Re: Bezpecnost komunikace versus firmy z USA

From: Pavel Korensky <pavelk@DATOR3.ANET.CZ>
Subject: Re: Bezpecnost komunikace versus firmy z USA
Date: Fri, 15 Nov 1996 17:03:17 +0100

Next Article (by Author): Klavesa na cestu v Nortonu Pavel Kudrna
Previous Article (by Author): Re[2]: PNP vlastnost - pryc s ni! Pavel Korensky
Top of Thread: Bezpecnost komunikace versus firmy z USA Vodicka Petr
Next in Thread: Re: Bezpecnost komunikace versus firmy z USA Milan Zamazal
Articles sorted by: [Date] [Author] [Subject]

Vodicka Petr <UG@POK0.VSZBR.CZ> wrote:
> Vazeni,
>  chtel bych se zeptat na ponekud obecnejsi problem bezpecnosti. A tou
>  je prenos dat pres 'otevrene komunikacni kanaly'. Jak vsichni vite, pokud
>  posilam data z Windows NT (ci najakeho jineho OSu) po Internetu, ci po
>  telefonni lince, principialne KAZDY muze moje vysilana 'poslouchat'.
>  Proto rada sw vcetne Windows NT provadi SIFROVANI. V reklamach se obcas
>  rika, ze kazdy paket se sifruje jinak, takze i kdyz 'spion' odchyti Vase
>  data, stejne mu nebudou az tak moc platna. Na jejich desifraci by totiz
>  musel vynalozit znacne usili - cas a penize. Sifrovani se oznazuje jako
>  algoritmus DES (pokud se pletu, tak me moc nemlatte), ktery pouziva
>  princip verejnych a privatnich klicu.

Ne. DES je sifra se symetrickym klicem, stejne tak napriklad IDEA. Prikladem
sifry s verejnym a privatnim klicem je RSA. V mechanismech sifrovani se pouziva
verejny/privatni klic pro zasifrovani symetrickeho klice (tedy vetsinou).
Komunikace pak vypada tak, ze pomoci nejakeho algoritmu se vygeneruje runtime
nahodny symetricky klic, ten se zasifruje verejnym klicem prijemce a posle se
prijemci, ktery jej rozsifruje svym privatnim klicem. Obe strany pak maji
symetricky klic, ktery plati pro dannou sesssion. Zbytek komunikace je sifrovan
timto symetrickym klicem, kvuli rychlosti. Vetsina aplikaci pracuje takto.

>  Potud nic noveho. ALE!
>  Firmy, ktere tento sw delaji (mam na mysli trebas Windows NT, Lotus Notes
>  a i jine), jsou v drtive vetsine umistene v USA. A americka vlada
>  BYROKRATICKY HLOUPYM PREDPISEM ZAKAZALA dodavat sw, ktery v sifrovacim
>  algoritmu (nazveme jej DES) pouziva delku klice 256 bitu mimo uzemi USA!!!!

Ne, DES nepouziva 256 bitu klice, alespon pokud vim. Symetricky klic 256 je
zbytecny, jiz symetricky klic 128 bitu je nerozkodovatelny do konce vesmiru.
Nicmene, zakaz resp. omezeni ITAR zde je a tyka se klicu nad 40 bitu.

>
>  1. Myslim si, ze pokud delka klice je degradovana na ubohych 40 ci 60
>     bitu, tak se nejedna a zadne zvlastni zabezpeceni a kdo bude chtit, tak
>     s potrebnymi znalostmi a technikou je schopen behem relativne kratke doby
>     (radove tydnu) desifrovat me zpravy. Je to tak?

Ano. Tak to je. Jsou to radove dny pokud o to nekomu pujde komercne a radove
hodiny pokud o to nekomu pujde politicky (CIA, NSA, KGB a podobne).

>  2. Tim, ze nam USA firmy dodavaji slabe sifrovaci klice, chce snad USA
>     hrat roli toho, kdo ostatni chce spehovat a nechce nechat, aby ostatni
>     mohli spehovat je?

Ano. Nazyva se to "v zajmu bezpecnosti statu".

>  3. Existuji nejake add-ons, ktere jsou schopny data vychazejici z pocitace
>     v real-timu sifrovat/desifrovat pomoci lepsiho zabezpeceni nez doposud?
>     (konkretne mi jde o Windows systemy)
>

Problematicke je to udelat to univerzalne. Pro postu existuje bezpecne kodovani
PGP, pro prenos hlasu lze pouzit PGPhone. Pokud se jedna o WWW servery, existuje
komercni bezpecna verze programu Apache, ktera se prodava pod nazvem Stronghold.
Je IMHO free pro nekomercni pouziti, podrobnosti na http://stronghold.ukweb.com.
Nicmene pozor, pokud na tento server pristupujete pomoci normalni exportni verze
Netscape nebo MS IE, jedina sifra na ktere se shodnou je exportni RC4 se 40ti
bitovym klicem. Nejlepsi je opatrit si americkou verzi Netscape od nejakych
hackeru v Netu.

Zdravi PavelK

--
****************************************************************************
*                    Pavel Korensky (pavelk@dator3.anet.cz)                *
*     DATOR3 Ltd., Modranska 1895/17, 143 00 Prague 4, Czech Republic      *
*  PGP key fingerprint: 00 65 5A B3 70 20 F1 54  D3 B3 E4 3E F8 A3 5E 7C   *
****************************************************************************

Go to listserv.cesnet.cz LWGate Home Page.