"Параноик - это человек, который кое-что понимает в происходящем"

Уильям Берроуз

Зачем это нужно?

Электронные сообщения (E-mail, ICQ) легко могут прочитать и скопировать все, кто имеет доступ к серверу интернет-провайдера или к компьютерам, через которые эти сообщения проходят.

Слежка в интернетеВ результате борьбы с терроризмом и отмыванием денег во многих странах, в том числе и в Украине, были приняты законы, которые обязывают интернет-провайдеров архивировать всю переписку своих клиентов. Спецслужбы крупных государств регулярно сканируют электронную почту в поиске подозрительных ключевых слов и фраз. Вот лишь несколько таких государственных программ: международная система ECHELON (США и другие), проект Carnivore (США), системы СОРМ и СОРМ-2 (Россия). 

Агенты спецслужб или другие заинтересованные лица могут не только перехватить любое ваше сообщение но и изменить его содержание, а затем отправить его так, как будто с ним ничего не произошло. Обратный адрес и служебные заголовки письма легко подделываются и модифицируются. Научно-технический прогресс облегчил задачу слежения за электронной перепиской, но этот же прогресс позволяет эту переписку надежно защитить.  

Соответственно, если вы являетесь владельцем оффшорной компании или планируете зарегистрировать оффшор, вам следует уделять особое внимание защите конфиденциальности переписки.

 

Как защититься? 

В Интернете можно найти массу средств защиты данных. Разобраться в этом многообразии нелегко. Вот несколько простых советов:

  1. Выбирайте программы, которые существуют как можно дольше.
  2. Отдавайте предпочтение программам, исходный код которых является открытым (Open Source).
  3. Стойкость программы должна основываться на невозможности подобрать ключ, а не на секретности алгоритма шифрования.
  4. Старайтесь найти о программе как можно больше отзывов незаинтересованных лиц. 

Криптография очень консервативна. Новые средства шифрования не считаются надежными до тех пор, пока их тщательно не разобрали "по косточкам" профессиональные криптоаналитики. Для этого им должен быть доступен исходный код этих программ. Разработчики коммерческих программ этот код не публикуют из-за опасений, что конкуренты воспользуются их идеями. Поэтому программы с закрытым исходным кодом не пользуются доверием у специалистов. Опасность применения таких программ состоит в том, что гипотетически за закрытым кодом разработчиками может быть спрятан потайной "черный ход" (backdoor) - возможность взломать шифр, даже не зная пароля. Именно исходя из этих соображений гораздо предпочтительней пользоваться для целей шифрования программами с открытым исходным кодом.

Программа шифрования PGPСамым распространенным средством защиты информации в последние годы стали программы реализации стандарта шифрования PGP (Pretty Good Privacy). Устойчивость PGP базируется на некоторых фундаментальных нерешенных математических задачах.

Создатель первой программы PGP, Филипп Циммерман, открыто опубликовал ее код в 1991 году. С тех пор программу неоднократно исследовали криптоаналитики высочайшего класса и ни один из них не нашел в используемых методах шифрования слабых мест. При соблюдении простых правил взломать ее практически невозможно.

Со временем данный проект был коммерциализирован. В 2010-м году корпорация Symantec выкупила PGP у разработчиков за 300 млн. долларов и с тех пор предлагает пользователям коммерческие версии программы с расширенной функциональностью. Мы настоятельно не рекомендуем использовать коммерческую версию PGP, поскольку ее исходный код, естественно, уже закрыт.

В качестве альтернативы еще в 1999 году Фондом свободного программного обеспечения была создана свободная реализация шифрования PGP под названием GnuPG. Данная программа имеет открытый исходный код и полностью совместима с другими версиями PGP. Проект GnuPG находится в процессе развития и группа разработчиков-энтузиастов по сей день продолжает работу над ее усовершенствованием. 

Скачать дистрибутив программы GnuPG можно по следующим ссылкам:

 

Принцип шифрования PGP

Шифрование PGP построено на принципе несимметричной криптографии. Вкратце это означает следующее. Сообщение, зашифрованное одним ключом, может быть расшифровано только другим, взаимосвязанным ключом. Эти два ключа образуют пару - публичный и секретный. Такая пара ключей есть у каждого участника переписки. Главное преимущество PGP состоит в том, что для обмена зашифрованными сообщениями пользователям нет необходимости передавать друг другу тайные ключи.

Хотя ключ, которым шифруется текст сообщения, доступен посторонним, с его помощью это сообщение расшифровать невозможно. Этот ключ называется публичным. Пользователи могут открыто посылать друг другу свои публичные ключи через Интернет. При этом риска несанкционированного доступа к их конфиденциальной переписке не возникает.

Секретный ключ тщательно оберегается от посторонних. С помощью секретного ключа получатель дешифрует сообщения, которые были зашифрованы его публичным ключом. Но даже заполучив секретный ключ, противник не сможет им воспользоваться, не зная пароля.

 

Проиллюстрируем принцип работы PGP

Имеются два собеседника, желающих сохранить конфиденциальность своей переписки. Назовем их Алиса и Борис. 

1. Оба собеседника установили программу и каждый из них сгенерировал по паре ключей - один публичный и один секретный.

2. После чего Алиса и Борис по открытому каналу обмениваются своими публичными ключами. В результате у каждого собеседника получается следующий набор ключей:

Шифрование PGP

3. Алиса пишет сообщение, зашифровывает его публичным ключом Бориса и отправляет адресату. Борис получает зашифрованное сообщение и открывает его своим секретным ключом:

Шифрование PGP

4. Борис пишет ответ, зашифровывает его публичным ключом Алисы и отправляет Алисе. Алиса получает зашифрованный ответ и открывает его своим секретным ключом:

Шифрование PGP

 

Что делает PGP?

Шифрование PGP решает три задачи конфиденциального обмена информацией:

  1. Защищает текст сообщений от посторонних. То есть прочитать сообщение может только человек, у которого есть секретный ключ и который знает пароль.
  2. Подтверждает получателю целостность приходящего сообщения. То есть дает уверенность в том, что при передаче содержание сообщения не изменилось.
  3. Подтверждает личность отправителя. Встроенная в PGP электронная подпись однозначно идентифицирует отправителя, поскольку только он имеет доступ к секретному ключу и знает пароль.

 

Как работает PGP?

Прежде чем зашифровать сообщение отправитель определяет получателя. Программа находит публичный ключ получателя (для этого он должен быть в файле публичных ключей на компьютере отправителя).

Перед шифрованием PGP сжимает текст сообщения. Это ускоряет передачу и увеличивает надежность шифрования. Затем генерируется так называемый сессионный (одноразовый) ключ, который представляет собой длинное случайное число. С помощью сессионного ключа шифруется текст сообщения. Текст сообщения шифруется с помощью алгоритма симметричного шифрования. В этом алгоритме для шифрования и дешифрования используется один ключ. Поэтому для дешифрования сообщения получатель тоже должен иметь этот сессионный ключ. Однако отправлять этот ключ в открытом виде небезопасно, поэтому он шифруется публичным ключом получателя. Зашифрованный сессионный ключ отправляется получателю вместе с зашифрованным текстом. Необходимость использовать симметричный алгоритм шифрования обусловлена его высокой скоростью. 

Расшифровка сообщений происходит в обратной последовательности. На компьютере получателя программа использует его секретный ключ для расшифровки сессионного ключа. С помощью этого ключа дешифруется текст сообщения.

 

Ключи

Ключ - это число, которое программа использует для шифрования и дешифрования текста. Размер ключа измеряется в битах. Чем больше ключ, тем его сложнее взломать (подобрать). Сегодня в публичной криптографии заведомо устойчивыми считаются ключи длиной 2048 бита и больше.

Несмотря на то, что публичный и секретный ключи взаимосвязаны, получить закрытый ключ имея открытый ключ, очень сложно. Это возможно если длина ключа  невелика и у противника есть компьютеры большой мощности. Поэтому важно выбирать ключи большого размера. С другой стороны, слишком длинный ключ замедляет расшифровку сообщений. Поэтому следует соблюдать  золотую середину. Вполне достаточно, если подбор будет занимать несколько десятков или сотен лет. На современном уровне развития компьютерных технологий ключи длиной 2048 - 4096 бита взломать практически невозможно.

Ключи хранятся на жестком диске вашего компьютера в виде двух файлов: одного для публичных ключей, а другого - для секретных. Эти файлы называются "связками" ключей (Keyrings). Публичные ключи ваших корреспондентов будут "цепляться" на связку публичных ключей. Ваши секретные ключи хранятся в файле секретных ключей. Хранить его нужно особенно тщательно. Потеряв секретный ключ, вы не сможете расшифровать адресованную вам информацию, которая была зашифрована вашим публичным ключом.

 

Цифровая подпись

Цифровая подпись позволяет получателю удостовериться в личности отправителя сообщения. Она исполняет ту же самую функцию, что и обычная подпись. Однако обычную подпись можно подделать. Цифровую же подпись подделать практически невозможно.

 

Подтверждение целостности сообщения - хэш-функция

По пути от отправителя к получателю содержимое сообщения может быть изменено. В программе предусмотрена проверка целостности сообщения. Для этого используется так называемая хэш-функция. Это алгоритм преобразования текста произвольного размера в некоторое небольшое число. Такое преобразование совершенно однозначно, то есть при любом изменении данных, пусть даже на один бит, результат хэш-функции тоже изменится.

Перед шифрованием сообщения программа рассчитывает его хэш-функцию и шифрует ее секретным ключом. Результат шифрования и является цифровой подписью. Цифровая подпись передается почтовой программой вместе с текстом. Программа на компьютере получателя расшифровывает хэш-функцию, после чего рассчитывает хэш-функцию текста сообщения. Если хэш-функция, полученная от отправителя и рассчитанная на месте совпадают, то это означает, что сообщение по пути не менялось. Далее текст сообщения дешифруется с помощью секретного ключа получателя.

Затем программа проверяет какой из публичных ключей подходит для расшифровки результата хэш-функции. Если это оказался ключ отправителя, то получатель может быть уверен, что сообщение подписал владелец секретного ключа или человек, которому этот ключ и пароль стали доступны.

Извлечь подпись из одного документа и вложить в другой, либо изменить содержание сообщения так, чтобы оно по-прежнему соответствовало цифровой подписи, невозможно. Любое изменение подписанного документа сразу же будет обнаружено при проверке подлинности подписи.

 

Пароль

Шифрование PGP обладает еще одним уровнем защиты. Чтобы воспользоваться секретным ключом недостаточно иметь доступ к файлу секретных ключей. Для этого необходимо знать пароль.

В программах реализации PGP пароль называется "парольной фразой" (Passphrase), хотя она может состоять и из одного слова. Однако помните, что использование слишком коротких паролей значительно увеличивает риск их взлома.

Существует три наиболее популярных метода взлома пароля:

  1. Метод "словарной атаки" (Dictionary Attack) - последовательный перебор всех слов языка в различных регистрах.
  2. Метод "грубой силы" (Brute Force) - последовательный перебор всех возможных комбинаций всех символов.
  3. Метод "гаечного ключа" (другие варианты названия: метод "резинового шланга" (Rubber-hose Cryptanalysis), "терморектальный криптоанализ", "бандитский криптоанализ") - использование для взлома пароля слабейшего звена системы защиты информации, коим является человеческий фактор. Применяя этот метод, "криптоаналитик" прибегает к угрозам, пыткам, шантажу, вымогательству, взяточничеству и другим некорректным мерам воздействия на человека, который знает пароль. Это можно проиллюстрировать карикатурой:

 

Шифрование PGP

(источник карикатуры: xkcd.com)

Описание мер противодействия методу "гаечного ключа" выходит за рамки данной статьи. В этих вопросах вам могут помочь специалисты по обеспечению физической безопасности. А вот для борьбы с первыми двумя методами достаточно соблюдать несложные правила выбора пароля:

Не следует:

  • Использовать слова, которые можно встретить в словаре любого известного языка.
  • Использовать даты рождения, фамилии и имена родственников, клички домашних животных и прочие легко угадываемые наборы символов.
  • Использовать осмысленные слова одного языка, набранные в раскладке клавиатуры для другого языка.
  • Записывать пароль (особенно в личных записных книжках или оставлять его вблизи компьютера).

Желательно:

  • Выбирать длину пароля более 8 символов (если он состоит из случайного набора буквенно-цифровых символов и знаков препинания).
  • При использовании в пароле осмысленных слов увеличить его длину до 16-20 символов. Слов при этом должно быть несколько.
  • При использовании осмысленных слов делать в них ошибки, вставлять знаки препинания, менять регистр.

Пароль необходимо запомнить. Если вы его забудете, то уже никогда не сможете восстановить информацию зашифрованную этим ключом. Без знания пароля ваш секретный ключ совершенно бесполезен.

 

Существует один очень неплохой метод генерирования и запоминания длинных сложных паролей: мы берем любое заученное наизусть стихотворение (или слова популярной песни) и в качестве пароля используем первые буквы каждого слова, набранные в английской раскладке клавиатуры.

Для примера возьмем отрывок из стихотворения Эмиля Верхарна "Меч":

С насмешкой над моей гордынею бесплодной
Мне некто предсказал, державший меч в руке:
Ничтожество, с душой пустою и холодной,
Ты будешь прошлое оплакивать в тоске.

Теперь переключаем раскладку клавиатуры на английский язык и, повторяя про себя заученное стихотворение, набираем первые буквы каждого слова (глядя при этом на русские буквы клавиатуры):

сннмгбмнпдмврнсдпихтбповт

В итоге нашим паролем будет следующая набранная последовательность символов:

cyyvu,vyglvdhyclgb[n,gjdn

Как видим, пароль получился достаточно длинным и очень сложным. А вот запомнить его не составит особого труда. От вас только требуется не забыть какое именно стихотворение (или песня) лежит в основе вашего пароля.

 

Как начать использовать PGP

  1. Установите программу на свой компьютер. Как правило, ее установка затруднений не вызывает.
  2. Создайте секретный и публичный ключи.
  3. Разошлите свой публичный ключ своим корреспондентам и получите их публичные ключи. По умолчанию после генерации ключей программа предлагает отправить свой публичный ключ на сервер ключей. Сделайте это. Ваш публичный ключ станет доступным всем желающим.
  4. Внесите ключи своих корреспондентов в файл публичных ключей. Для этого достаточно дважды кликнуть мышью по файлу ключа. Программа сама предложит импортировать этот ключ.
  5. Убедитесь в подлинности публичных ключей ваших корреспондентов. Для этого свяжитесь с корреспондентом и попросите его прочитать вам по телефону так называемый "Отпечаток" (Fingerprint) - уникальный идентификационный номер его публичного ключа. Сообщите ему также отпечаток своего публичного ключа. Как только вы убедитесь в том, что ключ действительно принадлежит ему, вы можете пометить его как доверенный. Подтвердить подлинность публичного ключа также может третье лицо, которому доверяет каждый из корреспондентов.
  6. Шифрование сообщений и цифровая подпись. После генерации пары ключей и обмена публичными ключами с вашими корреспондентами вы можете начинать конфиденциальную переписку. Если вы используете почтовую программу, которая поддерживает шифрование PGP, то процессы шифровки и дешифровки корреспонденции, а также проверка подлинности отправителя происходят почти автоматически. Программа только спросит у вас пароль вашего секретного ключа.

 

Скачать наш публичный PGP-ключ для защищенной переписки

 

Еще по теме

 

Остались вопросы?
Заполните заявку на бесплатную консультацию.

08.12.2017    ЕС утвердил свой черный список оффшоров
В Евросоюзе завершилась двухгодичная эпопея согласования единого "Черного списка юрисдикций, не сотрудничающих в налоговых вопросах" (List of Non-cooperative Jurisdictions for... [Читать далее]
01.12.2017    Криптовалюты в Украине - позиция властей
30 ноября 2017 года в Украине сделана первая попытка официально определиться со статусом криптовалют (пиринговых платежных систем), набирающих бешеную популярность... [Читать далее]
24.11.2017    Остров Мэн и Джерси признаны прозрачными
17 ноября 2017 года в г. Яунде, Камерун, завершился очередной, десятый по счету, Глобальный форум ОЭСР по налоговой прозрачности. В... [Читать далее]

Все новости
08.09.2017   Аннуитет
Удобный инструмент защиты активов, получения стабильного дохода и отсрочки налоговых обязательств....[Читать далее]
22.05.2017   Наша новая услуга: компания на Мальте
Недорогое и эффективное решение для международной торговли, шиппинга и организации холдинга для украинских структур....[Читать далее]
02.12.2016   Новый закон о компаниях IBC на Сейшелах
Вниманию владельцев сейшельских оффшоров. С 1 декабря 2016 года вступил в силу новый закон о компаниях международного бизнеса....[Читать далее]

Все обновления

 

© 2017 Компания Nexus Ltd. Все права защищены.

Аналитические материалы, размещенные на сайте , имеют исключительно информационное назначение, не являются предложением проводить операции на рынке ценных бумаг или осуществлять те или иные инвестиции, и не могут рассматриваться как специальная юридическая консультация или руководство к действию. Мы прилагаем все разумные усилия, чтобы публикуемая информация была актуальной, точной и достоверной. Тем не менее, компания Nexus Ltd не несет ответственность за убытки (как прямые, так и косвенные), полученные в результате самостоятельного использования опубликованной информации. Любые решения в области бизнеса и инвестиций всегда связаны с риском. Непременным условием принятия таких решений должно быть понимание этих рисков и осознание личной ответственности инвестора или предпринимателя за результаты своих решений. Некоторые услуги, описанные на сайте, могут быть ограничены для резидентов Украины.