SAFE.rublacklist.net

From: Sergey Matveev <stargrave_at_domain.hidden>
Date: Wed, 25 Jan 2017 11:39:40 +0300
Message-ID: <20170125083940.GA2861_at_domain.hidden>
Приветствую!

Сегодня я увидел ресурс/проект SAFE: "Базовые принципы информационной
безопасности, советы и инструкции, как сделать свои коммуникации
защищенными".

БОльшая часть информации разумна, на мой взгляд. Раздел c "самой
надёжной электронной почтой" мне понравился тем что действительно нет
серебряной пули и простого ответа что же выбрать и что делать.

------------------------ >8 ------------------------

Но вот раздел "Принципы парольной защиты" меня удивил и полностью не
соответствует рекомендациям криптографов и специалистов по безопасности
которых я читал/видел/слышал. А точнее удручает пункт "Избегайте
паролей-фраз". Как же так? Все действительно серьёзные программы именно
и только парольные фразы и заставляют вводить парольные фразы, но никак
не пароли. Пароль это строчка с высокоэнтропийными символами: то есть
это то, что человеку сложно запомнить, поэтому априори будет означать
что большинство не будут никогда заморачиваться и будут применять или
короткие пароли (которые можно будет простым brute-force перебрать) или
записывать их где-то рядом чтобы не забыть ненароком. Парольная фраза
решает проблему тем, что в ней много низкоэнтропийных символов --
главное что много. То есть, в худшем случае каждый символ английского
языка имеет один бит энтропии, но если их будет под сотню или более, то
мы получим легкозапоминаемую фразу с высокой энтропией -- легко
запомнить и нельзя перебрать. Пароль: сложно запомнить и зачастую легко
перебрать из-за неудобства запоминания и использования длинных паролей.

Как объяснение говорится о том что "Такой пароль может оказаться в
специальных словарях". Разница между паролем и парольной фразу только в
том, что в пароле "атомом", "словом" является один символ, а в парольной
фразе целое слово. У злоумышленника точно так же есть "словарь" из
символов английского/другого языка. Brute-force парольной фразы ничем не
отличается от brute-force пароля. Парольную фразу можно сделать легко
перебираемой точно так же как и пароль.

Более того, в разделе "Как создать и запомнить надежный пароль" вы по
факту как-раз придумываете и описываете метод создания именно парольной
фразы. Примените правила "замены" символов ("ч" -> "4", итд) к короткому
стишку и вот у вас легко запоминаемая парольная фраза, которую не так
тривиально перебрать из-за замен, но самое главное у вас при этом нет
правил о том как эту парольную фразу "захэшировать" -- превратить в
короткую строчку.

Но это всё касается паролей/парольных фраз которые люди должны
запоминать. Против использования длинных паролей которые всё-равно будут
сохранены в базе данных локальной (типа KeyPassX) -- само собой, ничего
против не имею и поддерживаю.

------------------------ >8 ------------------------

К сожалению на всём этом ресурсе нет ни слова про свободное программное
обеспечение. Несвободное ПО -- равносильно тому, что вы не управляете
своим компьютером и поэтому говорить о какой-либо безопасности
становится бессмысленно. В "Критериях выбора программ" указано что она
должна быть "открытой" -- действительно это важно, но оно не гарантирует
что на основе этого кода можете воссоздать/скомпилировать эту программу,
исправить что-то, использовать её в любых целях. Открытость --
необходимо, но, само по себе, не даёт ничего в плане безопасности.

Также в "критериях" есть пункт о "бесплатности" -- на мой взгляд,
платная она или нет никоим образом не влияет на качество выполнения
задач. Безусловно это приятный "бонус", но в принципе не учитывать
платные программы и считать что плата за них является недостойным
критерием -- как-то странно. Речь же о безопасности, о приватности, а не
о том как бы это подешевле сделать?

А то, в итоге, получается что в "глоссарии" GnuPG это просто навсего
"Популярная бесплатная программа для шифрования информации,
альтернативная PGP". Ни слова о том что это свободное ПО. Тем ли она
ценна что бесплатна, неужели это настолько основное её отличие?

Ещё придерусь: PGP и GnuPG это программы реализующие стандарт OpenPGP --
это важно понимать и иметь в виду что, грубо говоря, они совместимы по
формату между собой и их можно совместно использовать. И ещё придерусь:
и PGP и GnuPG не только умеют шифровать -- как мне кажется, чаще всего
их используют для создания/проверки ЭЦП. Гораздо гораздо чаще и важнее
людям иметь аутентификацию, а не конфиденциальность данных.

-- 
Sergey Matveev (http://www.stargrave.org/)
OpenPGP: CF60 E89A 5923 1E76 E263  6422 AE1A 8109 E498 57EF

Received on 2017-01-25 08:39:40 UTC

This archive was generated by hypermail 2.4.0 : 2021-02-19 09:12:56 UTC