Re: Bezpecnost komunikace versus firmy z USA

From: Dan Lukes <DAN@OBLUDA.KOLEJ.MFF.CUNI.CZ>
Subject: Re: Bezpecnost komunikace versus firmy z USA
Date: Sun, 17 Nov 1996 03:17:41 +0100

Next Article (by Author): Re: Seznam firem na Internetu Dan Lukes
Previous Article (by Author): Re: Bezpecnost komunikace versus firmy z USA Dan Lukes
Top of Thread: Bezpecnost komunikace versus firmy z USA Vodicka Petr
Next in Thread: Re: Bezpecnost komunikace versus firmy z USA =?ISO-8859-2?Q?Hanu=B9_Adler?=
Articles sorted by: [Date] [Author] [Subject]

Dne 15 Nov 96 v 12:39, Vodicka Petr uvedl(a):

>  chtel bych se zeptat na ponekud obecnejsi problem bezpecnosti. A tou
>  je prenos dat pres 'otevrene komunikacni kanaly'. Jak vsichni vite, pokud
>  posilam data z Windows NT (ci najakeho jineho OSu) po Internetu, ci po
>  telefonni lince, principialne KAZDY muze moje vysilana 'poslouchat'.
>  Proto rada sw vcetne Windows NT provadi SIFROVANI. V reklamach se obcas

S tim bych si dovolil totalne nesouhlasit. Vetsina sw neprovadi jakekoliv
sifrovani. Naprosta vetsina komunikace po Internetu je ve zcela otevrene
forme - vyjmenujme jen telnet, WWW, FTP, SMTP (to je elektronicka posta), NFS
(prenost souboru). Vrcholem sifrovani na Internetu je, pokud chodi
zasifrovana alespon hesla v ramci prihlasovani (a to nedela zadna z
vyjmenovanych sluzeb). Samozrejme, pokud si nekdo udela vlastni reseni, pak
muze mit skoro cokoliv, i sifrovani, ale takove pripady se zdraham zaradit do
kategorie "obvyklosti". Unixy komunikuji prostredky Internetu, takze tim je
dano sifrovani u nich. Peer-to-peer site obvykle nesifruji vubec, maximalne
tak prihlasovaci hesla. Novell Netware, jako vrchol bezpecnosti, zavedl
elektronicky podepisovane pakety, ale nesifruje ani v nejmensim. Jak je to s
NT presne nevim, ale mam pocit, ze jejich SMB take sifrovane neni a sifruji
se take jen hesla pri prenosu.Mozna Vas zmatla hojne reklame informace o
ziskani certifikatu na bezpecnostni tridu C2. Co se vsak uz neuvadi (nebo
alespon ne tak halasne), ze slo o C2 podle Orange book - a tedy na single
pocitac nepropojeny do jakekoli site.Pokud vim, certifikaci C2 podle Red Book
se (z takovych tech beznych OS) pokousi ziskat akorat Novell, ale pokud vim,
jeste ji nema.


>  a i jine), jsou v drtive vetsine umistene v USA. A americka vlada
>  BYROKRATICKY HLOUPYM PREDPISEM ZAKAZALA dodavat sw, ktery v sifrovacim
>  algoritmu (nazveme jej DES) pouziva delku klice 256 bitu mimo uzemi USA!!!!

Vsude se rozvedky boji, ze prijdou "o chleba" a zasazuji se o to, aby obcane
nesmeli pouzivat "tvrde" sifry. Ale nekoukejte po Americe - tam je zakazany
jen export (a u RSA i import - ale to je tim, ze RSA je v Americe chraneno
patentem, takze produkty na nem zalozene nelze dovazet bez souhlasu drzitele
patentu). Takova Francie svym obcanum zakazala sifry pouzivat vubec
a sifrovani ve Francii je vazano na povoleni statnich organu. Debata nad
moznosti/nemoznosti pouzivat "tvrde" sifry v soucasne dobe probiha napriklad
v Nemecku a vice mene, co chvili se o tom nekde debatuje ...


>  2. Tim, ze nam USA firmy dodavaji slabe sifrovaci klice, chce snad USA
>     hrat roli toho, kdo ostatni chce spehovat a nechce nechat, aby ostatni
>     mohli spehovat je?

Ano, a nedelaji to (jak vyse popsano) jen USA. A vzdycky je nejsilnejsim
motorem takovychto snah (kontra)rozvedka. V tomto jsou rozvedky ruznych zemi
az prekvapive navzajem solidarni ...
Obvyklim "statnim" argumentem je to, ze museji mit moznost se dostat k
dukazum pri stihani zlocincu, coz by pri pouziti sifrovani neslo. Nikdo uz
ale neni schopen seriozne reagovat na namitku, ze seriozni zlocinci si ke
vsem svym hrichum klidne priperou i hrich pouziti zakazane sifry, takze
efektivne je takovy zakaz namiren zase jen proti slusnym lidem a jejich
soukromi.

>  3. Existuji nejake add-ons, ktere jsou schopny data vychazejici z pocitace
>     v real-timu sifrovat/desifrovat pomoci lepsiho zabezpeceni nez doposud?
>     (konkretne mi jde o Windows systemy)

    Pro komunikaci pomoci seriove linky (treba modemu) existuji sifrovaci
modemy, pomerne jednoduse by to slo zajistit i softwarove - nahrazenim
ovladace serioveho portu vlastnim, ktery bude krome toho i sifrovat - oba
zpusoby zajistuji transparentni sifrovani vsech dat na prenosovem kanalu.
Vada obou postutu je, ze na uzemi republiky neni nikdo, kdo by takovato
reseni dodaval a zatim se mi nepodarilo najit ani zahranicniho dodavatele
mimo Staty. Samozrejme, pri komunikaci pres jina prenosova media lze
pouzit obdobne postupy.

    V dohledne dobe si budeme delat sami pro sebe popsane sifrovani serioveho
kanalu implementovat, ale pro Unix (zabezpecovat Windowsy je stejne jako
zalepovat tekouci cednik), takze asi nic pro vas.

                                    S pozdravem
                                                Dan Lukes

Dan Lukes, Patkova 3/B1206, Praha 8, Czech Republic
tel +42-(2)-8551040 ext 776, E-Mail: LUKES(or Postmaster)@Menza.MFF.CUNI.CZ

Go to listserv.cesnet.cz LWGate Home Page.