Witam.
Myślałem nad zabezpieczeniem laptopa przed niepowołanym dostępem.
Wiadomo, że żadne hasła w win i innych biosach są banalnie proste do
obejścia. No i wymyśliłem sobie, że najlepszy byłoby wstawienie
między płytę główną a dysk jakieś cuś(roboczo nazwijmy to emulatorem)
który po uruchomieniu komputera monitowałby o podanie hasła a potem
tego hasła używał do deszyfrowania danych z dysku 'w locie'.
Tak żeby to działało w dwie strony i tylko dane w pamięci ram były
odszyfrowane. Odcinamy prąd i wszystko jest znowu bezpieczne(no bo
przecież to hasło nie jest nigdzie zapisane, a jedynie dane
są zaszyfrowane za jego pomocą).

Istnieje jakieś takie coś na rynku? Czy wymyśliłem perpetum
mobile? ;-)

--
Pozdrawiam,
Sqeeb

Sqeeb napisał(a):

Istnieje jakieś takie coś na rynku? Czy wymyśliłem perpetum
mobile? ;-)

Owszem. Są już dyski, które mają taką technologię sprzętowego szyfrowania danych wbudowaną np: http://www.seagate.com/www/pl-pl/products/laptops/momentus/momentus_7200_fde/

j.

--
"Analfabeta nigdy nie robi błędów ortograficznych"
(o czym wyczytałem w "Przekroju", cytat z pamięci).

On 12 Mar 2009 15:10:44 +0100
januszek <januszek@polska.irc.pl> wrote:

Sqeeb napisał(a):

> Istnieje jakieś takie coś na rynku? Czy wymyśliłem perpetum
> mobile? ;-)

Owszem. Są już dyski, które mają taką technologię sprzętowego szyfrowania danych wbudowaną np: http://www.seagate.com/www/pl-pl/products/laptops/momentus/momentus_7200_fde/

Ale ja prosiłem o hasło wstukiwane po klawiaturze a nie skanowanie siatkówki ;-]
Ja skanera nie mam!

--
Pozdrawiam,
Sqeeb

Sqeeb napisał(a):
 

http://www.seagate.com/www/pl-pl/products/laptops/momentus/momentus_7200_fde/

Ale ja prosiłem o hasło wstukiwane po klawiaturze a nie skanowanie siatkówki ;-]
Ja skanera nie mam!

Sugeruję przeczytać opis raz jeszcze, zwracając uwagę na przecinki ;P

A tu masz test tego dysku: http://www.tomshardware.com/reviews/momentus-5400-fde,1742-4.html

j.

--
"Analfabeta nigdy nie robi błędów ortograficznych"
(o czym wyczytałem w "Przekroju", cytat z pamięci).

On 12 Mar 2009 20:42:22 +0100
januszek <januszek@polska.irc.pl> wrote:

Sugeruję przeczytać opis raz jeszcze, zwracając uwagę na przecinki ;P

Żartowałem ino.
 

A tu masz test tego dysku: http://www.tomshardware.com/reviews/momentus-5400-fde,1742-4.html

Dzięki.

A wszelki software jaki jest dostępny na jakiej zasadzie działa?
Przy urchamianiu systemu zapytuje o klucz czy po uruchomieniu systemu?

--
Pozdrawiam,
Sqeeb

Sqeeb napisał(a):

http://www.tomshardware.com/reviews/momentus-5400-fde,1742-4.html

Dzięki.

A wszelki software jaki jest dostępny na jakiej zasadzie działa?
Przy urchamianiu systemu zapytuje o klucz czy po uruchomieniu systemu?

Bazując na tym opisie z tomshardware: "After installation of the security software, there will be a small second partition on your Momentus 5400 FDE.2 hard drive. This will be the boot partition from now on, and controls access to your vital data partition. In this way, the software can prompt you for the password to grant access to the encrypted partition. That partition appears to be empty if the drive is hooked up to another system" - mogę Ci odpowiedzieć, że ten soft tworzy małą partycję rozruchową, która służy do uruchomienia programu,
który pyta o hasło a potem montuje zaszyfrowaną partycję i z niej już
startuje system operacyjny. Po uruchomieniu tego systemu, ta mała partycja wygląda na pustą.

Tu warto zauważyć, że podobną funkcjonalność możesz osiągnąć stosując
oprogramowanie TrueCrypt. Na pewno wyjdzie taniej ;) j.

--
"Analfabeta nigdy nie robi błędów ortograficznych"
(o czym wyczytałem w "Przekroju", cytat z pamięci).

Istnieje jakieś takie coś na rynku? Czy wymyśliłem perpetum
mobile? ;-)

Zainteresuj się darmowym programem Truecrypt; możesz zaszyfrować dysk łącznie z systemowym, tak że jeśli dostanie sie w niepowołane ręce to nie ma szans na wyciągniecie danych - prócz próby odgadnięcia hasła. Oczywiście, jeśli zapomnisz hasła, to żegnasz się z danymi, bo przy mocnym haśle jego odczytanie potrwa pewnie dłużej niż życie tego sprzętu.

--
http://ikov.bikestats.pl

"NIE MA SPRAWIEDLIWOŚCI. JESTEM TYLKO JA."
Śmierć
Terry Pratchett - Świat Dysku

http://allegro.pl/item570533655_zabezpiecz_swoj_dysk_skutecznie_szyfrator.html

to pewnie spełni Twe wymagania, ale wersja z aukcji jest do PieCa a nie do laptopa
może jednak są jakies odpowiednie?

dominik

On Thu, 12 Mar 2009 17:45:14 +0100
"Dominik" <domikw@kosz_gmail._com> wrote:

http://allegro.pl/item570533655_zabezpiecz_swoj_dysk_skutecznie_szyfrator..html

to pewnie spełni Twe wymagania, ale wersja z aukcji jest do PieCa a nie do laptopa
może jednak są jakies odpowiednie?

No właśnie to wciąż pozostaje bez odpowiedzi.

--
Pozdrawiam,
Sqeeb

On Thu, 12 Mar 2009 17:45:14 +0100
"Dominik" <domikw@kosz_gmail._com> wrote:

http://allegro.pl/item570533655_zabezpiecz_swoj_dysk_skutecznie_szyfrator..html

Nie, nieeeee... Panowie, mnie nie interesuje żadne 'chowanie kluczy'.
Klucz ja mam w głowie i wklepuje go w klawiature przy uruchamianiu systemu.
Żadnych rzeczy materialnych.

--
Pozdrawiam,
Sqeeb

Użytkownik "Sqeeb" <sqeeb@internet.community> napisał w wiadomości news:20090312194830.b1f142e1.sqeebinternet.community...
Nie, nieeeee... Panowie, mnie nie interesuje żadne 'chowanie kluczy'.
Klucz ja mam w głowie i wklepuje go w klawiature przy uruchamianiu systemu.
Żadnych rzeczy materialnych.


to po co sprzetowo, zwlaszcza ze w laptopie miejsca na zadne dodatkowe
przejsciowki nie uswiadczysz?

truecrtypt, free compusec...

Użytkownik "Sqeeb" <sqeeb@internet.community> napisał w wiadomości news:20090312144932.1d5ae8bc.sqeebinternet.community...

Myślałem nad zabezpieczeniem laptopa przed niepowołanym dostępem.

<ciach>

Np. WinMagic SecureDoc

--
Porozmawiajmy o wirtualizacji
-> http://www.virtual-it.pl/
     http://forum.virtual-it.pl/

On Thu, 12 Mar 2009 20:20:11 +0100
"Washi" <spam@nie.pl> wrote:

Np. WinMagic SecureDoc

Np. doczytaj do końca post ;-]

--
Pozdrawiam,
Sqeeb

Użytkownik "Sqeeb" <sqeeb@internet.community> napisał w wiadomości news:20090312214214.a08e7f99.sqeebinternet.community...

Np. doczytaj do końca post ;-]

Moze poczytaj o rozwiazaniu, ktore Ci zaproponowalem. Mozesz soft mozesz np. polaczyc z kluczem na smart card. By moc je testowac zostajesz najpierw przeswietlony przez Agencji Bezpieczeństwa Wewnętrznego, jak myslisz dlaczego tak jest??

Washi
--
Porozmawiajmy o wirtualizacji
-> http://www.virtual-it.pl/
     http://forum.virtual-it.pl/

Sqeeb pisze:

Witam.
Myślałem nad zabezpieczeniem laptopa przed niepowołanym dostępem.

Po pierwsze NieTaGrupa dyskusyjna.
Dwa darmowe programy do szyfrowania dysków
1. Truecrypt
2. FREE CompuSec

Polecam 1. ponieważ darmowy oraz opensource stale rozwijany.

--
http://kamikaze.mp.waw.pl/
Gaz pieprzowy, obezwładniający, łzawiący, który wybrać?
Odpowiedź znajdziesz na stronie:
http://kamikaze.mp.waw.pl/gaz/

"Kamikazee" napisał:

Myślałem nad zabezpieczeniem laptopa przed niepowołanym dostępem.

Po pierwsze NieTaGrupa dyskusyjna.

Z ciekawości - dlaczego?

JoteR

JoteR pisze:

Po pierwsze NieTaGrupa dyskusyjna.

Z ciekawości - dlaczego?

Bo ta grupa jest o sprzęcie nie programach.

"Kamikazee" napisał:

>> Po pierwsze NieTaGrupa dyskusyjna.

Z ciekawości - dlaczego?

Bo ta grupa jest o sprzęcie nie programach.

A o co pytał wątkotwórca? Mam zacytować, czy sam sprawdzisz?

JoteR

JoteR pisze:

A o co pytał wątkotwórca? Mam zacytować, czy sam sprawdzisz?

Pomoroczność jasna.

--
http://kamikaze.mp.waw.pl/
Gaz pieprzowy, obezwładniający, łzawiący, który wybrać?
Odpowiedź znajdziesz na stronie:
http://kamikaze.mp.waw.pl/gaz/

Sqeeb wrote:

Istnieje jakieś takie coś na rynku? Czy wymyśliłem perpetum
mobile? ;-)

U mnie w firmie na wszystkich laptopach stosuje się coś o nazwie Safeboot - prosi o hasło przed startem systemu a dysk jest zaszyfrowany... Nie pamiętam jaka jest siła szyfrowania ale jeżdżąc do niektórych krajów trzeba to odinstalowywać...

KZ

Sqeeb pisze:

Witam.
Myślałem nad zabezpieczeniem laptopa przed niepowołanym dostępem.
Wiadomo, że żadne hasła w win i innych biosach są banalnie proste

Istnieje jakieś takie coś na rynku? Czy wymyśliłem perpetum
mobile? ;-)

Wymyśliłeś coś, co od dawna jest na rynku. Dowolny silny
algorytm szyfrujący (spokojnie do zaszyfrowania całości wystarczy
AES256bit - algorytmy są teraz bardzo szybkie przy standardowym
dwurdzeniowym CPU osiąga wydajność szyfrowania rzędu 200 MB/s, więc
nie wprowadza praktycznie spowolnienia) + preboot authentication

Kilka osób polecało Truecrypta i to jest dobre rozwiązanie darmowe,
multiplatformowe oraz co najważniejsze - OpenSource co gwarantuje
bezpieczeństwo i bo źródła są jawne. Praktycznie każdy zamknięty,
komercyjny produkt z UE/USA musi mieć tylną furtkę, dlatego wspomniany
produkt komercyjny IMHO odpada. A szyfrowanie laptopów i pendrive to
powinna być dobra praktyka, wręcz obowiązek wszystkich funkcjonariuszy
publicznych by potem nie walały się na ulicy w Pruszkowie pendive z
dokumentacją 4 lat niejawnych postępowań przygotowawczych.

--
Pozdrawiam, Michal Bien
#GG: 351722 #ICQ: 101413938
JID: mbien@jabberpl.org

On Fri, 13 Mar 2009 20:58:24 +0100
Michal Bien <mbien@uw.edu.pl.invalid> wrote:

Kilka osób polecało Truecrypta i to jest dobre rozwiązanie darmowe,
multiplatformowe oraz co najważniejsze - OpenSource co gwarantuje
bezpieczeństwo i bo źródła są jawne. Praktycznie każdy zamknięty,
komercyjny produkt z UE/USA musi mieć tylną furtkę, dlatego wspomniany

I chociaż jeszcze nie testowałem tego, to sądzę że to rozwiązanie jest
w sam raz dla mnie.

Jedno pytanie - czy to spowalnia pracę? 'To' w sensie szyfrowanie
danych? Czy dysk/system pracuje jakby tego nie było?

--
Pozdrawiam,
Sqeeb

Sqeeb pisze:

Jedno pytanie - czy to spowalnia pracę? 'To' w sensie szyfrowanie
danych? Czy dysk/system pracuje jakby tego nie było?

Zależy jaki algorytm szyfrowania wybierzesz przy AES na oko oceniam spowolnienie na około 5%-10%. Nie robiłem żadnych benchmarków.

--
http://kamikaze.mp.waw.pl/
Gaz pieprzowy, obezwładniający, łzawiący, który wybrać?
Odpowiedź znajdziesz na stronie:
http://kamikaze.mp.waw.pl/gaz/

Sqeeb pisze:

I chociaż jeszcze nie testowałem tego, to sądzę że to rozwiązanie jest
w sam raz dla mnie.

Jedno pytanie - czy to spowalnia pracę? 'To' w sensie szyfrowanie
danych? Czy dysk/system pracuje jakby tego nie było?

Na całkiem już leciwym laptopie (ultraportable, a do jego wydajności
powoli zbliżają się netbooki) na PentiumM 738 - Dothan
1,4 GHz spowolnienie jest praktycznie niezauważalne - barierą jest
nie szyfrowanie, a szybkość dysków. Przy pendrive to samo. Na desktopie
nie wiem, bo za bardzo nie widzę większego sensu stosowania - w
odróżnieniu od laptopa czy pendrive szansa zgubienia jest raczej
niewielka, a zabezpieczanie się na wypadek włamania jest już lekką
paranoją. W przypadku desktopa gdzie wchodzą w grę również zadania
związane z obciążeniem CPU w trakcie transferów dyskowych (np: gry,
enkodowanie obszernego materiału wideo itp) trzeba liczyć się z
poświęceniem mocy CPU na szyfrowanie zapisywanych/odczytwanych danych,
ale to nie jest obciążenie ciągłe i raczej rzędu 20-30% na budżetowych
obecnie CPU dwurdzeniowych, przy szybszych i wielordzeniowych lepiej,
bo zadania kryptograficznie ładnie się paralelizują.

--
Pozdrawiam, Michal Bien
#GG: 351722 #ICQ: 101413938
JID: mbien@jabberpl.org

** Michal Bien <mbien@uw.edu.pl.invalid> wrote:

Kilka osób polecało Truecrypta i to jest dobre rozwiązanie darmowe,
multiplatformowe oraz co najważniejsze - OpenSource co gwarantuje
bezpieczeństwo i bo źródła są jawne.

Gwarantuje? :) Ja bym napisał, że sprzyja, ale gwarancji to nikt Ci nie daje
żadnych...

Praktycznie każdy zamknięty, komercyjny produkt z UE/USA musi mieć tylną
furtkę,

Musi ponieważ? Na jakieś zapisy prawne się powołujesz?

dlatego wspomniany produkt komercyjny IMHO odpada. A szyfrowanie laptopów i
pendrive to powinna być dobra praktyka, wręcz obowiązek wszystkich
funkcjonariuszy publicznych by potem nie walały się na ulicy w Pruszkowie
pendive z dokumentacją 4 lat niejawnych postępowań przygotowawczych.

Tego typu niejawne dokumenty w ogóle nie powinny być składowane i przetwarzane
na urządzeniach mobilnych w pierwszej kolejności (bez znaczenia czy
szyfrowanych czy nie).

--
    +                                 '                      .-.     .
                               ,                         *    ) )
  http://kosmosik.net/                     .           .     '-'  . kK

Konrad Kosmowski pisze:

** Michal Bien <mbien@uw.edu.pl.invalid> wrote:

Kilka osób polecało Truecrypta i to jest dobre rozwiązanie darmowe,
multiplatformowe oraz co najważniejsze - OpenSource co gwarantuje
bezpieczeństwo i bo źródła są jawne.

Gwarantuje? :) Ja bym napisał, że sprzyja, ale gwarancji to nikt Ci nie daje
żadnych...

Choćby gwarancję wglądu w kod, o czym nie ma mowy w rozwiązaniach
zamkniętych. Oczywiście nie ma się gwarancji że w samym algorytmie czy
lego implementacji nie zostanie odkryta luka bezpieczeństwa, ale przy
dość długiej obecności na rynku AES i samego wspomnianego programu
istnieje stosunkowo niewielka możliwość wystąpienia takiej sytuacji.

Praktycznie każdy zamknięty, komercyjny produkt z UE/USA musi mieć tylną
furtkę,

Musi ponieważ? Na jakieś zapisy prawne się powołujesz?

Prawodawstwo UE, w tym przypadku w szczególności niemieckie to jest
takie zagmatwane bagno, że w PL mało kto się tym zajmuje i dokładnie
zna. Mogę napisać tylko tyle (tak wysoki poziom ogólności że nie ma mowy
o naruszeniu tajemnicy) że ilekroć w prokuraturze była potrzeba
odszyfrowania danych z programu producenta mającego siedzibę na terenie
UE, najczęściej pewniej niemieckiej firmy, występowano o klucz
i po około miesiącu producent przysyłał klucz.
Zazwyczaj nie pasował, występowano ponownie i jeszcze raz i po kilku
podejściach osiągano zamierzony skutek. Przy danych z rozwiązań OS, w
szczególności wspomnianego truecrpta było tylko zgrzytanie zębami  i o
ile klient jeszcze jako świadek "nie pękł" nic nie można było z tym
zrobić - w rezultacie umarzano sprawę.

dlatego wspomniany produkt komercyjny IMHO odpada. A szyfrowanie laptopów i
pendrive to powinna być dobra praktyka, wręcz obowiązek wszystkich
funkcjonariuszy publicznych by potem nie walały się na ulicy w Pruszkowie
pendive z dokumentacją 4 lat niejawnych postępowań przygotowawczych.

Tego typu niejawne dokumenty w ogóle nie powinny być składowane i przetwarzane
na urządzeniach mobilnych w pierwszej kolejności (bez znaczenia czy
szyfrowanych czy nie).

A Kazachstan, o przepraszam, Kaczolandia rosła w siłę, a ludzie żyli
dostatniej ;>
Tyle teoria i pobożne życzenia. Nie wiem na ile masz styczność z
wymiarem sprawiedliwości, ale powszechną praktyką jest, że nie tylko
akta w formie elektronicznej, ale  również jedyna kopia akt papierowych
(dobrze że chociaż weksle/czeki itp są osobno zabezpieczane) podróżują
sobie codzienne nawet nie w teczkach (wielotomowe akta się po prostu nie
mieszczą) tylko w reklamówkach. inaczej po prostu się nie da bo cały
wymiar sprawiedliwości by się kompletnie zatkał gdyby uzasadnienia
wyroków pisać w sądzie, i tak w PL są problemy z przewlekłością
postępowania gdy nie trzeba (spr. cywilne),  a gdy często sprawę trzeba
dokładnie zbadać (post. karne) orzeka się często jedynie na podstawie
opinii tak skandalicznej jakości, że nie powinna być w ogóle dopuszczona
- biegli ze spraw karnych w ocenie wysokości szkody to jest często jakiś
kompletny surrealizm oderwany od rzeczywistości, co często wychodzi jak
np: przy rozwodach ludzie się żrą  i na siebie donoszą - biegły w
sprawie karnej np: wycenia przedmiot tylko zgodnie z twierdzeniem
poszkodowanego na 8.000 zł, w sprawie cywilnej okazuje się że to złom
elektroniczny bez wartości lub około 5 zł.
A podróże krajoznawcze akt nie nie tylko dotyczy to sędziów ale
i aplikantów. Obecny rząd ściga się na irracjonalne pomysły z poprzednim
i wziął sobie takiego min. sprawiedliwości jakiego wziął - po tym jak
upadł pomysł uzbrojenia wszystkich chętnych Polaków (najlepiej Beretta
9mm dla każdego nastolatka :> grzecznie i szybko znowu przyklepano
obniżenie standardów przyjęć na aplikacje zmniejszając limit z 250 pytań
przy min. 190 poprawnych do zdania, na 100 ze 150 - jeszcze trochę i
akta zabierać będą ludzie zdający egzamin na zasadzie kocha/nie kocha :>

--
Pozdrawiam, Michal Bien
#GG: 351722 #ICQ: 101413938
JID: mbien@jabberpl.org

Użytkownik "Michal Bien" <mbien@uw.edu.pl.invalid> napisał w wiadomości news:gpfuia$cp3$1mx1.internetia.pl...

Konrad Kosmowski pisze:

** Michal Bien <mbien@uw.edu.pl.invalid> wrote:

Prawodawstwo UE, w tym przypadku w szczególności niemieckie to jest
takie zagmatwane bagno, że w PL mało kto się tym zajmuje i dokładnie
zna. Mogę napisać tylko tyle (tak wysoki poziom ogólności że nie ma mowy
o naruszeniu tajemnicy) że ilekroć w prokuraturze była potrzeba
odszyfrowania danych z programu producenta mającego siedzibę na terenie
UE, najczęściej pewniej niemieckiej firmy, występowano o klucz
i po około miesiącu producent przysyłał klucz.
Zazwyczaj nie pasował, występowano ponownie i jeszcze raz i po kilku
podejściach osiągano zamierzony skutek. Przy danych z rozwiązań OS, w
szczególności wspomnianego truecrpta było tylko zgrzytanie zębami  i o
ile klient jeszcze jako świadek "nie pękł" nic nie można było z tym
zrobić - w rezultacie umarzano sprawę.

A możesz zdradzić o którego producenta chodzi? Czyzby Securstar?

Pozdr,V.

Michal Bien napisał(a):

multiplatformowe oraz co najważniejsze - OpenSource co gwarantuje
bezpieczeństwo i bo źródła są jawne.

Moim zdaniem powyzsze jest najwieksza bajka jaka opowiada sie o OS. Dlaczego tak sadze? Ano dlatego, ze otwartosc kody nie gwarantuje ze nie ma w nim bledow ani backdorow. j.

--
"Analfabeta nigdy nie robi błędów ortograficznych"
(o czym wyczytałem w "Przekroju", cytat z pamięci).

On 14 Mar 2009 07:57:53 +0100
januszek <januszek@polska.irc.pl> wrote:

Michal Bien napisał(a):

> multiplatformowe oraz co najważniejsze - OpenSource co gwarantuje
> bezpieczeństwo i bo źródła są jawne. Moim zdaniem powyzsze jest najwieksza bajka jaka opowiada sie o OS. Dlaczego tak sadze? Ano dlatego, ze otwartosc kody nie gwarantuje ze nie ma w nim bledow ani backdorow.

Też tak sądze, z tym że otwartość kodu w pewnym sensie może przyspieszyć
'wyjście na jaw że owy backdoor istnieje'.

--
Pozdrawiam,
Sqeeb

Sqeeb pisze:

Dlaczego tak sadze? Ano dlatego, ze otwartosc kody nie gwarantuje ze nie ma w nim bledow ani backdorow.

Też tak sądze, z tym że otwartość kodu w pewnym sensie może przyspieszyć
'wyjście na jaw że owy backdoor istnieje'.

O to właśnie chodzi i to staram się uświadomić. Praktycznie nie ma kodu
dłuższego niż kilkadziesiąt/kilkaset linii bez błędów, za to bezczelne
zaszywanie backdoorów jest powszechne i AFAIK wymagane, w lokalnych
produktach komercyjnych, to w przypadku oprogramowania OS
jest to praktycznie niemożliwe przy takich projektach.
No i osobiście wolę gdy bezpieczeństwo danych opiera się na jawnym
kodzie i jego poprawnej implementacji, a nie na "nadzwyczaj
skomplikowanych i tajnych" protokołach jak w przypadku ZUSowskiej
Teletransmisji, gdzie na początku wciskano, że gwarancją bezpieczeństwa
protokołu jest jego tajność - jak wyszła na jaw ta "metoda" z XORowaniem
wiadomo było dlaczego :>

--
Pozdrawiam, Michal Bien
#GG: 351722 #ICQ: 101413938
JID: mbien@jabberpl.org

Sqeeb napisał(a):

Też tak sądze, z tym że otwartość kodu w pewnym sensie może przyspieszyć
'wyjście na jaw że owy backdoor istnieje'.

To jest nastepna bajka :) Zeby cokolwiek moglo wyjsc na jaw to wczesniej ktos musi taki kod analizowac. I na tym polega sedno tego. Musi byc ktos kto robi to po to aby sie podzielic wiedza ze swiatem a nie wykorzystac dla swoich korzysci. I ten ktos musi miec niesamowita wiedze. Moze to tez byc zespol ktosiow o mniejszej wiedzy. Pracujacy za darmo dla ideii (to jest wlasnie bajka) albo sowicie oplacany przez kogos komu analiza kodo z jakis powodow przyniesie korzysci (to sa realia). Druga rzecz to pojecie "backdoor" - przeciez to nie musi byc tylne wejscie tylko moze to byc maly blad w jednej linii kodu, ktory komus kto o nim wie umozliwi dobudowanie sobie takiego wejscia etc. j.

--
"Analfabeta nigdy nie robi błędów ortograficznych"
(o czym wyczytałem w "Przekroju", cytat z pamięci).

Użytkownik "Sqeeb" napisał:

Też tak sądze, z tym że otwartość kodu w pewnym sensie może przyspieszyć
'wyjście na jaw że owy backdoor istnieje'.

he he, ale tylko pd warunkiem (jak to sądzą naiwni) że owe "backdory" będą widniały w otwartym kodzie źródłowym:O)

januszek pisze:

Michal Bien napisał(a):

multiplatformowe oraz co najważniejsze - OpenSource co gwarantuje
bezpieczeństwo i bo źródła są jawne.

Moim zdaniem powyzsze jest najwieksza bajka jaka opowiada sie o OS. Dlaczego tak sadze? Ano dlatego, ze otwartosc kody nie gwarantuje ze nie ma w nim bledow ani backdorow.

Wyjaśnijmy sobie jedno - bezpieczeństw w znaczeniu braku zaszytych
backodorów, a nie braku błędów kodu, bo to dwie zupełnie różne kwestie.
Jak wygląda praktyka kryptograficznych produktów komercyjnych
(przynajmniej niektórych) dość obszernie pisałem w odpowiedzi na post
Konrada, więc nie ma sensu tego powtarzać.
Jeśli otwartość kodu nie jest uprawdopodobnieniem braku zaszytych
backdoorów, w przypadku tak stosunkowo niewielkich
i popularnych projektów jak wspomniany TrueCrypt, granicząca niemal
z pewnością, to proszę zaproponuj rozwiązanie dające lepszą gwarancję.
Wśród znajomych młodych radców prawych i adwokatów oraz aplikantów
bardzo się rozpowszechnił nie tylko ze względu na zabezpieczenie danych
w przypadku kradzieży/zgubienia sprzętu, ale również realną, a nie tylko
iluzoryczną ochronę tajemnicy zawodowej i interesów klientów przy kpk
stworzonym na miarę państwa totalitarnego i w tym zakresie praktycznie
przepisany bez zmian w 1997 r. - ochrona na podstawie samej papierowej
tajemnicy zawodowej praktycznie nie istnieje.

--
Pozdrawiam, Michal Bien
#GG: 351722 #ICQ: 101413938
JID: mbien@jabberpl.org

Michal Bien napisał(a):

Wyjaśnijmy sobie jedno - bezpieczeństw w znaczeniu braku zaszytych
backodorów, a nie braku błędów kodu, bo to dwie zupełnie różne kwestie.

Moze 10 lat temu tak bylo bo dzis to jedno i to samo :P

j.

--
"Analfabeta nigdy nie robi błędów ortograficznych"
(o czym wyczytałem w "Przekroju", cytat z pamięci).

Użytkownik "Michal Bien" napisał:

Kilka osób polecało Truecrypta i to jest dobre rozwiązanie darmowe,
multiplatformowe oraz co najważniejsze - OpenSource co gwarantuje
bezpieczeństwo i bo źródła są jawne. Praktycznie każdy zamknięty,
komercyjny produkt z UE/USA musi mieć tylną furtkę,

jesteś pewien że TC nie ma tylnej furtki?
tylko nie mów że jesteś e stanie przeanalizować 20MB kodu?:O) nie wspominając o posiadaniu kosztownego kompilator:O)

gargamel pisze:

Użytkownik "Michal Bien" napisał:

Kilka osób polecało Truecrypta i to jest dobre rozwiązanie darmowe,
multiplatformowe oraz co najważniejsze - OpenSource co gwarantuje
bezpieczeństwo i bo źródła są jawne. Praktycznie każdy zamknięty,
komercyjny produkt z UE/USA musi mieć tylną furtkę,

jesteś pewien że TC nie ma tylnej furtki?

Jestem przekonany że nie. Dlaczego, odpowiedź poniżej.

tylko nie mów że jesteś e stanie przeanalizować 20MB kodu?:O) nie
wspominając o posiadaniu kosztownego kompilator:O)

Uważam, że przy jeszcze stosunkowo niewielkim projekcie o tym
znaczeniu i takiej rzeszy użytkowników jest wielu ludzi o znacznie ode
mnie większej wiedzy programistycznej, którzy to już robili. Nie mam
najmniejszych wątpliwości, że są wśród nich zarówno blackhaty i
whitehaty, niemniej jednak nic nie wiadomo o lukach czy backdorach tego
oprogramowania. Jedyna słabość o jakiej słyszałem to średnio praktyczne
metody z zamrażaniem pracujących modułów pamięci i zgrywaniem ich
zawartości w ciągu do 10 min od odcięcia zasilania by odczytać klucz
kryptograficzny.
Uwzięliście się na te gwarancje, ale ja to ujmę od drugiej strony - nie
ma oprogramowania bezbłędnego czy takiego, któremu bez najmniejszego
wahania zawierzyłbym życie, ale z dostępnych dla normalnego człowieka z
ulicy rozwiązań kyptograficznych TC jest tym, któremu ufam najbardziej.
O powodach pisałem m.in. w poprzednim poście
- oprogramowaniu komercyjnemu z terenu UE/USA po tym po prostu nie ufam.

--
Pozdrawiam, Michal Bien
#GG: 351722 #ICQ: 101413938
JID: mbien@jabberpl.org

Dnia Sat, 14 Mar 2009 17:25:16 +0100, Michal Bien napisał(a):

- oprogramowaniu komercyjnemu z terenu UE/USA po tym po prostu nie ufam.

A czego się obawiasz? FBI? ;->
--
M.   [Windows - Shell/User MVP]
/odpowiadając na priv zmień px na pl/
https://mvp.support.microsoft.com/profile/Michal.Kawecki

Michal Kawecki <kkwinto@o2.pl> wrote:

- oprogramowaniu komercyjnemu z terenu UE/USA po tym po prostu nie ufam.

A czego się obawiasz? FBI? ;->

      Przede wszystkim kradziezy/zgubienia sprzetu mobilnego. A
le w pomniejszym stopniu rowniez tego, o czym pisalem w Message-ID: <gpfuia$cp3$1@mx1.internetia.pl> - od 2005/2006 r. wielu adwokatow/radcow to stosuje, bo ustawowa ochrona tajemnicy zawodowej i dokumentow mocodawcow zrobila sie mocno iluzoryczna, skoro dzialano nie na zasadzie sily prawa, a prawa sily.  --
Pozdrawiam, Michal Bien #GG: 351722 #ICQ: 101413938 JID: mbien@jabberpl.org

Dnia Sat, 14 Mar 2009 19:16:24 +0100, Michal Bien napisał(a):

Michal Kawecki <kkwinto@o2.pl> wrote:

- oprogramowaniu komercyjnemu z terenu UE/USA po tym po prostu nie ufam.

A czego się obawiasz? FBI? ;->

      Przede wszystkim kradziezy/zgubienia sprzetu mobilnego.

Ależ aplikacje komercyjne z terenu UE/USA w takim wypadku też doskonale
ochronią zagubione dane. Znane Ci są przypadki rozszyfrowania
brute-force danych zabezpieczonych jakimś przyzwoitym kluczykiem?

Ale w pomniejszym stopniu rowniez tego, o czym pisalem w Message-ID: <gpfuia$cp3$1@mx1.internetia.pl> - od 2005/2006 r. wielu adwokatow/radcow to stosuje, bo ustawowa ochrona tajemnicy zawodowej i dokumentow mocodawcow zrobila sie mocno iluzoryczna, skoro dzialano nie na zasadzie sily prawa, a prawa sily.

Jak mniemam, policja i prokuratura są instytucjami, którym można zaufać.
Więc czegóż się obawiasz? Czyżby procedura występowania o ten "backdoor"
była aż tak nieszczelna, że kluczyk może otrzymać każdy, także
przestępca? Ponadto, z tego co napisałeś wynika, że nie dostaje się "kluczyka" do
programu, tylko kluczyk do konkretnych danych. Mylę się?
--
M.   [Windows - Shell/User MVP]
/odpowiadając na priv zmień px na pl/
https://mvp.support.microsoft.com/profile/Michal.Kawecki

Użytkownik "Michal Bien" napisał:

Jestem przekonany że nie. Dlaczego, odpowiedź poniżej.

nie pytam o przekonania, czy wiarę, spytałem czy jesteś pewien? (czyli czy przeanalizowałeś każdą linię kodu TC i potem sobie ten kod skompilowałeś?:O)

ja wcale nie twierdzę że TC jest zły, dla m nie TC jest po prostu tak samo dobty jak każdy inny program szyfrujący tego typu

Uważam, że przy jeszcze stosunkowo niewielkim projekcie o tym
znaczeniu i takiej rzeszy użytkowników jest wielu ludzi o znacznie ode
mnie większej wiedzy programistycznej, którzy to już robili. Nie mam
najmniejszych wątpliwości, że są wśród nich zarówno blackhaty i
whitehaty, niemniej jednak nic nie wiadomo o lukach czy backdorach tego
oprogramowania.

pewnie że jest masa fachowców od programownia, tylko czy ty jesteś aż tak naiwny że ci fachowcy za darmo będą analizowali kody darmowego oprogramowania?:O)

i meritum: jeśli programiści TC chcieli by umieścic w programie tylną furtkę to myślisz że umieścili by ją w ogulnie dostępnych kodach źródłowych?:O)

a co do komercyjnych programów szyfrujących w UE/USA domyślam sie że prawnie muszą takie furtki posiadać, więc dlaczego niby TC miałby się temu prawu wymknąć?

gargamel pisze:

Użytkownik "Michal Bien" napisał:

Jestem przekonany że nie. Dlaczego, odpowiedź poniżej.

nie pytam o przekonania, czy wiarę, spytałem czy jesteś pewien? (czyli
czy przeanalizowałeś każdą linię kodu TC i potem sobie ten kod
skompilowałeś?:O)

Jestem praktycznie przekonany, że takich backdoorów nie ma opierając
się na powszechnej dostępności źródeł i popularności projektu (samych
pobrań blisko 10 mln). Mnie to w zupełności wystarczy. Jeśli jednak ktoś
cierpi na paranoję wciskania backdorów w wolnym oprogramowaniu nic nie
stoi na przeszkodzi by sobie kod źródłowy pobrał,
przeanalizował i skompilował, a wynik porównał z sygnaturą
udostępnionych powszechnie binariów. Nie musi tego robić każdy z
użytkowników z osobna - przy tej popularności projektu wszelkie
potencjalne kombinacje z różnicami kodu udostępnionego źródłowo, a
skompilowanego wyszłyby szybko.

ja wcale nie twierdzę że TC jest zły, dla m nie TC jest po prostu tak
samo dobty jak każdy inny program szyfrujący tego typu

Z mojego doświadczenia wynika że jest lepszy z powodów o których
wspomniałem już częściowo wcześniej - odpowiem zbiorczo na posty by nie
rozpisywać się każdej osobie oddzielnie i tego nie powtarzać.

1. Nie są mi znane możliwości uzyskania klucza nadrzędnego itp. do
   zaszyfrowanych danych. To samo deklarują twórcy projektu - w
   przypadku zapomnianego hasła nawet nie ma co do nich pisać.
   W przypadku kilku programów komercyjnych z siedzibą twórcy na terenie
   UE (USA ma jeszcze większego hopla na punkcie stosowania kryptografii
   przez obywateli) - to z tego powodu niektóre firmy zmieniają siedzibę
   na różne egzotyczne wyspy czy choćby Szwajcarię. Organa po  prostu
   występowały o klucz główny i go uzyskiwały czy były uprawnione czy
   nie (w przypadku adwokatów czy radców prawnych tajemnica zawodowa
   może być uchylona zasadniczo tylko w przypadku tzw. "prania brudnych
   pieniędzy", natomiast jeśli komuś strzeli do głowy zabezpieczyć
   dokumentację i nośniki  elektroniczne kancelarii o co w PL nad wyraz
   łatwo (a były takie przypadki, zresztą np: w  sprawie "afery
   bilboardowej" robiono lepsze jazdy zabezpieczając mnóstwo
   dokumentacji luźno związanej ze sprawą na podstawie tworzonych chyba
   w stanie "pomroczności jasnej" wynurzeń pewnego człowieka,
   stworzonych na doraźne potrzeby kampanii wyborczej.  Myślisz że
   takich ludzi powstrzyma ustawowa tajemnica zawodowa?  To jest dopiero
   naiwność!

2. Multiplatformowość. Dla mnie to bardzo istotne, bo mając kontener z
   dokumentami mogę nad nimi pracować zarówno pod windows jak i linuksem
   (MacOSa nie używam choć też można) a pracując na równie
   multiplatformowym OpenOffice, a nie na pakiecie biurowym MS
   zabezpieczone szyfrowaniem dokumenty są  niezalezne od aktualnego
   systemu. Większość komercyjnych systemów kryptograficznych jest pod
   jeden OS.

3. Poza tym że otwarty, jest też darmowy. Wolę wpłacać dobrowolną
   dotację na rzecz fundacji, niż być dojony przymusowo za każdym razem
   i ograniczany dziwacznymi umowami o używanie oprogramowania.

Te trzy cechy przemawiają moim zdaniem na korzyść TC w stosunku do
produktów komercyjnych. Jeśli widzisz cechy przemawiające na korzyść
produktów komercyjnych w stosunku do TC napisz proszę o nich krótko
w punktach. Od razu zaznaczam, że typowy dla dużej firmy gdzie
pracowników nie interesuje globalny efekt, tylko tzw. "dupochron" pt.
support - "jak coś źle pójdzie to nie będą czepiać się mnie tylko
producenta, a że ten spuści ich na drzewo to już nie mój problem"
(po to jest wyłączenie odpowiedzialności za wady oprogramowania
praktycznie w każdej umowie - producent odpowiada praktycznie tylko
za nośnik.

Uważam, że przy jeszcze stosunkowo niewielkim projekcie o tym
znaczeniu i takiej rzeszy użytkowników jest wielu ludzi o znacznie ode
mnie większej wiedzy programistycznej, którzy to już robili. Nie mam
najmniejszych wątpliwości, że są wśród nich zarówno blackhaty i
whitehaty, niemniej jednak nic nie wiadomo o lukach czy backdorach tego
oprogramowania.

pewnie że jest masa fachowców od programownia, tylko czy ty jesteś aż
tak naiwny że ci fachowcy za darmo będą analizowali kody darmowego
oprogramowania?:O)

Czy jestem też tak naiwny, że uważam iż ktoś za darmo napisze użyteczne
oprogramowanie i je udostępni innym? Jakbym Ballmera słyszał
:>
A patrz - takie *BSD, Linux, OpenOffice, produkty Mozilli i mnóstwo
mniejszych projektów istnieje i ma się dobrze. Niektórzy po prostu nie
mogą "zaskoczyć" że można oprogramowanie pisać oraz analizować dla
przyjemności jako hobby, a nie tylko jak sposób zarabiania na życie w
sposób uczciwy lub nie.

i meritum: jeśli programiści TC chcieli by umieścic w programie tylną
furtkę to myślisz że umieścili by ją w ogulnie dostępnych kodach
źródłowych?:O)

Jeśli umieściliby w tylko w binarkach, a nie w ogólnie dostępnych
kodach źródłowych to bardzo szybko wyszłyby różnice bo jednak część
ludzi kompiluje źródła - choćby po to by użyć flag i optymalizacji
kompilatora tylko pod swoją architekturę CPU i zyskać odrobinę na
wydajności.

a co do komercyjnych programów szyfrujących w UE/USA domyślam sie że
prawnie muszą takie furtki posiadać, więc dlaczego niby TC miałby się
temu prawu wymknąć?

Dlatego, że nie ma "kogo wziąć za 4 litery" i na nim wymusić zaszycie
tylnej furtki. Już pisałem, że w przypadku TC jeśli słuchany
jako świadek sam nie ujawnił hasła sprawa kończyła się na niczym i była
prędzej czy później umarzana. Do produktów wolnego programowania po
prostu często nie sposób stosować takich samych rygorów jak do produktów
komercyjnych tworzonych przez spółki, bo tu nawet trudno mówić o
siedzibie i prawie właściwym. To jest solą w oku władzy i pewnie
niedługo w całej UE będzie to co w UK albo i posiadanie produktów
kryptograficznych przez szarego obywatela (władza nie lubi konkurencji)
będzie takim samym "przestępstwem" jak posiadanie teraz byle skręta czy
hantei, bez względu na to ocenę tego przez większość społeczeństwa - to
nie składa się tylko z "moherów". Papier jest cierpliwy i przyjmie każdą
bzdurę stworzoną przez parlament - z techniką i jakością legislacyjną
jest coraz gorzej i w sumie nikt chyba krytycznie tego nie ocenia jeśli
rocznie można stworzyć kilkanaście tys. stron kiepskich aktów
normatywnych, to potem wychodzą takie kwiatki jak ustanowienie w PL od
18.12.2008 "przestępstwa" posiadania komputera czy korzystania z
internetu, bo jeśliby dosłownie wykładać te mądrości tak to mniej więcej
wygląda sprowadzone do absurdu. Kiepskie to IMHO prawo, gdy praktycznie
wszyscy są przestępcami, a tylko niektórych się ściga wg luźno pojętych
kryteriów absurdu, mocy przerobowych i zapotrzebowania na udupienie
konkretnej jednostki. Andriej Wyszyński wiecznie żywy?

--
Pozdrawiam, Michal Bien
#GG: 351722 #ICQ: 101413938
JID: mbien@jabberpl.org

Órzytkownik "Michal Bien" napisał:

Jestem praktycznie przekonany /ciap/ Mnie to w zupełności wystarczy /ciap/

ok, witamy w klubie radia maryja ojca rydzyka, wasza wiara jest głęboka:O)

nic nie stoi na przeszkodzi by sobie kod źródłowy pobrał,
przeanalizował i skompilował, a wynik porównał z sygnaturą
udostępnionych powszechnie binariów.

ok, widzę że kolega nie ma zielonego pojęcia o programowaniu więc troszkę wyjaśnie:
przeanalizować to sobie można mały programik z kilkoma liniami programu na krzyż:O)
praktycznie nie jest możliwości przeanalizowanie wielu tysięcy lini kodu (tego nie potrafi nawet twórca tego kodu jeśli nie zrobił sobie wcześniej kompleksowej jego dokumentacji, a nikt poza twórcami takiej dokumentacji nie posiada), to jest niewykonalne, dodatkowo analizując kod musiał byś przeanalizować wszystkie funkcje biblioteczne:O) które mogą być napisane w asemblerze, albo możesz wcale nie posiadać danej biblioteki (bo ona nie jest darmowa, tylko kosztuje setki tysięcy dolaruf, albo wcale nie jest publicznie dostępna:O)

Czy jestem też tak naiwny, że uważam iż ktoś za darmo napisze użyteczne
oprogramowanie i je udostępni innym? Jakbym Ballmera słyszał :>
A patrz - takie *BSD, Linux, OpenOffice, produkty Mozilli i mnóstwo
mniejszych projektów istnieje i ma się dobrze.

pewnie nie jestes już dzieckiem, więc zrozum że nic nie ma za darmo, to że państwowa służba zdrowia nazywa sie darmowa to nie oznacza ża taka jest faktycfznie, tak samo to ze ktoś swoje oprogramowanie nazwał darmowym to wcale nie znaczy że jest ono faktycznie darmowe, słowo darmowe oznacza jedynie niewiadome źródło finansowania co ty jako dorosły chłop wiedziec powinienes!:O)

co do linuksa to pamiętam dobrze przygodę z nim dawnych znajomych programistów, jak się zabrali pod oprogramowywanie linuksa to nagle się okazało że biblioteki wymagane do kompilacji wcale nie są darmowe i kosztują tyle ze oni przez całe życie by na nie nie zarobili (takiej sumki zażyczyli sobie właściciele darmowego linuksa:O) dodatkowo okazało się że podobne biblioteki dla płatnego windowsa są baardzo tanie i wyszło że faktycznie to darmowy linux jest wiele razy droższy od płatnego windowsa:O)

gargamel pisze:

darmowa, tylko kosztuje setki tysięcy dolaruf, albo wcale nie jest publicznie dostępna:O)

dolaruf
hahaha


--
animka

gargamel <smerfowa@dolina.eu> wrote:

ok, witamy w klubie radia maryja ojca rydzyka, wasza wiara jest
głęboka:O) ok, widzę że kolega nie ma zielonego pojęcia o programowaniu

    Jezeli mamy dyskutowac, to prosze bys nie pisal w ten sposob.

więc troszkę wyjaśnie: przeanalizować to sobie można mały programik z kilkoma liniami programu na krzyż:O)

    Ja i Ty nie mamy czasu i zapewne umiejetnosci by usiasc i to zrobic, ale przy okresie zycia projektu i jego popularnosci gdyb cos
bylo w zrodlach juz dawno zostaloby wyluskane. To troche takie programistyczne "obliczenia rozproszone".

praktycznie nie jest możliwości przeanalizowanie wielu tysięcy lini
kodu (tego nie potrafi nawet twórca tego kodu jeśli nie zrobił sobie
wcześniej kompleksowej jego dokumentacji, a nikt poza twórcami takiej
dokumentacji nie posiada),

    Tak? To dlaczego byly takie boje o udostepnienie (czesci) kodu MS Windows i to bardzo ograniczonemu kregowi podmiotow? A skala takiego stosunkowo niewielkiego truecrypta i OS MS to zupelnie co innego.

to jest niewykonalne, dodatkowo analizując
kod musiał byś przeanalizować wszystkie funkcje biblioteczne:O) które
mogą być napisane w asemblerze,

    Chcesz opierac bezpieczenstow na zamknietych i slono platnych rozwiazaniach jak kodowanie Teletransmisji Prokomu - Twoja sprawa. Ja jednak wole rozwiazania z otwartymi zrodlami jak TC i tego nie zmienisz.

albo możesz wcale nie posiadać danej
biblioteki (bo ona nie jest darmowa, tylko kosztuje setki tysięcy
dolaruf, albo wcale nie jest publicznie dostępna:O)

    Pzepraszam, ale moze bys tak nie pisal o domyslach, tyko skompilowal te zrodla. Poza standardowa instalacja debiana nic nie potrzeba. 

Czy jestem też tak naiwny, że uważam iż ktoś za darmo napisze
użyteczne oprogramowanie i je udostępni innym? Jakbym Ballmera
słyszał :> A patrz - takie *BSD, Linux, OpenOffice, produkty Mozilli
i mnóstwo mniejszych projektów istnieje i ma się dobrze.

pewnie nie jestes już dzieckiem, więc zrozum że nic nie ma za darmo,
to że państwowa służba zdrowia nazywa sie darmowa to nie oznacza ża
taka jest faktycfznie, tak samo to ze ktoś swoje oprogramowanie nazwał
darmowym to wcale nie znaczy że jest ono faktycznie darmowe, słowo
darmowe oznacza jedynie niewiadome źródło finansowania co ty jako
dorosły chłop wiedziec powinienes!:O)

    No oczywiscie - Mafia :>

Jeszcze raz - powyzsze traci mocno Ballmerem i jego madrosciami. Podejrzewam ze pracujesz w szeroko pojetych uslugach informatycznych badz przy programowaniu stosunkowo niedawno majac takie podejscie. Z czasem to zazwyczaj mija i potrafi rozdzielic sie prace zarobkowa
i za darmo dla zasady, dla innych. Tak jest w wiekszosci zawodow.

co do linuksa to pamiętam dobrze przygodę z nim dawnych znajomych programistów, jak się zabrali pod oprogramowywanie linuksa to nagle
się okazało że biblioteki wymagane do kompilacji wcale nie są darmowe
i kosztują tyle ze oni przez całe życie by na nie nie zarobili (takiej
sumki zażyczyli sobie właściciele darmowego linuksa:O) dodatkowo
okazało się że podobne biblioteki dla płatnego windowsa są baardzo
tanie i wyszło że faktycznie to darmowy linux jest wiele razy droższy
od płatnego windowsa:O)

    Tak, oczywiscie. Developers, developers, developers...

A co do bibliotek. Te poza zamknietym oprogramowaniem komercyjnym biblioteki masz niemal zawsze w systemie w systemach albo repozytoriach gdzie kompilator jest czescia dystrybucji. Jedyny problem z platnymi bibliotekami z jakim mialem posredni (bo nie mnie dotyczyl) to osoba ktora musiala gesto tlumaczyc sie przed ludzmi zwiazanymi z BSA z bbliotek borlanda dolacoznych do jakiegos malo istotnego programu shareware pod MS Windows. P.S.
Nadal czekam na wypunktowanie przewagi kryptograficznych rozwiazan zamknietych nad otwartymi jak bedacy przedmiotem dyskucji TC. Bo takie gadanie "o d*e maryni"  bez konkretow do niczego nie prowadzi. --
Pozdrawiam, Michal Bien #GG: 351722 #ICQ: 101413938 JID: mbien@jabberpl.org

Użytkownik "gargamel" <smerfowa@dolina.eu> napisał w wiadomości news:gph6kg$9u2$2news.wp.pl...

i meritum: jeśli programiści TC chcieli by umieścic w programie tylną furtkę to myślisz że umieścili by ją w ogulnie dostępnych kodach źródłowych?:O)

    Ale ty jesteś naiwny, a niby gdzie mieli je umieścić, jeśli nie w kodzie programu? W kosmosie?
Idea takich projektów polega na tym, że każdy może sobie pobrać komplet źródeł i sam skompilować program, co jest bardzo popularne np. przy instalowaniu oprogramowania na FreeBSD, czy linuksie. Czy naprawdę uważasz, że nikt nie zwrócił by uwagi, że program skompilowany samodzielnie ma inną długość, czy choćby sumę kontrolną, niż ten skompilowany w dystrybucji? Takie archiwa zawierają wszystko łącznie z plikami ustawiającymi różne opcje kompilatora dla konkretnego kodu. Co więcej same kompilatory też są dostępne w formie kodu źródłowego. To nie program z m$, że nikt nie wie jak działa.

Órzytkownik "Marcin Wasilewski" napisał:

Ale ty jesteś naiwny, a niby gdzie mieli je umieścić, jeśli nie w kodzie programu? W kosmosie?

ja mówię o kodzie żródłowym, a nie wynikowym:O)

Idea takich projektów polega na tym, że każdy może sobie pobrać komplet źródeł i sam skompilować program, co jest bardzo popularne np. przy instalowaniu oprogramowania na FreeBSD, czy linuksie.

pewnie że może, pod warunkiem że stać go na kompilator i ewentualne
biblioteki potrzebne kompilatorowi (nie bawiłem się więc nie będę wnikał jak
to wygląda w praktyce)

Czy naprawdę uważasz, że nikt nie zwrócił by uwagi, że program skompilowany samodzielnie ma inną długość, czy choćby sumę kontrolną, niż ten skompilowany w dystrybucji?

widzisz, to ty jesteś naiwny sądząc że ten sam kod kompilowany różnymi
kompilatorami będzie maił identyczną postać wynikową:O)

a tak na marginesie to taką tylną furtkę można też jawnie umieścić w dostępnym kodzie, ale tak to zagmatwać i namieszać że nikt nie dojdzie że to jest to, to żaden problem:O)

Michal Bien napisał(a):

Uważam, że przy jeszcze stosunkowo niewielkim projekcie o tym
znaczeniu i takiej rzeszy użytkowników jest wielu ludzi o znacznie ode
mnie większej wiedzy programistycznej, którzy to już robili.

Powyższe wynika z Twojej wiary czy z Twojej wiedzy?

j.

--
"Analfabeta nigdy nie robi błędów ortograficznych"
(o czym wyczytałem w "Przekroju", cytat z pamięci).

Jest rozwiązanie np. Pointsec-a  http://www.checkpoint.com/pointsec/
Działa to tak - w MBR-rze instaluje się soft, który autoryzuje użytkownika (hasło lub karta chipowa), następnie ładowany jest program umożliwiający dostęp do zaszyfrowanych partycji. Zaszyfrowane są całe partycje łącznie z systemową. Jeśli zgubisz laptopa twoje dane są względnie bezpieczne - bez znajomości hasła lub posiadania karty chipowej nie ma dostępu do danych na dysku, nawet nie zacznie uruchamiać się system operacyjny. Zamazanie MBR-a nic nie da, bo nadal na dysku jest zaszyfrowana zawartość. Natomiast user, który poprawnie się zautoryzuje ma normalny dostęp do dysku. Szyfrowanie i deszyfrowane odbywają się w locie i są przeźroczyste dla windowsów, niestety soft działa poprawnie jedynie na windows serii pro (lub vista business), z OS-ami nie MS sprawa wygląda źle...

g.

In the darkest hour on Thu, 19 Mar 2009 00:00:49 +0100,
geyb <geyb@gazeta.pl> screamed:

zautoryzuje ma normalny dostęp do dysku. Szyfrowanie i deszyfrowane odbywają się w locie i są przeźroczyste dla windowsów, niestety soft działa poprawnie jedynie na windows serii pro (lub vista business), z OS-ami nie MS sprawa wygląda źle...

Niektóre OS-y nie MS mają ten mechanizm wbudowany (dm-crypt).

--
[ Artur M. Piwko : Pipen : AMP29-RIPE : RLU:100918 : From == Trap! : SIG:234B ]
[ 08:28:58 user up 12016 days, 20:23,  1 user, load average: 0.69, 0.89, 0.84 ]

      We're going to have the best-educated American people in the world.