Jsem si vědom, že článek není typický pro tento web, možná se sem ani
moc nehodí ... ovšem pokud se člověk ocitne ve sračkách je dobré když si
vzpomene kde zahlédl kus papíru.
Se stupňující se profizlovaností doby se zde občas probírají možnosti
a spolehlivost šifrovaných přenosů, kvalita algoritmů a různé způsoby znesnadňující
komunikaci sledovat a decryptovat. Faktem je, že mnohem více kapacit než
se věnuje tvorbě a bezpečnosti šifrovacích algoritmů a jejich bezpečné
implementaci se věnuje hledání (a nalézání) děr v těchto aplikacích, mnohdy
i desetiletí považované za dostatečně bezpečné. Z principu věci tak lze
říci pouze jediné, nemůžeme důvěřovat žádnému postupu nad kterým nemáme
plnou kontrolu (a tomu jen s maximální mírou opatrnosti).
Pro případ kdy potřebujete opakovaně komunikovat s maximální jistotou
soukromí jsem se pokusil srozumitelně zpracovat postup na principu Vernamovy
šifry pro (především) elekronickou poštu. Postup který díky nutnosti
pracovat pouze na lokálním stroji sice není přespříliš user friendly,
ale z jeho jednoduchosti bude patrné, že zpracovávaná data (samotný script)
nikam neposílá a šifra má tu vlastnost, že poté co se na decryptování umlátí
pár cryptologů, shledá protivník, že jediný efektivní způsob jak se dostat
k obsahu zprávy je vymlátit ho z Vás či příjemce (tomu se také pokusíme
zamezit).
Postup tvoří několik vrstev:
1. Samotné šifrovací postupy na zprávě - nejdůležitěší část, zde budeme
mít úplnou kontrolu ve svých možnostech, výstup můžete klidně otisknout
v novinách, ale rozhodně je lepší budit dojem, že vlasně nikde nic nešifrujeme
viz. bod 2.
2. Maskování šifrované zprávy (steganografie) do obrázku - ať už použijeme
sebelépe hodnocený program, jsem si téměř jist, že pokud se někdo zaměří
je možné obrázky se zprávou detekovat a zašifrovanou část vydolovat, ale
také jsem si jist, že provádět analýzu všech obrázků které projdou sítí
je z pohledu výpočetního výkonu nemožné (nepoužívejte opakující se obrázky
např. logo, tam by bylo namátkovým kontrolním součtem jednoduché přítomnost
vložených dat odhalit), domluvené heslo pro steganografickou část (stejně
jako informaci, jestli zpráva obsahuje šifrovanou část) můžete měnit třeba
dle oslovení, fantazii se meze nekladou ... V případě prolomení této části
útočník jen získá jistotu, že šifrování používáte a zvýší se riziko snahy
dobrat se Vašich dat jinou cestou
3. Komunikační kanál - tedy způsob odeslání zprávy, asi nejčastěj email,
ale klidně obrázek publikovaný kdekoliv v neupravované elekronické podobě,
posílejte klidně klasicky šifrovaným způsobem (variace ssh/ssl), přes TOR
z neosobního mejlu, prostě jak se zamane
Samotné šifrování si můžete vyzkoušet tady (http://sifry.kvalitne.cz/)
- jen pro jistotu ... v žádném případě stránku na tomto odkazu nepoužívejte,
je to jen ukázka funkčnost
Zdrojový kód funkcí je tu (sifry.kvalitne.cz/...)
Stáhnutí scriptu zde (sifry.kvalitne.cz/...)
Nezbytná pravidla použití
· zdroj pro klíč musí být minimálně tak dlouhý jako zpráva - nejlépe
vybrat si nějaký dostatečne stabilní zdroj třeba z nějakého internetového
měsíčníku, nebo klidně z nějaké knihy v pdf, nebo ... je jasné, že pro
domluvu (vlastně celého technického způsobu) zdroje pro klíče je nutná
alespoň jedna osobní schůzka
· klíč se nesmí nikdy opakovat
· klíč se nesmí nikdy opakovat
Jak to provést prakticky:
Pokud máte jistotu, že nemáte zavirovaný počítač, můžete si nainstalovat
běhové prostředí (apache+php), pro Windows je například k mání dobrý balík
xammp po instalaci a spuštění stačí do adresáře htdocs (u linuxu /opt/lampp/htdocs,
u windows C:/Program files/xampp/htdocs) rozbalit výše linkovaný script,
smazat původní index.html otevřít prohlížeč a do adresního řádku napsat:
localhost a k implementaci do obrázku použít některý z steganografických
programů.
Nevýhodou je nutnost instalovat nový sw a především možnost zanechání
stop na pevném disku počítače.
Jako lepší alternativu jsem potřebné vybavení nacpal do live CD, stačí
jen stáhnout iso soubor
(heslo pro stahování: heller ) vypálit na DVD nebo vytvořit bootovací flashdisk
a z něj spustit počítač. Výhoda, nic se nikam neukládá (pokud s tím sami
nezačnete) a po restartu je počítač ohledně kryptografické činnosti panensky
čistý. Na ploše jsou proti běžnému live CD navíc dvě ikony, ikona "crypto"
spustí samotný script a ikona "steghide" otevře webovou stránku s postupem
pro skrytí textu do obrázku.
Jak můžete vědět, že nejsem fízl prahnoucí se porýpat ve Vašem soukromí
a nenachystal jsem na uživatele boudu? Nijak, proto si nejprve pootvírejte
v prohlížeči všechny okna která budete potřebovat + nějaký balast (nezapomeňte
si otevřít postup práce s programem Steghide), stáhněte co stáhnout potřebujete
a před samotnou prací na šifrování zpráv počítač odpojte od internetu,
výsledný obrázek si můžete uložit třeba na flashdisk pro pozdější odeslání.
Protože v počítači po restartu nic z programu nezůstává eliminujete tím
nebezpečí že jsem svině a nastražil jsem na uživatele keylogger nebo podobnou
ohavnost.
Sepsáno a kompilace do CD vytvořena jedno nedělní odpoledne jako moje
troška do mlýna v odporu proti úřednické zlovůli a s vděkem k autorům kteří
se o svoje zkušenosti s efektivními postupy proti státní buzeraci po webech
dělí s ostatními.
20.06.2015 Gogan
Autor mě požádal, abych k jeho článku přidal doplnění, že některé jím navrhované postupy obsahují závažná bezpečnostní rizika, ergo je není dobré v praxi používat tak, jak je navrhováno v článku (zejména se jedná o volbu klíče k Vernamově šifře). Pro více informací doporučuji přečíst opravný článek a diskuse k oběma článkům (tam se můžete dozvědět mnoho zajímavého i v případě, že nemáte v úmyslu autorem uvedený postup používat).
22.06.2015 Urza