Šifrování dat

[martin.falck]

Tak po par neuspesnych pokusoch a stratenach nervoch som to obisiel, kluc som si vygeneroval na macu, potom som ho preniesol aj na Wokna, oba kluce funguju. Este sa mi to chvilu sekalo na tom, ze bolo treba nastavit doveryhodnost mojho vlastneho na "ultimate" (povodne bolo neviem preco "unknown".

Takze skusim poslat maily ostatnym dvom bojovnikom, co tu tomu venovali podstatne viac casu ako ja a uvidime, ci to bude fungovat aj v reale.

A moj hrdo a krvopotne vygenerovany verejny kluc na tieto ucely, ak by chcel niekto skusat dalej, je nasledovny:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG/MacGPG2 v2.0.18 (Darwin)
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=PElA
-----END PGP PUBLIC KEY BLOCK-----

[martin.falck]

A este raz dakujem za tip na JonDo, vyzera ze pod Woknami funguje, este vyskusam mac verziu, ale vyzera to slubne. Neviete ake poskytuje zabezpecenie v porovnani s anonymizerom? Predsa len je to free verzia vs. platena, nie vzdy su veci co su zadarmo ok.

A ked uz to nastavujeme vsetko, mate tip pre WIN alebo pre MAC na odskusany bezpecny vymazavac suborov? A na bezpecne blbuvzdorne zalohovanie?

A este jedno upozornenie pre vsetkych, ktore tu myslim este neodznelo:

Pri pouzivani pocitaca pamatajte na to, ze vsetky programy pouzivaju tzv. temp subory alebo proste ukladaju Vase data na konkretne miesto (napr. mailovy program obsah Vasej schranky, Word a Excel docasne subory). Ak chcete mat istotu, ze data sa nukladaju nesifrovane, musite docasne subory (temp) a miesto ulozenia suborov, pripadne instalacie programov riesit tak, ze ich smerujete na kryptovany disk. Inak po Vasej praci zostane v PC kopa nekryptovaneho bordelu. Uvedene asi neplati ak kryptujete TrueCryptom cely disk, ale ako som pisal skor, to nemam vyskusane a strach mi nedovoli to testovat teraz za behu.

[gabcik]

Vítam Martina Falcka medzi šifrujúcimi
E-mailové správy som rozšifroval, ale musel som použiť rovnakú kombináciu softvéru, ako Ty, teda Thunderbird + Enigmail.
Čo znie ako odporúčanie pre ostatných šifrujúcich: ak obe strany použijú rovnaký softvér, vyhnú sa problémom. Ak každá strana používa iný softvér (komerčné PGP, Thunderbird+Enigmail, GPG4WIN), treba počítať s potrebou vyriešenia kompatibility - nastavenie softvéru.

Teraz ešte skúsime, či Martinovi funguje aj dešifrovanie správ z webu, cez clipboard. Nasledovná správa je súčasne zašifrovaná verejným kľúčom Martina Falcka, Kocoura a Jozefa Gabčíka:

-----BEGIN PGP MESSAGE-----
Version: GnuPG v2.0.17 (MingW32)
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=dtfY
-----END PGP MESSAGE-----

[gabcik]

A este raz dakujem za tip na JonDo, vyzera ze pod Woknami funguje, este vyskusam mac verziu, ale vyzera to slubne. Neviete ake poskytuje zabezpecenie v porovnani s anonymizerom? Predsa len je to free verzia vs. platena, nie vzdy su veci co su zadarmo ok.

Ak sa pýtaš na porovnanie s webovými anonymizérmi, tak JonDo je úplne iná trieda.
Podstatný rozdiel je už pripojenie používateľa k anonymizéru. Nepodarilo sa mi nájsť webový anonymizér, ktorý by vo free verzii šifroval pripojenie k anonymizačnému serveru aspoň pomocou https. Takže taká služba je dobrá len na to, aby si nezanechal stopy na cieľovej stránke, ale nechráni ťa pred sledovaním zo strany tvojho providera (alebo niekoho, kto monitoruje tvoje pripojenie k internetu).
Naproti tomu JonDo má šifrované pripojenie k Mix kaskáde, takže tvoj provider zistí akurát to, že si sa pripojil k nejakému počítaču v Nemecku, Francúzsku alebo v Prahe, prípadne ešte môže zistiť, že je to server siete JonDo.

Druhá vec je ochrana pred sledovaním zo strany poskytovateľa anonymizačnej služby. Webové anonymizéry môžu mať podobu jediného servera, ktorý poskytuje službu proxy, a sľubuje, že neloguje záznamy. Naproti tomu JonDo alebo TOR sú siete nezávislých anonymizačných serverov, z ktorých každý môže prevádzkovať iná osoba, a sú navrhnuté tak, že na seba "vrstvia šifrovanie". Takže museli by byť kompromitované všetky servery z mix-kaskády, ktorou prechádzaš, aby ťa to ohrozilo.

Platená verzia JonDo dáva naviac len vyššiu rýchlosť, lepšie odozvy a možnosť používať SMTP na odosielanie mailov z mailového klienta, čiže doplácaš si za komfort, nie bezpečnosť.
Chystám sa vyskúšať, či sieť TOR umožňuje SMTP. Rozhodne je menej user-friendly pri inštalácii, ako JonDo.

A ked uz to nastavujeme vsetko, mate tip pre WIN alebo pre MAC na odskusany bezpecny vymazavac suborov? A na bezpecne blbuvzdorne zalohovanie?

Používam Eraser Portable, ktorý si môžeš nosiť so sebou na USB a používať aj na cudzích počítačoch.
Prípadne na počítačoch, kde mám PGP, sa dá použiť aj mazanie zabudované do PGP. Obidva umožňujú paranoidné nastavenie "Guttman", ale to už je skôr likvidácia disku, ako vymazávanie

Na také jednoduchšie zálohovanie skús Toucan, tiež je dostupný aj vo verzii portable a umožňuje šifrovanie záloh. Funguje.
Podstatne komfortnejší je Acronis True Image, ale treba sa pohrať s jeho nastaveniami. Obidvomi systémami som síce zálohoval desiatky krát, ale na ozajstný katastrofický test obnovy svojich dát a schopnosti komunikovať sa ešte len chystám

A este jedno upozornenie pre vsetkych, ktore tu myslim este neodznelo:

Pri pouzivani pocitaca pamatajte na to, ze vsetky programy pouzivaju tzv. temp subory alebo proste ukladaju Vase data na konkretne miesto (napr. mailovy program obsah Vasej schranky, Word a Excel docasne subory). Ak chcete mat istotu, ze data sa nukladaju nesifrovane, musite docasne subory (temp) a miesto ulozenia suborov, pripadne instalacie programov riesit tak, ze ich smerujete na kryptovany disk. Inak po Vasej praci zostane v PC kopa nekryptovaneho bordelu. Uvedene asi neplati ak kryptujete TrueCryptom cely disk, ale ako som pisal skor, to nemam vyskusane a strach mi nedovoli to testovat teraz za behu.

Určite je dobrý nápad najprv zvládnuť zálohovanie, až potom robiť pokusy so šifrovaním celého disku.
Aj keď, TrueCrypt aj PGP Whole Disk Encryption umožňujú šifrovanie prerušiť a odstrániť, to som viackrát vyskúšal. Z toho vyplýva, že keby došlo k poškodeniu nejakej menej dôležitej časti disku, nemuselo by dôjsť k úplnej strate dát.

Určite je použitie šifrovania celej mašiny oveľa lepší nápad, ako sa spoliehať na nejaké "odstraňovače stôp" v počítači. Viem o prípadoch, kedy boli podané trestné oznámenia za urážlivé diskusné príspevky. A aj keď pisateľ používal anonymizér, žalujúca strana uviedla polícii, na koho má podozrenie, došlo k zadržaniu počítača a preskúmavania práve tých súborov, o ktorých píšeš. Napríklad súboru index.dat, ktorý je zvlášť obsažný.
Pokiaľ viem, u nás ešte neplatí legislatíva, ktorá podozrivého núti vydať šifrovacie kľúče. Ale rozhodne by mohlo byť odopretie prístupu k PC považované za nespoluprácu - samozrejme, stále ešte máme aký taký právny štát, takže občan nemá povinnosť dávať sám na seba dôkazy. Nevenoval sa nejaký rozpadlík podrobnejšie právnickej časti tohoto problému? Napríklad, či je možné považovať odopretie poskytnutia šifrovacích hesiel za niečo podobné, ako odopretie výpovede s odvolaním na "osobu blízku"?

[martin.falck]

Čo sa týka odopretia poskytnutia čohokoľvek, nemusí byť použitý argument "osoby blázkej", hoci je celkom komfortný a nikomu (ani sebe) tým človek neublíži.

Ak úplne zjednoduším odopretie poskytnutia dôkazov proti sebe samému, má dve roviny - právnu a faktickú. Právna je úplne v pohode - zákon hovorí, že nikto nie je povinný vypovedať a nikto nie je povinný predkladať akékoľvek dôkazy svedčiace proti nemu. Faktická rovina má potom zase dva následky: Prvý je ten, že policajti a následne súd sa pri odopretí výpovede, resp. odopretí vydania čohokoľvek pozerajú na Teba cez pohľad "keď nechce niečo povedať / vydať, asi má čo skrývať a asi je vinný ", hoci je to úplne v rozpore s tým, čo hovorí zákon. Druhý následok je ten, že ak niečo mám a polícia si to odo mňa pýta, je jednoduchšie to vydať dobrovoľne ako absolvovať domovú / osobnú prehliadku, pri ktorej to nájdu aj tak (hoci to už vyžaduje zložitejší postup a obvykle, ak by sme chceli byť dôslední, aj súhlas prokurátora alebo sudcu.

Keď to zhrniem, všeobecné odporúčanie každého trestného advokáta v akejkoľvek veci (aj v prípade, že som niť neurobil, lebo dnes nikto nevie kam sa to môže zvrtnúť), je odmietnuť vypovedať, čo je normálne zákonné právo každého človeka (každého) a vyjadriť sa k veci až potom ako si človek procesne zistí, o čo vlastne ide.

Apropos, hoci je to OT, ale keď som to už načal, viete o tom, že keď Vás na ceste zastaví hliadka, bez konkrétneho dôvodu nemá zákonný nárok otvárať Vám na aute kufor a podobne? Právne totiž ide o prehliadku iných priestorov, teda procesný úkon vykonávaný v rámci normálneho trestného konania, ktorý má svoje náležitosti a ak nie je neodkladný, vyžaduje predchádzajúci súhlas (neviem či prokurátora alebo sudcu). Iné je to, ak ide o neodkladný úkon a hliadka má dôvodné podozrenie, že v aute môže byť niečo súvisiace s trestnou činnosťou (napríklad uháňate stovkou cez mesto smerom od miesta, kde práve vykradli banku).

Pointa je ale niekde inde - bežná cestná hliadka pri dopravnej kontrole sa Vám nemá čo hrabať v aute - vyskúšajte si to niekedy, je to celkom zábava, keď sa ich opýtate na akom skutkovom a právnom základe Vám chcú vykonať prehliadku auta

[gabcik]

Apropos, hoci je to OT, ale keď som to už načal, viete o tom, že keď Vás na ceste zastaví hliadka, bez konkrétneho dôvodu nemá zákonný nárok otvárať Vám na aute kufor a podobne? Právne totiž ide o prehliadku iných priestorov, teda procesný úkon vykonávaný v rámci normálneho trestného konania, ktorý má svoje náležitosti a ak nie je neodkladný, vyžaduje predchádzajúci súhlas (neviem či prokurátora alebo sudcu).

V súvislosti s predmetom našej debaty otázka znie, či neposkytnutie hesiel do počítača nie je skôr analogické odmietnutiu umožniť orgánom bytovú prehliadku.

Nazrel som do Trestného poriadku:

§ 106

(1) Osoba, u ktorej sa má vykonať domová prehliadka, prehliadka iných priestorov alebo prehliadka pozemku, osobná prehliadka, prehliadka tela a iné podobné úkony alebo vstup do obydlia, je povinná tieto úkony strpieť.

(2) Ak osoba, voči ktorej smeruje úkon uvedený v odseku 1, alebo iná osoba neumožní vykonanie takého úkonu, sú orgány vykonávajúce úkon oprávnené po predchádzajúcej márnej výzve prekonať odpor takej osoby alebo ňou vytvorenú prekážku. O tom urobia záznam do zápisnice.


To znie celkom fajn. Žiadna "súčinnosť", len "strpieť", a ak "neumožní", orgány sú oprávnené "prekonať... vytvorenú prekážku". Nenašiel som tam žiadnu sankciu za pasívny prístup. (Ale opakujem, nie som právnik).
V celom Trestnom zákone a Trestnom poriadku sa pojem šifra alebo šifrovanie ani raz neobjavuje.

To sa mi páči viac, ako nejaká hra na výpadok pamäti. Teda - až kým sa aj k nám nedostane britská alebo francúzska legislatíva, kde a) občan sa nevydaním hesla dopustí trestného činu b) občan môže použiť silnejšie šifry iba v prípade, ak vopred odovzdá úradu svoj súkromný kľúč (private key).
Priatelia, šifrujte, a šírte tento spôsob ochrany súkromia aj medzi svojich známych.
Keď nám toto právo budú chcieť zobrať, nech je tu viac ľudí, ktorí si jeho potrebu uvedomujú a budú ho brániť.
Zatiaľ to držia veľké súkromné firmy, ktoré si šifrovaním chránia svoje know-how, ale v dejinách privátny biznis asi nikdy nedokázal odolať moci štátu.

[maci]

Kufr otvírat nesmí, ale stačí se zeptat na povinnou výbavu vozidla. Trojúhelník máš asi v kufru? Otevřeš si ho sám.


Nikde se tam nepíše, že musíš poskytnout heslo. Policie může dělat jen to, co je v zákoně povoleno. O žádném nosiči informace (počítač apod.) se tam nepíše.

[goral]

Tema zatim sleduju informativne, ale sifrovani uz delsi dobu planuju a sbiram o nem intel, abych ho mohl zavest na novem pocitaci.

Jen ti chcu Gabciku podekovat, protoze informace co tu davas jsou velmi dobre a troufnu si tvrdit ze jedny z nejlepsich na ceskem internetu

[Kocour]

Zde je moje odpověď Gabčíkovi a Martinovi Falckovi. Nicméně mám pocit, že ostatní si v tom zrovna moc nepočtou. Jako ukázka, že můžeme spolu komunikovat, i když jsme se nikdy osobně neviděli a nemohli si vyměnit klíč jinak než přes tenhle web, to snad posloužilo. Ostatní musí vzít za vděk naším tvrzením, že v těch zašifrovaných sloupcích znaků byly nějaké čitelné informace (obávám se, že kdybychom si to vymysleli a vygenerovali nějaká náhodná data, vypadalo by to podobně )

Kód: Vybrat vše

-----BEGIN PGP MESSAGE-----
Version: GnuPG v2.0.14 (MingW32)
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=/U8y
-----END PGP MESSAGE-----

Jinak k těm policajtům a jejich povinnosti udat důvod, proč chtějí nahlížet do kufru (nebo třeba podat vysvětlení, to je podobné): stačí, když řeknou, že pátrají po kradeném šrotu, a nejenom, že se s tím ze strany kontrolovaného nedá moc dělat, ale dokonce by to byla většinou i pravda, protože kovy se kradou neustále.

[gabcik]

Takže pokud by se mělo GPG používat doopravdy, musí se veřejné klíče šířit nebo ověřovat zaručeně bezpečným kanálem. Nejlepší je, když si oba/všichni budoucí komunikující vymění svoje veřejné klíče z ruky do ruky.

Další možnost je, že si je vymění sice po Internetu, ale pak zkontrolují, že protistrana má opravdu to, co bylo zamýšleno. Když se kouknete na velmi pěkný Gabčíkův návod, tak v bodě 12 vidíte parametry jednoho jistého klíče a mezi jinými je tam taky řádek nazvaný Fingerprint (doslova otisk prstu, zde spíš otisk klíče). Tvoří jej 40 alfanumerických znaků, které mohou posloužit ke kontrole, zda je Gabčíkův veřejný klíč pravý. Pokud Gabčíka (nebo někoho, o kom víte, že má zcela určitě gabčíkův pravý veřejný klíč) zavoláte telefonem a necháte si ten otisk nadiktovat, je to určitě praktičtější, než diktovat celý zhruba 1,7 kB dlouhý klíč.

Všetko čo píšeš je úplne svätá pravda, ale nepísal som o tom, ani do návodu som nedal kapitolu o overovaní kľúčov, aby sa adepti nezľakli a nezablúdili v tom. Okrem osvedčených metód autentizácie, ktoré si popísal, existujú aj iné, nedokumentované. Napríklad: keď dve strany začínajú šifrovať, obvykle ešte nejde do tuhého, je to také preventívne opatrenie. Hneď po tom, ako používateľ zvládne základnú obsluhu PGP/GPG, snažím sa, aby prešiel na niektorý z automatizovaných systémov šifrovania (PGP Desktop, Thunderbird+Enigmail, GPGOe...). Tým sa šifrovanie stane dennou rutinou a vymieňame si pomocou neho aj banálne každodenné správy. A práve tieto sú najlepšie na autentizáciu druhej strany. No a potom už stačí zvýšiť pozornosť len v prípade, keď druhá strana vymení svoj verejný kľúč. Automatizované systémy začnú okamžite protestovať. A vtedy treba začať overovať.
Ja sa najčastejšie stretávam s dvomi situáciami:
1. Protistrane expiruje kľúč, ja ju na to upozorním a dostanem naspäť novo vygenerovaný kľúč. Tam mi na autentizáciu stačí fakt, že protistrana dokáže zareagovať na môj mail o expirácii - pretože som ho poslal zašifrovane a otvoriť ho dokáže len majiteľ starého kľúča.
2. Protistrana idúca na akciu si zabudne token doma a zúfalo mi telefonuje, aby som prevzal jej nový verejný kľúč a obnovil komunikáciu. Tam je overenie klasické, spoznaním hlasu. Priznám sa, fingerprint sme si ešte do telefónu nečítali

Hrozí nám síce man-in-the-middle-attack, avšak príliš sa ho neobávam. Skôr sa naň teším On má totiž jednu hnusnú vlastnosť: veľmi ľahko sa naň príde, a je dokázateľný ("kto nám k...a podvrhol tento kľúč?"). V nejakých vojnových podmienkach môže byť fatálne, že nepriateľ získa dve-tri správy, kým zistíme, že nás nabúral. Ale v súčasnosti by na seba útočník uvrhol veľmi nežiadúcu pozornosť, a mnohí ľudia by pochopili, že ich komunikácia je naozaj pre niekoho so zlými úmyslami zaujímavá. A v ten moment už nebudeme musieť robiť šifrovaciu evanjelizáciu, ale prejsť na tvrdé nastolenie pravidiel ochrany komunikácie, lebo naši vlastní kolegovia konečne prestanú krčiť ramenami, na čo sú tie šifrovacie serepetičky vlastne dobré.

Čím som sa dostal k systému, ktorý už poznám len z čítania: centralizovaný manažment kľúčov. PGP k tomu vyrába samostatný soft - PGP Universal Server. Kľúče každému zabezpečí a autorizuje šéf, ten tiež môže do každého kľúča podriadeného namontovať "zadné vrátka" pre prípad kontroly a výmeny zamestnanca, a je vymalované

[martin.falck]

Tak páni, s hanbou sa musím priznať, že to čo som niekde vyššie písal o šifrovaní a zálohovaní dát na disku som si práve v praxi vyskúšal. Zamrzli mi Wokna (ako inak, wokna...), v tej chvili som mal mountnuty kluc, z ktoreho som cital truecryptovy vault subor. Samozrejme logicky doslo k nutenemu vysunutiu, pocas beziacej aplikacie (ina moznost nebola). Ked som to restartol, kluc nejde poriadne citat (netusim, ci je to chyba TrueCryptu, windowsov alebo hardveru - okrem hardveru ostatni dotknuti iba vyhlasili, ze to rozhodne nie je ich chyba ).

Pointa je, ze ze kryptovane data su necitatelne (vacsina z nich) a posledna zaloha je asi mesiac stara.

Takze PRIKAZ PRE VSETKYCH: CI SIFRUJETE ALEBO NIE, ZALOHOVAT, ZALOHOVAT, ZALOHOVAT.

[gabcik]

No, úprimá sústrasť Hlavne si nečítaj staršie diskusné príspevky o šifrovaní disku a zálohovaní, lebo si budeš nadávať... Malo ťa varovať, že Ti tuhlo už GPA pri generovaní kľúča.

Nepomohli ani tie záložné CD, ktoré TrueCrypt ponúka vytvoriť pred začiatkom šifrovania?

Mne sa to nikdy pri šifrovaní disku našťastie nestalo, asi preto lebo dáta držím na samostatnom disku a do šifrovania disku som sa púšťal vždy po preinštalácii systému načisto. Ale priznám sa, že prvé pokusy vždy prebiehali rovnako: najprv sa disk desiatky hodín šifroval, a po pár dňoch som šifrovanie z disku zase odstraňoval. Len čo začal povedzme sekať film, hneď človeka napadne: to bude to šifrovanie. Nejaké nároky na hardvér to skrátka mať musí, procesor musí stále "štrikovať"...

Problémy zmizli, až keď som kúpil PC business triedy, ktoré má zabudovaný TMP čip, teda šifrovanie má na starosti samostatná súčiastka. Každý slušný systém na šifrovanie celého disku má podporu pre TPM, čiže aj TrueCrypt.
Samozrejme, TPM nemá na starosti len šifrovanie celého disku, ale napríklad aj ochranu heslom. PC je napríklad odolné voči slovníkovému útoku - TPM modul má proti nemu ochranu.
Viac: http://en.wikipedia.org/wiki/Trusted_Platform_Module

O pár dní sa ozvem so skúsenosťami z nasadzovania eTokenu Aladdin. Zdar viacfaktorovej autorizácii! Momentálne tam mám TPM, zašifrovaný BIOS, zašifrovaný disk a autorizáciu odtlačkom prsta, čo je úžasne pohodlné, ale to je dobrá ochrana tak pre prípad straty alebo ukradnutia notebooku.

[Kocour]

Já mám pocit, že za vyšší výkon šifrování nemůže přímo TPM, který má na starosti generování náhodných čísel a nějaké další práce s klíči, ale podpora AES přímo v instrukcích procesoru. Nicméně je pravděpodobné, že obě tyto vymoženosti se objevily při "generační" obměně PC současně.

[maci]

Používám linuxmint a ten se při instalaci ptá, jestli nechci šifrovat domovskou složku. (/home) Veškerá data mám jen tam.Nejlépe je mít tuhle složku na samotném disku, ale stačí ji udělat jen jako samostatnou oblast. Při čisté instalaci OS pak stačí zase tuto oblast přidat. Ve svém domovském adresáři máš jak data, tak nastavení aplikací které používáš. Většinou stačí nainstalovat OS a programy si berou nastavení z tvého adresáře. Zkoušeno na Ubuntu 6-12.4, linuxmint 12-14 a teď zkouším debian 7. Původně jsem zálohoval jen fotky na DVD-RW. To mě vyučilo, protože jsem musel jpg dolovat speciálním programem, tak zálohuji na 2 HD. Mimochodem, potomek mi smáznul fotky na SD kartě. Nebylo tam nic, ani adresáře a taky jsem je vydoloval. Dnešní OS se nezdržují mazáním, jenom upraví odkaz v tabulce souborového systému.

[martin.falck]

Aby som sa po odskoku s odídením dát vrátil k topicu, v súvislosti s vyššie uvedeným kryptovaním mailovej komunikácie a obsahu harddisku som si spomenul na jednu českoslovenkú aférku, ktorú som veľmi okrajovo sledoval: Keď nemenovaná slovenská finančná skupina (ktorá si interne dosť potrpí na bezpečnosť, jej zamestnanecké PC napríklad nemajú žiadne USB porty, do ktorých by sa dal strčiť USB kľúč a internetové pripojenie ide cez lokálne proxy, ktoré, povedzme, umožňujú prezrieť kompletnú históriu) prevzala nemenovanú českú spoločnosť a následne EU v tejto českej spoločnosti prišla na kontrolu s obvinením z porušovania (anti)monopolných predpisov, tak sa v tej nemenovanej čeksej firme vykonalo viacero prehliadok (nie polícia, ale štátna správa, teda kontrola typu aká - taká súčinnosť typu keď chcete kontrolovať či je všetko lege artis, nech sa páči)... Firma odovzdala kontrole niekoľko PC, mailovú komunikáciu, proste všetko, čo si vypýtali. Všetko kryptované. Kontrola z EU sa s tým nejaký mesiac dva hrala, skúsili si vypýtať niečo, čím by sa dostali k zrozumiteľným dátam, dostali slušnú odpoveď, že zákon takú povinnosť neukladá a my sme Vám predsa poskytli všetko čo ste chceli, kontrola z EU následne pokrčila plecami, sklopila uši, urobila zápis o tom, že z dostupných dôkazov sa nič nezistilo a odporúčala sa.

Pointa: Šifrujte, dáva Vám to možnosť rozhodnúť sa slobodne, či niekomu svoje súkromné dáta sprístupníte alebo nie. Ale dáta máte chráneneé a rozhodnutie je na Vás. Je to proste opačné garde oproti tomu keď Vám niekto Vaše dáta zoberie a Vy už len potom musíte vysvetľovať, že na rozpad.cz chodíte preto že Vás to baví a nie preto, aby ste sa pripravovali na zvrhnutie vládnej garnitúry.

S dovolením jsem to smazal. Fabulous

[urbanwarrior]

Že šifrování bude ležet vrchnosti v žaludku připomíná i aféra tuším v US, když soudce napařil lumpovi nepodmíněný trest za to, že vyšetřovatelům nedal klíč k zašifrovanému počítači. Už nevím, čeho se to týkalo, ale dostal pět let, přestože se šifru nepovedlo zlomit a jediné důkazy bylo možno získat z toho počítadla... Trest ale dostal, jako by ty důkazy byly k dispozici. Stačí právo trochu ohnout a jde všechno. V Americe o to hůř, že tak vznikl docela ohavný precedent.

[martin.falck]

To Fabulous: Jasne, nemalo to tam co hladat

To all: Tak po par mailoch s Gabcikom odskusane free riesenie, celkom komfortne fungujuce aj na Macu aj na Windowsoch: GPG4WIN (resp. GPG Tools for Mac) + Mozilla Thunderbird + add-on k Mozile s nazvom Enigmail. Potrebujete sa len potrapit s vygenerovanim kluca, ak nie ste paranoidni, verejna cast kluca sa posle na server automaticky a potom uz staci len pamatat si heslo na odsifrovanie mailov, popridavat si verejne kluce ostatnych do "klucenky" a inak bezi vsetko plne automaticky, takze do toho priatelia, nie je co vahat a nepotrebujete byt ziadni profi ajtaci na to, aby ste si to rozchodili, nastavili a zacali maily sifrovat. Podla navodu ktory je niekde vyssie zverejneny to ide ako po masle. Este raz tymto dakujem autorovi navodu za tu pracu co si s tym dal

[gabcik]

Len upresním, že návod obsahuje len inštaláciu a základné "ručné" používanie GPG4WIN, nie je v ňom nič o Thunderbird+Enigmail.
Ale otestoali sme s Martinom Falckom, že je to kompatibilné (až na rozsypanú diakritiku).

Thunderbird+Enigmail by si zaslúžil samostatný návod, pretože to už je šifrovanie "na každý deň", maily sa sťahujú do mailového klienta Thunderbird, a šifrovanie/dešifrovanie nemusíte vykonávať ručné operácie cez clipboard, stačí len zadať heslo a zobrazí sa správa.

Návod však zatiaľ nejdem vyrábať, kým nemám vyriešené dve bezpečnostné veci:
1. plne anonymizované pripojenie Thunderbirdu (POP3/SMTP) k nejakej free bezpečnej mailovej službe
2. overenie,, či v prípade IMAP účtov nedochádza k ukladaniu nezašifrovanej správy na server (či už pri písaní správy alebo pri prezeraní rozšifrovanej).

Thunderbird+Enigmail sa svojím komfortom už približuje komerčnému riešeniu PGP Desktop, kde sa dá nastaviť šifrovacia politika tak, že používateľ nepozná rozdiel - až na to, že na začiatku práce s mailovým klientom zadá heslo.

Dokonca má Thunderbird+Enigmail aj jednu podstatnú výhodu nad PGP Desktopom: dá sa prevádzkovať aj v režime portable, teda z USB.

Najväčšia výzva v oblasti šifrovania je však bezpečné šifrovanie hlasovej komunikácie (VOIP), ktoré by sa dalo používať aj v mobilnom zariadení (smartfóne). To by bola naozaj podstatná vec, lebo mnohí ľudia v časovom strese siahajú k hlasovej komunikácii a vytárajú tam všetko.
Skype funguje aj v mobiloch, a je určite lepším riešením než klasický telefonický hovor, ale na jeho bezpečnosť sa nedá spoľahnúť, lebo nie je overiteľná.

Zaujímavý je projekt autora PGP Phila Zimmermanna, ZFONE (www.zfoneproject.com), a jeho komerčný klon s podporou mobilných zariadení Silent Circle. (www.silentcircle.com).
https://silentcircle.com/

[gabcik]

Pokiaľ ste niekedy inštalovali nejaký šifrovací softvér, poznáte to: najprv klasické odlikávanie jedného inštalačného okna za druhým, potom generovanie súkromného a verejného kľúča, heslo a jeho zálohovanie, výmena verejných kľúčov s druhou stranou... K tomu samozrejme vytvorenie bezpečnej e-mailovej adresy, najlepšie cez anonymné pripojenie. Aj keď som pred časom vyrobil podrobný návod „krok po kroku“, pustili sa do toho iba asi traja rozpadlíci.

Moja skúsenosť je taká, že aj keď sprevádzam týmto procesom priemerne skúseného používateľa počítača, vyžiada si to najmenej hodinu až dve.

Dnes však nie je doba počítačov, programov a e-mailov, ale doba smartfónov, mobilných aplikácií a online chatu. Bolo teda otázkou času, kedy niekto sprístupní šifrovanie „facebookovej generácii“.

Zdá sa, že výhodu prvého riešenia bude mať aplikácia CryptoCat. Je to neveľký plugin k prehliadačom Firefox, Chrome a Safari, ktorý zjednodušuje celý proces na minimum, ale pritom používa silnú asymetrickú kryptografiu (OTR) na otvorenom protokole jabber (XMPP-MUC).

Autorom je 23 ročný hacker z Bejrútu, Nadim Kobeissi. Jeho motiváciou bolo vyrobiť bezpečnejší chat, ako poskytuje Facebook alebo Google, pretože tieto siete boli hojne používané počas masových demonštrácií Arabskej jari, avšak vládne orgány túto komunikáciu monitorovali a po utíchnutí protestov použili tieto digitálne stopy proti hlavným organizátorom.

Otestoval som CryptoCat a musím povedať, že jednoduchšie to už asi byť nemôže.
Napísal som jednoduchý návod pre záujemcov. Keďže všetky internetové rozpadlícke aktivity zásadne robím cez anonymizátory, návod kombinuje CryptoCat s anonymizačnou sieťou TOR. Otestoval som aj použitie CryptoCat s anonymizačnou sieťou JonDo. Funguje to, akurát JonDoFox je nastavený „paranoidnejšie“, takže je nutné povoliť spúšťanie skriptov zo stránky crypto.cat a pri inštalácii zo stránky Mozilly.

1. Stiahnuť si anonymizovaný prehliadač Tor Browser Bundle pre svoj operačný systém:
https://www.torproject.org/projects/torbrowser.html.en (Prehliadač netreba inštalovať, stačí ho rozbaliť do vybraného priečinka alebo na USB kľúč).
2. Spustíme anonymizovaný prehliadač kliknutím na Start Tor Browser.exe. (Chvíľu treba počkať, môžeme pritom sledovať, ako sa prehliadač TorBrowser (čo je vlastne Firefox) pripája do anonymizačnej siete TOR)
3. Keď sa otvorí TorBrowser a zobrazí sa oznam o fungujúcom anonymnom pripojení, prejdeme na stránku https://crypto.cat/ Táto stránka rozoznáva použitý prehliadač a ponúkne inštaláciu pluginu – Download Cryptocat for Firefox – presmeruje nás na stránku https://addons.mozilla.org/en-US/firefo ... cryptocat/
4. Na tejto stránke klikneme na tlačítko Add to Firefox a nasledujeme inštrukcie. (Treba povoliť inštaláciu a po inštalácii reštartovať prehliadač.)

Potiaľ kroky inštalácie, ktoré musíme vykonať iba raz. Nasleduje samotné používanie CryptoCatu:

1. Po reštarte prehliadača sa objaví na nástrojovej lište prehliadača malá ikona červenej mačky na modrom pozadí. Klikneme na túto ikonu a zobrazí sa okno šifrovaného chatu.
2. Vpravo dole sa nachádza výber jazyka. V ponuke je aj čeština.
3. Vyplníme dve kolónky: jméno chatu (napr. „rozpad“) a svoju prezývku. Klikneme na „Připojit“.
4. Automaticky sa začnú generovať šifrovacie kľúče (toto prebieha vo vašom počítači) a následne sa aplikácia pripojí k prednastavenému serveru. Tento server je mimochodom umiestnený v hostingovom centre, ktoré je umiestnené vo švédskom protiatómovom kryte z doby studenej vojny  Program samozrejme umožňuje pripojiť sa aj na iný jabber server.
5. Zobrazí sa čierne okno s diskusnou miestnosťou, v ktorej svietia pripojení používatelia (napríklad gabcik@rozpad). Chatovať sa dá so všetkými členmi v miestnosti, alebo s jednotlivými používateľmi. Všetka komunikácia je šifrovaná.

Vážení rozpadlíci, pokiaľ si tento systém chcete vyskúšať v praxi, v priebehu dnešného dňa budem online v miestnosti rozpad pod menom gabcik.

P. S. Podarilo sa niekomu nainštalovať CryptoCat do prehliadača Chrome? Ja som sa dostal len k tomu, že mi Chrome chcel vnútiť prihlásenie sa ku Google kontu, čo som samozrejme odmietol. Kúzlo CryptoCatu totiž spočíva aj v tom, že pre každú komunikáciu generuje samostatné šifrovacie kľúče, takže je možné dôveryhodne popierať minulú komunikáciu, aj keby bola zachytená napríklad zradou druhej strany.

[martin.falck]

Hm. tak toto je zaujimave. Este som dlzil odpoved - ano, decrypt funguje cez WIN aj v clipboard okne.

TOR som vyskusal, bezi bez problemov aj na Macu.