DŮLEŽITÉ UPOZORNĚNÍ!
Policie České republiky se zajímá o IP-adresy osob, které komentují tento blog. Ve vlastním zájmu zde proto nic nepopírejte, nezpochybňujte, neschvalujte, neospravedlňujte, nikoho a nic nehanobte, nepodporujte a nepropagujte, a pokud se přesto rozhodnete komentář přidat, pak se, prosím, ničemu nedivte.
Aktuálně: Výnos sbírky pro Vlastimila Pechance dosáhl ke dni 6. 10. 2016 částky 59 416 Kč.
Výtěžek prvního benefičního koncertu, který se uskutečnil dne 12. 3. 2016, činil 13 500 Kč.

úterý 18. listopadu 2014

Smí policie dešifrovat komunikaci?

Informační spor s ministerstvem vnitra o zadávací dokumentaci k dešifrování komunikace pozvolna přešel do střední hry: soupeř rozvinul nadějnou křídelní kombinaci, ale my útočíme středem přímo na jeho krále, a kromě toho, že jsme odmítli předložený důvod utajení požadovaných informací, ptáme se, jestli není celá šifrovací zakázka přípravou k činnosti, kterou policie vůbec není oprávněna vykonávat. Zvláště mne pobavilo, jak pečlivě je v rozhodnutí utajen odpovědný útvar, jímž je podle čísla jednacího Útvar zvláštních činností SKPV; zvláštní činnosti, to je policejní eufemismus pro odposlechy, tedy jediný prostředek, který je policie schopna při odhalování trestné činnosti aspoň trochu obstojně zvládnout (a jen se občas nestačí divit, že soud jí předestřenou interpretaci odposlechů a jejich tajné řeči neakceptuje).

16 komentářů:

  1. Smí policie dešifrovat komunikaci? Řekl bych, že ano. Vždyť šifrování začíná už u záměny slov (například kapříci místo balíku peněz).

    OdpovědětVymazat
    Odpovědi
    1. umoznuje to zakon o PCR?

      Vymazat
    2. Zamena je substituce mozna tak jeste kodovani, navic ta operace se provadi nad znaky, nikoliv slovy.

      Vymazat
    3. Já nerozumím nadpisu. Jsou algoritmy, které nejsou v reálném čase rozsifrovatelné. Státním učedníkům to ale nikdo nevysvětlil. Třeba nechcteji slyšet, nebo chteji zase poroucet dešti větru?

      Petr V

      Vymazat
  2. Stejně se divim, že to zkoušej. Kdo nepoužije PGP tak vyrobí soubor ve TrueCryptu, použije nejméně 2, nejlépe 3 šifry a ten soubor si pak posílá se svým okolím. Adresát přijme, připojí virtuál, přečte, vloží soubor s odpovědí a pošle zpět. Ani NSA neni schopná něco takového dešifrovat v rozumné době (řádově roky).
    Co si od toho slibujou? I to blbý PGP je slušnej vořech a nemaj na něj.

    OdpovědětVymazat
    Odpovědi
    1. Spousta levných zařízení (routery) s malým výpočetním výkonem šifruje tak, že se to prolomit dá (teď si nevybavím název toho šifrování). Nepředpokládám ale, že by někdo, kdo potřebuje data opravdu chránit, něco takového používal. Takže také nechápu, o co jim jde. Jedině že by chtěli plošně šmírovat ty šmudly, co šifrujou blbě.
      No, možná že mezi ty šmudly můžeme směle zařadit i naprostou většinu těch, co se motají okolo "práva", viz to "anonymizované" PDF, co tu TP tuhle vystavoval :-)

      No, pak ještě dvě věci: V komerčních věcech mohou být zadní vrátka (na to jsou v CIA kabrňáci) a v těch s volným kódem zase chyby (viz naposledy v OpenSSL, na jaře jsem záplatoval, jako splašený).

      Každý není jako TP, aby měl desktop na Linuxu. Já taky ne, ale jenom kvůli aplikačnímu SW.

      Q

      Vymazat
    2. Pletete hodne veci dohromady.
      - na rychlosti zarizeni nezalazi, jak kvalitne sifruje, je to vzdy otazka implementace dane sifry a pouziti dostatecne silneho sifrovani
      - chyby jsou ve vsech produktech, jak volnych, tak placenych
      - zadni vratka nevklada ani tak CIA, ale treba takova IEEE umyslne nepouziva silne sifrovani pro prumyslove produkty, Intel davava nekvalitni generator pseudonahodnych cisel apod.
      - smirovani je zjevne zalozenim uz jen CSIRT.cz tymu

      Vymazat
    3. "Pletete hodne veci dohromady." To je úděl krátkých odpovědí v diskusích.

      "- na rychlosti zarizeni nezalazi, jak kvalitne sifruje, je to vzdy otazka implementace dane sifry a pouziti dostatecne silneho sifrovani"
      Které ovšem většinou vyžaduje vyšší výpočetní výkon – a ten se dá snížit jenom kvalitou algoritmu.
      Já své šifrované tunely řeším na OpenVPN, nějaký výpočetní výkon to stojí a jinak to být nemůže. Malá krabička s procesorem o příkonu 1W prostě kvalitní šifru neupočítá dostatrčně rychle.

      "- chyby jsou ve vsech produktech, jak volnych, tak placenych"
      No jistě, jenže v těch uzavřených se docela těžko zjišťují. Nechtěl jsem aby to vyznělo proti free SW. Jsem jeho skalním zastáncem.

      Rozveďte poslední 2 body, prosím.

      Q.





      Vymazat
  3. Já nerozumím nadpisu. Jsou algoritmy, které nejsou v reálném čase rozsifrovatelné. Státním učedníkům to ale nikdo nevysvětlil. Třeba nechcteji slyšet, nebo chteji zase poroucet dešti větru?

    Petr V

    OdpovědětVymazat
  4. Tak snad zaleží, jak si šifrování na routeru nastavite. To ze tam můžete nastavit nejake jednoduché, které snadno prolomite a pak o tom napíšete na internet clanek, jak jsou routery spatne zabezpečené a nekteri noumove to pak opakuji...

    Petr V

    OdpovědětVymazat
    Odpovědi
    1. "Tak snad zaleží, jak si šifrování na routeru nastavite."
      Nojo, u těch velkých ano, u malých nikoli. Pro daný požadavek na rychlost to neupočítají, i kdyby tu lepší šifru uměly. Ony ty lepší šifry, mrchy, žerou víc výpočetního výkonu. Úspěšný právník má tak nějak taky vyšší hodinovou sazbu, než ten, co vyleze ze školy. Psal jsem: " levných zařízení (routery) s malým výpočetním výkonem".

      Q.

      Vymazat
    2. Ethernetový router nešifruje, a máte-li na mysli wi-fi router, přes ten rozumní lidé v plaintextu nic neposílají. Theoreticky to může být problém, jedině když má někdo notebook nebo tablet připojený bezdrátově, ale pokud jde o data do/z WAN, ty si stejně policie může odposlechnout za ADSL modemem, a data uvnitř sítě (např. do/z NASu) normálně šifrovaná jsou. Takže nevím, proč by měl být router se slabým šifrováním zdrojem významného risika.

      Vymazat
    3. Nevim co myslite ethernetovym routerem, resp. nevim proc zduraznujete fyzickou vrstvu - ethernet, ta s tim nema nic spolecneho viz http://cs.wikipedia.org/wiki/Fyzick%C3%A1_vrstva.
      Routery uz cca 15 let sifrovat umi, jak jinak byste navazal spojeni s routerem pres ssh, ssl?

      Take maji uz dneska ruzne moznosti sifrovat vybrane toky dat, typicky VPN, ssh tunely, IPSEC a jine - ano neni to typicka vlastnost routeru, ale umi (HP, Cisco, H3, Mikrotik).

      Vymazat
    4. Anonymní 20. listopadu 2014 7:22:

      Ano, rozumíme si. Měl jsem na mysli router, jako fyzické zařízení, nikoli router, jako pojmenování funkcionality zařízení v TCP/IP sítích (zřejmě myslel p. Pecina).

      Mimochodem, Mikrotik – nechápu! Tolik muziky za tak malé peníze, to je úžasné. Cenou je mezi těmi "malými", o nichž jsem mluvil, ale výkonem nikoli.

      TP:

      Konkrétně jsme to myslel takto: LAN1 - jakýkoli provoz, pak "chytrý router s
      šifrovaným IP tunelem a firewallem", dále WAN (tam sídlí vlci), pak opět "chytrý router s šifrovaným IP tunelem a firewallem" a další LAN (LAN2).
      Pohled LAN1 -> LAN2 je pak transparentní a bezpečnost proti vlkům je dána kvalitou tunelu. Rychlost spojení LAN1 – LAN2 pak závisí na kvalitě implementace šifry a výkonu šifrovacího stroje v routeru (a samozřejmě fyzické propustnosti vedení, tu neuvažuji). Dále uvažuji, že na LAN už vlci nesídlí.
      Místo LAN2 (LANx) může být třeba jeden uživatel s jedním počítačem, pak musí vše běžet přímo na jeho stroji (z hlediska bezpečnosti není optimální).
      Mám tedy na mysli šifrování "za letu". Pokud si něco zašifruji a pak to pošlu "vlčí cestou", tak je situace jednodušší. To ale pro stálou práci není.

      Tenhle princip umožňuje zřídit spisovnu v bezpečné oblasti. Chránit se pak musí jenom klíč.

      Q.

      Vymazat
    5. Nerozumime si, router je zarizeni, ktere routuje (cesky hleda-ukazuje cestu), tedy v referencnim modelu ISO/OSI, pracuje na 3. vrstve, treba v ATM sitich.
      TCP/IP je nozina protokolu.

      Vymazat
    6. Ok, tak jinak, tak co si podle Vás musí občan koupit, aby mohl při brouzdani po stránkách nahatic se cítit v soukromí?

      Toto nestačí? http://m.alza.cz/edimax-br-6428nc-d518026.htm

      Petr V

      Vymazat

Kursiva: <i>text</i>
Tučně (když už to musí být…): <b>text</b>
Odkaz: <a href = "http://adresa">název odkazu</a>, tedy <a href = ""></a>