From: Dan Lukes <DAN@OBLUDA.KOLEJ.MFF.CUNI.CZ>
Subject: Re: Bezpecnost komunikace versus firmy z USA
Date: Sun, 17 Nov 1996 03:17:41 +0100
Next Article (by Subject): Re: Bezpecnost komunikace versus firmy z USA =?ISO-8859-2?Q?Hanu=B9_Adler?=
Previous Article (by Subject): Re: Bezpecnost komunikace versus firmy z USA Dan Lukes
Top of Thread: Bezpecnost komunikace versus firmy z USA Vodicka Petr
Next in Thread: Re: Bezpecnost komunikace versus firmy z USA =?ISO-8859-2?Q?Hanu=B9_Adler?=
Articles sorted by: [Date]
[Author]
[Subject]
Dne 15 Nov 96 v 12:39, Vodicka Petr uvedl(a): > chtel bych se zeptat na ponekud obecnejsi problem bezpecnosti. A tou > je prenos dat pres 'otevrene komunikacni kanaly'. Jak vsichni vite, pokud > posilam data z Windows NT (ci najakeho jineho OSu) po Internetu, ci po > telefonni lince, principialne KAZDY muze moje vysilana 'poslouchat'. > Proto rada sw vcetne Windows NT provadi SIFROVANI. V reklamach se obcas S tim bych si dovolil totalne nesouhlasit. Vetsina sw neprovadi jakekoliv sifrovani. Naprosta vetsina komunikace po Internetu je ve zcela otevrene forme - vyjmenujme jen telnet, WWW, FTP, SMTP (to je elektronicka posta), NFS (prenost souboru). Vrcholem sifrovani na Internetu je, pokud chodi zasifrovana alespon hesla v ramci prihlasovani (a to nedela zadna z vyjmenovanych sluzeb). Samozrejme, pokud si nekdo udela vlastni reseni, pak muze mit skoro cokoliv, i sifrovani, ale takove pripady se zdraham zaradit do kategorie "obvyklosti". Unixy komunikuji prostredky Internetu, takze tim je dano sifrovani u nich. Peer-to-peer site obvykle nesifruji vubec, maximalne tak prihlasovaci hesla. Novell Netware, jako vrchol bezpecnosti, zavedl elektronicky podepisovane pakety, ale nesifruje ani v nejmensim. Jak je to s NT presne nevim, ale mam pocit, ze jejich SMB take sifrovane neni a sifruji se take jen hesla pri prenosu.Mozna Vas zmatla hojne reklame informace o ziskani certifikatu na bezpecnostni tridu C2. Co se vsak uz neuvadi (nebo alespon ne tak halasne), ze slo o C2 podle Orange book - a tedy na single pocitac nepropojeny do jakekoli site.Pokud vim, certifikaci C2 podle Red Book se (z takovych tech beznych OS) pokousi ziskat akorat Novell, ale pokud vim, jeste ji nema. > a i jine), jsou v drtive vetsine umistene v USA. A americka vlada > BYROKRATICKY HLOUPYM PREDPISEM ZAKAZALA dodavat sw, ktery v sifrovacim > algoritmu (nazveme jej DES) pouziva delku klice 256 bitu mimo uzemi USA!!!! Vsude se rozvedky boji, ze prijdou "o chleba" a zasazuji se o to, aby obcane nesmeli pouzivat "tvrde" sifry. Ale nekoukejte po Americe - tam je zakazany jen export (a u RSA i import - ale to je tim, ze RSA je v Americe chraneno patentem, takze produkty na nem zalozene nelze dovazet bez souhlasu drzitele patentu). Takova Francie svym obcanum zakazala sifry pouzivat vubec a sifrovani ve Francii je vazano na povoleni statnich organu. Debata nad moznosti/nemoznosti pouzivat "tvrde" sifry v soucasne dobe probiha napriklad v Nemecku a vice mene, co chvili se o tom nekde debatuje ... > 2. Tim, ze nam USA firmy dodavaji slabe sifrovaci klice, chce snad USA > hrat roli toho, kdo ostatni chce spehovat a nechce nechat, aby ostatni > mohli spehovat je? Ano, a nedelaji to (jak vyse popsano) jen USA. A vzdycky je nejsilnejsim motorem takovychto snah (kontra)rozvedka. V tomto jsou rozvedky ruznych zemi az prekvapive navzajem solidarni ... Obvyklim "statnim" argumentem je to, ze museji mit moznost se dostat k dukazum pri stihani zlocincu, coz by pri pouziti sifrovani neslo. Nikdo uz ale neni schopen seriozne reagovat na namitku, ze seriozni zlocinci si ke vsem svym hrichum klidne priperou i hrich pouziti zakazane sifry, takze efektivne je takovy zakaz namiren zase jen proti slusnym lidem a jejich soukromi. > 3. Existuji nejake add-ons, ktere jsou schopny data vychazejici z pocitace > v real-timu sifrovat/desifrovat pomoci lepsiho zabezpeceni nez doposud? > (konkretne mi jde o Windows systemy) Pro komunikaci pomoci seriove linky (treba modemu) existuji sifrovaci modemy, pomerne jednoduse by to slo zajistit i softwarove - nahrazenim ovladace serioveho portu vlastnim, ktery bude krome toho i sifrovat - oba zpusoby zajistuji transparentni sifrovani vsech dat na prenosovem kanalu. Vada obou postutu je, ze na uzemi republiky neni nikdo, kdo by takovato reseni dodaval a zatim se mi nepodarilo najit ani zahranicniho dodavatele mimo Staty. Samozrejme, pri komunikaci pres jina prenosova media lze pouzit obdobne postupy. V dohledne dobe si budeme delat sami pro sebe popsane sifrovani serioveho kanalu implementovat, ale pro Unix (zabezpecovat Windowsy je stejne jako zalepovat tekouci cednik), takze asi nic pro vas. S pozdravem Dan Lukes Dan Lukes, Patkova 3/B1206, Praha 8, Czech Republic tel +42-(2)-8551040 ext 776, E-Mail: LUKES(or Postmaster)@Menza.MFF.CUNI.CZ
Next Article (by Subject): Re: Bezpecnost komunikace versus firmy z USA =?ISO-8859-2?Q?Hanu=B9_Adler?=
Previous Article (by Subject): Re: Bezpecnost komunikace versus firmy z USA Dan Lukes
Top of Thread: Bezpecnost komunikace versus firmy z USA Vodicka Petr
Next in Thread: Re: Bezpecnost komunikace versus firmy z USA =?ISO-8859-2?Q?Hanu=B9_Adler?=
Articles sorted by: [Date]
[Author]
[Subject]