Приветствую! Сегодня я увидел ресурс/проект SAFE: "Базовые принципы информационной безопасности, советы и инструкции, как сделать свои коммуникации защищенными". БОльшая часть информации разумна, на мой взгляд. Раздел c "самой надёжной электронной почтой" мне понравился тем что действительно нет серебряной пули и простого ответа что же выбрать и что делать. ------------------------ >8 ------------------------ Но вот раздел "Принципы парольной защиты" меня удивил и полностью не соответствует рекомендациям криптографов и специалистов по безопасности которых я читал/видел/слышал. А точнее удручает пункт "Избегайте паролей-фраз". Как же так? Все действительно серьёзные программы именно и только парольные фразы и заставляют вводить парольные фразы, но никак не пароли. Пароль это строчка с высокоэнтропийными символами: то есть это то, что человеку сложно запомнить, поэтому априори будет означать что большинство не будут никогда заморачиваться и будут применять или короткие пароли (которые можно будет простым brute-force перебрать) или записывать их где-то рядом чтобы не забыть ненароком. Парольная фраза решает проблему тем, что в ней много низкоэнтропийных символов -- главное что много. То есть, в худшем случае каждый символ английского языка имеет один бит энтропии, но если их будет под сотню или более, то мы получим легкозапоминаемую фразу с высокой энтропией -- легко запомнить и нельзя перебрать. Пароль: сложно запомнить и зачастую легко перебрать из-за неудобства запоминания и использования длинных паролей. Как объяснение говорится о том что "Такой пароль может оказаться в специальных словарях". Разница между паролем и парольной фразу только в том, что в пароле "атомом", "словом" является один символ, а в парольной фразе целое слово. У злоумышленника точно так же есть "словарь" из символов английского/другого языка. Brute-force парольной фразы ничем не отличается от brute-force пароля. Парольную фразу можно сделать легко перебираемой точно так же как и пароль. Более того, в разделе "Как создать и запомнить надежный пароль" вы по факту как-раз придумываете и описываете метод создания именно парольной фразы. Примените правила "замены" символов ("ч" -> "4", итд) к короткому стишку и вот у вас легко запоминаемая парольная фраза, которую не так тривиально перебрать из-за замен, но самое главное у вас при этом нет правил о том как эту парольную фразу "захэшировать" -- превратить в короткую строчку. Но это всё касается паролей/парольных фраз которые люди должны запоминать. Против использования длинных паролей которые всё-равно будут сохранены в базе данных локальной (типа KeyPassX) -- само собой, ничего против не имею и поддерживаю. ------------------------ >8 ------------------------ К сожалению на всём этом ресурсе нет ни слова про свободное программное обеспечение. Несвободное ПО -- равносильно тому, что вы не управляете своим компьютером и поэтому говорить о какой-либо безопасности становится бессмысленно. В "Критериях выбора программ" указано что она должна быть "открытой" -- действительно это важно, но оно не гарантирует что на основе этого кода можете воссоздать/скомпилировать эту программу, исправить что-то, использовать её в любых целях. Открытость -- необходимо, но, само по себе, не даёт ничего в плане безопасности. Также в "критериях" есть пункт о "бесплатности" -- на мой взгляд, платная она или нет никоим образом не влияет на качество выполнения задач. Безусловно это приятный "бонус", но в принципе не учитывать платные программы и считать что плата за них является недостойным критерием -- как-то странно. Речь же о безопасности, о приватности, а не о том как бы это подешевле сделать? А то, в итоге, получается что в "глоссарии" GnuPG это просто навсего "Популярная бесплатная программа для шифрования информации, альтернативная PGP". Ни слова о том что это свободное ПО. Тем ли она ценна что бесплатна, неужели это настолько основное её отличие? Ещё придерусь: PGP и GnuPG это программы реализующие стандарт OpenPGP -- это важно понимать и иметь в виду что, грубо говоря, они совместимы по формату между собой и их можно совместно использовать. И ещё придерусь: и PGP и GnuPG не только умеют шифровать -- как мне кажется, чаще всего их используют для создания/проверки ЭЦП. Гораздо гораздо чаще и важнее людям иметь аутентификацию, а не конфиденциальность данных. -- Sergey Matveev (http://www.stargrave.org/) OpenPGP: CF60 E89A 5923 1E76 E263 6422 AE1A 8109 E498 57EF