

Знания умножают скорбь

Скорбь наступит сразу, опередит знания.

И ещё ты пропустил немаловажный третий пункт:

Пользуясь открытостью кода, часто можно решить подручными средствами какие-то проблемы, решение каковых в закрытых ОС типа Windows потребует как минимум дизассемблера.

По нём есть возражения?

В силу сложившихся обстоятельств и ряда принципиальных особенностей, под открытые ОС не распространяются вирусы, черви и трояны, и вряд ли будут когда-либо так распространены под них, как сейчас под Windows.

Вот тут с автором не согласен, т.к. идёт упрощение, охомячивание дистрибутивов, как следствие — им могут пользоваться менее грамотные юзеры, а с ними отлично себя чувствуют социальная инженерия, всякая малварь и адварь на сторонних сайтах, и т.д. Глянье на проблемы с безопасностью в андроиде. Такая же херня может ждать ту же убунту.

Пользователь не хочет ничего решать или думать, он жмёт рандомные кнопочки, чтобы поставить очередную крутую игрушку или программку.

Просто хорошая заметка на эту тему: http://habrahabr.ru/post/189706/ (ничего нового, просто более литературно рассказана проблема, из-за которой безопасность 95% пользунов под угрозой).

Я могу дать кучу линков c отзывами пострадавших от взломов их linux-серверов.

Ради справедливости надо сказать, что подавляющее число взломов связанно или с дырявыми сайтами, или с кривонастроенным вебсервером, или с слабыми паролями на SSH (а то и вовсе дефолтными, как в некоторых роутерах). Таким проблемам подвержена любая платформа, т.к. дело в тупых программистах или админах.

Чтобы тенденция перешла на другой уровень достаточно, чтобы линукс стал, как было подмечено, популярным.

Согласен. Увеличится количество пользователей-дибилов и админов-дибилов → увеличится число заражений.

Если вы не можете проверить код сами, вы можете надеяться на то, что он был проверен другими, ибо код открыт для всех.

Если вы не можете посолить борщ сами, вы можете надеяться на то, что он был посолен другими, ибо крышка кастрюли открыта для всех.

Ситуации в жизни когда люди без каких либо причины надеяться на других - они самые дебильные.

По нём есть возражения?

В коммерческом софте недостатки устраняемые только через дизассемблер как правило быстро приводят к тому что контора вылетает в трубу.

Если человек не умеет ни логи читать, не сообщения о сегфолте, ни гуглить, то да - только дизасемблер только хардкор.

В силу сложившихся обстоятельств и ряда принципиальных особенностей, под открытые ОС не распространяются вирусы, черви и трояны, и вряд ли будут когда-либо так распространены под них, как сейчас под Windows.

То есть если просто сделать винду открытой, то вуаля. facepalm.png

По нём есть возражения?

В чем разница от первого пункта? В том, что сказали слово дисассемблер? Вот PGP выпускает открытый код, хотя софтина пропиетарна и платная (в большинстве случаев). Что это дает, а ничего. Напишу патч, а скомпилировать не смогу. А для платных плюшек и кода нет (или не прав?). Поэтому надо говорить, что вы можете прочитать, модифицировать и получить результат в отличии от винды.