czwartek, 27 czerwca 2013

gpg albo pgp, czyli troche rozumu, trochę prywatności

Ostatnimi czasy sporo włóczyłem się i z racji swojej włóczęgo często używałem różnych elementów dla ochrony swojej prywatności. Teraz nad szklaneczką bimbru pomyślałem, że może warto podzielić się swoimi przemyśleniami.-) Zapewne eksperci i tak orzekną iż są one g. warte, mając jak najbardziej racje.-) Doświadczenie i moja kobieca intuicja,-) podpowiadają mi, że większość rad i tak jest g.warta, bo nie da się ich zastosować w naszej konkretnej sytuacji, zwłaszcza, że specjalnie na przetwarzaniu informacji się nie znam, a jedynie sprzedaję plotki.-)

Dla ochrony swojej prywatności stosuje kilka elementów, w tym dezinformacje, tfu generowanie nadmiarowej informacji. Stąd, jak mawiał nasz Boleksy, prezydentopremier wraz z nadprezydentem, po pierwsze primo, ochroń swoją przeglądarkę, którą z dość oczywistych względów nie może być ... ie ...safari,-) czyli zainstaluj sobie różne dodatki, np DoNotTrackMe, ale też NoScript i FlashBlock. Dobrze jest też zafundować sobie anonimizujace proxy, np kproxy.com. Z reguły anonimowe proxy kosztuje, ale można też w tym celu dogadać się z jakąś większą firmą i "gubić" w niej swoje bajty używając jej jako proxy, a do takiej firmy łącząc się poprzez ssh. Zainstalowany w takiej firmie wirtualny komputer może być dodatkowo codziennie kasowany i stawiany od nowa, co zwykle robione jest w automagiczny sposób i trwa kilka sekund. Przy tym telefony na kartę i internet mają też swoje zalety, podobnie jak zainstalowany koń trojański na serwerze miejskiej biblioteki, od którego jedynie jest lepszy taki koń pasający się na serwerze policji lub w jakimś ministerstwie.-)

Większość mechanizmów zabezpieczających posługuje się albo szyfrowaniem symetrycznym, albo szyfrowaniem z kluczem publicznym. To ostatnie doskonale służy do zabezpieczania korespondencji e-mailem. Schemat działania tutaj jest prosty, a oprogramowanie dostępne bez opłat (np WinPT graficzne gui dla łyndołsa,czy gpg dla linuksa i innych systemów). Warto ten prosty schemat znać.

- generujemy parę kluczy,  prywatny, który służy do odszyfrowania i publiczny do szyfrowania
- klucz publiczny upubliczniamy, np poprzez serwer kluczy, http://pgp.mit.edu/, a w stopce swojego podpisu warto dodać odcisk klucza (finger print), tj dość unikalny skrót klucza publicznego
- gdy chcemy zaszyfrować do kogoś korespondencje, to pobieramy jego klucz publiczny i sprawdzamy jego odcisk
- szyfrujemy korespondencje kluczem odbiorcy bo tylko on posiada klucz prywatny, służący do odszyfrowania.

No i na koniec warto zrobić mały przegląd, i używać rozumu. Technologia to nie wszystko, o czym przekonali się Amerykanie w Somali, którzy nie mogli namierzyć przywódców, bo ci zamiast telefonów komórkowych używali tam-tamów i gońców.-)



9 komentarzy:

  1. Są też telefony typu heliograf, trochę nieporęczne no i zasięg ograniczony, ale "As recently as the 1980s, heliographs were used by Afghan forces during the Soviet invasion of Afghanistan"
    http://en.wikipedia.org/wiki/Heliograph

    Spodziewam się inwentyki w zakresie dostarczania na rynek etui ekranujących sprzęt mobilny (puszka Faradaya). Wyciągam mobile i dzwonię jak chcę, a nie jestem on-line w sieci, bo oni chcą. Oczywiście będą tematy obecności on-line jak np. pracownik na smyczy radiowej, ale w cywilu nie każdy się na to już godzi.

    A jak wszczepią chipy, to modne będą kurtki i inne ubiory z wszytą folia aluminiową.

    OdpowiedzUsuń
  2. Jestem laikiem, od specjalistów z branży IT wiem jednak, że nie da się uchronić przed inwigilacją ze strony służb USA. Oni kontrolują i analizują cały ruch w internecie dzięki strukturze budowy tej sieci. Tak został już internet przemyślany aby w USA były routery nadrzędne i można było stamtąd kontrolować cały świat. Nie pomoże nawet używanie TOR-a, bardzo uciążliwe swoją drogą.
    Można jednak bronić się przed służbami w Polsce. Choćby korzystając z hostingu i maila poza administracją naszego państwa. Gdy policja, ABW, wywiad skarbowy czy i inne CBŚ chcą przejrzeć naszą skrzynkę pocztową w Polsce wystarczy, że zgłoszą ten fakt, nie muszą uzyskać żadnej zgody, nie muszą nas informować. Mogą sobie bez żadnych przeszkód codziennie czytać naszą pocztę, co też na masową skalę robią. Gdy konto jest w firmie za granicą, poza UE w szczególności, też mogą, jednak muszą wystąpić o zgodę do tamtejszego sądu. W przypadku występowania do sądów USA polskich służb większość wniosków jest odrzucana z powodów formalnych. :) Muszą występować za każdym razem do sądu USA, korzystając z formalnej drogi, co zajmuje im kilka tygodni, gdy chcą przejrzeć naszą pocztę. Dlatego wolę krytykowany za naruszanie prywatności gmail, niż chociażby gazetę lub interię.

    OdpowiedzUsuń
  3. od specjalistów z branży IT wiem jednak, że nie da się uchronić przed inwigilacją ze strony służb USA

    Coś kiepscy ci specjalisci.-) Specsłużby USA nie są wszechmocne, a odrobina ochrony prywatności jeszcze nikomu nie zaszkodziła.-)
    Co do występowania o zgodę sądu, to to jest pewien mit. Zgodnie z umową pomiędzy specsłużbami z kraju nad Wisłą i Murzynami z Luizjany, dostęp do wspomnianych przez Ciebie informacji, jest niejako z automatu, chyba, że godzi to w interesy udostępniającego informacje.-) Zgoda sadu jest im potrzebna post factum, gdy chcą Ciebie zgnoić formalnie.-)

    Dlatego też powtórzę, bo rzecz słuszną warto powtórzyć:
    1. Szyfruj co się da, dyski, rozmowy, korespondencje itd
    2. Nie udostępniaj informacji na swój temat, a jeśli musisz, to jak najmniej. Każda informacja o Tobie będzie kiedyś użyta przeciwko Tobie.-) To nie jest założenie, ale pewnik.-) W ten sposób możesz stracić kontrakt, pracę, licencje, a Twoje dzieci nie zostaną przyjęte do lepszej szkoły.
    3. Jeśli już udostępniłeś informacje na swój temat, to spróbuj ją skasować, a zobaczysz, jaka z tym zabawa i jak jest to nieskuteczne.

    OdpowiedzUsuń
  4. " Każda informacja o Tobie będzie kiedyś użyta przeciwko Tobie.-)"
    Taka przestroga z mojego otoczenia, jeśli mogę.
    Mam kolegę, który w latach 90-tych będąc studentem przeważnie w stanie nieważkości, lubił sobie podyskutować na grupach dyskusyjnych (news serwerach). Mało tego, że robił z siebie idiotę na grupach specjalistycznych związanych z kierunkiem jego studiów, dyskutował sobie też na grupach alt.* (sex, fantastyka, pręgierz), podpisując się imieniem i nazwiskiem :D. Był wesołym studentem i chyba wydawało mu się, że nie musi się niczym przejmować.
    Minęło 15lat a posty są od razu dostępne po wpisaniu jego rzadkiego nazwiska, najlepsze że są powielane przez fora dyskusyjne z bieżącą datą.
    Niektóre są naprawdę żenujące, szczególnie z pl.alt.sex. Znajomi się śmieją za jego plecami, a chłop nic nie może zrobić. :))

    OdpowiedzUsuń
  5. http://www.silverbearcafe.com/private/06.13/ironcurtain.html

    OdpowiedzUsuń
  6. Poki co szyfrowanie korespondencji jest skuteczna metoda ochrony jej tresci przed niepowolanymi osobami. Natomiast samo szyfrowanie korespondencji z pewnoscia budzi zainteresowanie wiadomych sluzb !
    Natomiast na przyklad przenosny dysk nalezy szyfrowac

    OdpowiedzUsuń
    Odpowiedzi
    1. Jak skomplikowane musi być hasło do zaszyfrowania dysku, żeby służby (amerykańskie, a nie tylko polskie ciapcie) nie potrafiły go złamać?

      Usuń
  7. Jak skomplikowane musi być hasło do zaszyfrowania

    Sprawa tutaj dotyczy nie tylko hasła, ale, a może głównie algorytmu. Dla algorytmu musi być matematyczny dowód, że nie można go złamać (w sensownym czasie).-) Na tą chwilę za bezpieczne uważa się klucze równe lub dłuższe niż 4096 dla RSA i 3072 dla DSA, tj obecnie max długości kluczy w standardowej kompilacji.

    Osobiście polecałbym ustawienie poprzez gpg --edit-key i potem showpref/setpref parametrów symetrycznego AES256 i skrótu SHA512


    Istnieje dla GPG programowe ograniczenie i opis, jak je zdjąć http://gagravarr.livejournal.com/137173.html

    A tutaj, jak łamać szyfry.-) http://mimuw.edu.pl/delta/artykuly/delta2010-06/2010-06-4.pdf

    Obecnie zakłada się, że klucze RSA o długości 1024 łamane są przez ok 100-200 godzin pracy przez wyspecjalizowane komputery. Złożoność obliczeniowa jest rzędu od 2^(l/2) do 2^(l/5), gdzie l długość klucza w bitach. Dal funkcji wykładniczej wzrost z 1024 na 4096 to ogromne wydłużenie czasu życia klucza.-) Dla celów cywilnych takie łamanie zwykle jest zbyt kosztowne.

    OdpowiedzUsuń
  8. Jeszcze mały dodatek.-)
    Złożoność algorytmów jest zasadniczo liniowa ale dotyczy to ilości możliwych kombinacji, tj wariacji bez powtórzeń. Można dla uproszczenia przyjąć, że dodanie kolejnego bitu zwiększa ilość kombinacji dwukrotnie, tj jeśli klucz 1024 bitowy łamiemy w 100 godzin, to na złamanie klucza 1025 bitów potrzeba dwa razy więcej czasu, tj 200 godzin. Przy kilkukrotnie szybszym niż obecnie wzroście mocy obliczeniowej klucze RSA o długości 2048 bitów powinny starczyć tak do 2020 roku, ale strzeżonego i Bóg strzeże, stąd owe 4096.-)

    OdpowiedzUsuń

free counters Silver charts on InfoMine.com Silver charts on InfoMine.com Ogólnopolska Akcja Bojkotu Mediów III RP