Myslíte si, že vaše anonymita je spolehlivě chráněna. Ale bohužel tomu tak není. Existuje jeden velmi důležitý kanál pro únik vašich soukromých informací – služba DNS. Ale i na to se naštěstí našlo řešení. Dnes vám řeknu, jak zašifrovat váš DNS provoz pomocí nástroje DNSCrypt.

Při použití HTTPS nebo SSL je váš HTTP provoz šifrovaný, tedy chráněný. Když používáte VPN, veškerý váš provoz je již šifrován (samozřejmě vše závisí na nastavení VPN, ale zpravidla tomu tak je). Ale někdy, i když používáte VPN, vaše DNS dotazy nejsou šifrované, jsou odesílány tak, jak jsou, což otevírá velký prostor pro kreativitu, včetně útoků MITM, přesměrování provozu a mnoho dalšího.

Zde přichází na pomoc open source utilita DNSCrypt, kterou vyvinuli známí tvůrci OpenDNS – programu, který umožňuje šifrovat DNS dotazy. Po instalaci do počítače budou chráněna i vaše připojení a budete moci bezpečněji surfovat na internetu. DNSCrypt samozřejmě není všelékem na všechny problémy, ale pouze jedním z bezpečnostních nástrojů. K šifrování veškerého provozu stále musíte používat připojení VPN, ale spárování s DNSCrypt bude bezpečnější. Pokud jste s takto stručným vysvětlením spokojeni, můžete rovnou přejít k části, kde popíšu instalaci a používání programu.

Zkusme porozumět hlouběji. Tato sekce je pro opravdu paranoiky. Pokud si ceníte svého času, můžete okamžitě přistoupit k instalaci programu.
Takže, jak se říká, je lepší jednou vidět, než stokrát slyšet. Podívej se na obrázek.

Řekněme, že se klient (notebook na obrázku) pokouší získat přístup na stránku google.com. Nejprve by měl
přeložit symbolický název hostitele na IP adresu. Pokud je konfigurace sítě taková, že se používá DNS server poskytovatele (nešifrované připojení, na obrázku červená čára), pak k překladu symbolického jména na IP adresu dojde přes nešifrované připojení.

Ano, nikdo nebude vědět, jaká data budete předávat na dkws.org.ua. Jsou tu ale velmi nepříjemné momenty. Za prvé, poskytovatel nahlédnutím do protokolů DNS bude moci zjistit, které stránky jste navštívili. Potřebuješ to? Za druhé je pravděpodobná možnost útoků DNS spoofing a DNS snooping. Nebudu je podrobně popisovat, o tom již bylo napsáno mnoho článků. Stručně řečeno, situace může být následující: někdo mezi vámi a poskytovatelem může zachytit požadavek DNS (a protože požadavky nejsou šifrované, nebude obtížné požadavek zachytit a přečíst jeho obsah) a poslat vám „ falešná“ odpověď. Výsledkem je, že místo návštěvy google.com přejdete na web útočníka, který je přesně takový, jaký potřebujete, zadáte své heslo z fóra a vývoj událostí je, myslím, jasný.

Popsaná situace se nazývá únik DNS. K úniku DNS dochází, když váš systém i po připojení k serveru VPN nebo Tor pokračuje v dotazech na servery DNS poskytovatele, aby přeložil názvy domén. Pokaždé, když navštívíte nový web, připojíte se k novému serveru nebo spustíte síťovou aplikaci, váš systém kontaktuje DNS vašeho ISP, aby přeložil název na IP. Výsledkem je, že váš poskytovatel nebo kdokoli, kdo se nachází na „poslední míli“, tedy mezi vámi a poskytovatelem, může přijímat všechna jména uzlů, ke kterým přistupujete. Výše uvedená možnost s náhradou IP adresy je poměrně krutá, ale v každém případě je možné sledovat uzly, které jste navštívili, a použít tyto informace pro své vlastní účely.

Pokud se svého poskytovatele „bojíte“ nebo jednoduše nechcete, aby viděl, jaké stránky navštěvujete, můžete (samozřejmě kromě používání VPN a dalších bezpečnostních opatření) svůj počítač dodatečně nakonfigurovat tak, aby používal DNS servery Projekt OpenDNS (www.opendns.com) . V současné době se jedná o následující servery:

208.67.222.222
208.67.220.220

Nepotřebujete žádný další dodatečný software. Stačí nakonfigurovat systém tak, aby používal tyto servery DNS.

Problém zachycování DNS spojení ale stále přetrvává. Ano, již nepřistupujete k DNS poskytovatele, ale spíše k OpenDNS, ale stále můžete zachytit pakety a zjistit, co je v nich. To znamená, že pokud si přejete, můžete zjistit, ke kterým uzlům jste přistupovali.

Nyní se dostáváme k DNSCrypt. Tento program vám umožňuje zašifrovat vaše připojení DNS. Nyní váš ISP (a všichni mezi vámi a nimi) nebude přesně vědět, jaké stránky navštěvujete! Ještě to zopakuji. Tento program nenahrazuje Tor nebo VPN. Stejně jako dříve se zbývající data, která přenášíte, přenášejí bez šifrování, pokud nepoužíváte VPN nebo Tor. Program pouze šifruje provoz DNS.

JAKO ZÁVĚR

Článek nebyl příliš dlouhý, protože samotný program se velmi snadno používá. Nebylo by to ale kompletní, kdybych nezmínil VPN. Pokud čtete tento článek a zajímá vás, ale ještě jste nevyužili služeb poskytovatele VPN k šifrování vašich dat, je čas to udělat.
Poskytovatel VPN vám poskytne bezpečný tunel pro přenos vašich dat a DNSCrypt zajistí vaše připojení DNS. Služby poskytovatelů VPN jsou samozřejmě placené, ale za bezpečnost se platit musí, ne?

Můžete samozřejmě použít Tor, ale Tor funguje relativně pomalu a, ať už někdo říká, není to VPN - nebude možné „torifikovat“ veškerý provoz. V každém případě (ať už zvolíte kteroukoli možnost), vaše připojení DNS jsou nyní bezpečná. Zbývá pouze rozhodnout o způsobu šifrování provozu (pokud jste tak již neučinili).

Naposledy aktualizováno 30. října 2016.

Program SoftEnter VPN Client.

V souvislosti s reálnou hrozbou rozšíření represivních funkcí protipirátského zákona a možným začátkem přenesení jeho účinku na běžné uživatele, konkrétně s možným zavedením pokut za stahování pirátského obsahu (filmy, hudební pořady atd.) , nadále seznamuji návštěvníky svých stránek s informacemi, jak se těmto pokutám vyhnout, tedy jak stahovat z internetu ANONYMNĚ. Dříve jsem ukazoval, jak stahovat anonymně z přímých odkazů a torrentů. V tomto článku se podíváme na jeden ze způsobů šifrování veškerého internetového provozu. Šifrování veškerého internetového provozu vám umožní stát se na internetu zcela anonymní změnou vaší IP adresy na třetí stranu. Po změně vaší IP adresy pomocí aplikace navržené v tomto článku nebude nikdo zvenčí schopen zjistit, které stránky jste navštívili nebo co jste si stáhli, včetně vašeho internetového provozu v torrent klientovi bude zašifrováno.
Řeč je o aplikaci s názvem SoftEnter VPN Client. Jedná se o klientský program pro komunikaci se službou VPN Gate.
Služba VPN Gate je experimentální projekt Graduate School of the University of Tsukuba (Japonsko). Myšlenkou projektu je organizovat dobrovolníky veřejnou síť VPN tunelů, které jsou vytvořeny pomocí speciálního softwaru a zpřístupněny zdarma pro veřejné použití. Kdokoli se k nim může připojit.
Soukromé veřejné sítě VPN Gate poskytují obyčejní lidé, nikoli firmy, a je vyloučena i hypotetická možnost přijímání logů (historie navštívených stránek a historie stahování) na žádost příslušných úřadů. Služba VPN Gate byla vytvořena, aby umožnila občanům zemí, kde jsou určité stránky blokovány, je volně a anonymně navštěvovat, ale službu lze také použít ke stažení potřebného obsahu bez obav z nepříjemných následků.
Nastavení programu SoftEnter VPN Client není vůbec složité. Nyní vám ukážu, jak na to.

Nejprve si stáhněte z webu vývojáře pomocí odkazu archivujte pomocí instalačního souboru softwaru SoftEnter VPN Client.

Mimochodem, informace pro ty, kteří již použili univerzální vteřinové německé lepidlo Nano Kleber a pro ty, kteří náš produkt ještě neznají, se naše lepidlo dramaticky změnilo.
Přirozeně k lepšímu. Za prvé se změnil vzhled obalu a lahví s lepidlem. Za druhé, objem lahví se zvýšil o třetinu! Nyní je váha lahve 31,5 gramů, lahev se svařovacím granulátem je 25 gramů.
A hlavně se zlepšila kvalita samotného lepidla. Kvůli četným požadavkům zákazníků lepidlo zhoustlo. To vám umožní pracovat s ním bez spěchu před stlačením (lepením). Doba přípravy se zdvojnásobila! Jeho cena však zůstala stejná.
Více o lepidle Nano Kleber se můžete dozvědět na našich oficiálních stránkách zde. Tam si ho také můžete objednat. Dodávka - po celém Rusku.

Po stažení archivu rozbalte složku s instalačním souborem na plochu.

Otevřete jej a začněte instalovat software SoftEnter VPN Client.

Po instalaci softwaru SoftEnter VPN Client jej zprovozníme.

Vyberte jeden ze serverů VPN a připojte se k němu.

Po připojení k vybranému serveru VPN bude veškerý váš internetový provoz odesílán přes server třetí strany, který spolehlivě skryje vaše online aktivity.

To, že jste připojeni k vámi zvolenému VPN serveru, můžete snadno zjistit návštěvou jedné ze služeb kontroly IP adresy. Není těžké je najít. Do vyhledávacího pole jakéhokoli vyhledávače, například v Yandexu, napište hledaný výraz „kontrola IP“.

Zakázání připojení VPN je snadné. Po instalaci softwaru SoftEnter VPN Client se na liště objeví speciální ikona. Klikněte na něj pravým tlačítkem myši a v zobrazené kontextové nabídce vyberte spodní řádek pro deaktivaci programu.

Jak vidíte, není vůbec těžké zašifrovat veškerý váš internetový provoz pomocí programu SoftEnter VPN Client a služby VPN Gate.
V blízké budoucnosti budeme pokračovat ve studiu tématu šifrování internetového provozu a zvážíme další způsob šifrování provozu pomocí VPN služeb, a to přímo, bez použití aplikací třetích stran, ale pouze změnou nastavení internetového připojení.

01/08/2018

TunnelBear je program, který vám umožní připojit se k síti VPN. Poskytuje bezpečný přístup k internetu a chrání osobní údaje před krádeží. Cílem TunnelBear je pomoci poskytnout další vrstvu zabezpečení pro datové přenosy, ke kterým dochází mezi vaším počítačem a vzdáleným serverem. Nástroj používá anonymní služby k šifrování informací. Pomocí programu můžete procházet internet bez obav, že vaše data mohou být zachycena třetími stranami. Kromě zabezpečení může VPN software skrýt skutečnou IP adresu a nastavit adresu jiné země. Můžete překonat geo...

05/06/2018

Spotflux je malá utilita, která pomáhá uživatelům učinit jejich práci s internetem co nejdůvěrnější. Po instalaci tohoto programu je do systému nainstalován speciální síťový ovladač, který umožňuje veškerému provozu procházet programovým serverem. Na serveru jsou data vyčištěna o informace o uživateli, poté budou odeslána na jiný server, na který jste ve skutečnosti odeslali provoz původně. Jsou také vymazány zpětné pakety, které k vám přicházejí. Program v nich kontroluje viry, malware a další nežádoucí moduly. Nástroj Spotflux má dostatek...

29/05/2018

RoboForm je speciální správce hesel a různých individuálních informačních dat. To je velmi výhodné pro automatizaci vyplňování různých webových formulářů neustále se opakujícími informacemi, například přihlašovacími údaji, hesly, emailem atd. Tato funkce výrazně ušetří osobní čas, který lze strávit přihlašováním na jakékoli stránky. Všechna data jsou uložena ve speciální jednotné databázi programu. Jedním kliknutím myši se objeví v požadovaném okně, pokud znovu vstoupíte na stránky. Charakteristickým rysem této aplikace je, že dokáže rozlišit mezi phishingem a...

26/04/2018

UltraSurf je pohodlný a užitečný nástroj, který vám umožní obejít různé cenzury a zákazy uložené vaším poskytovatelem nebo vládou vaší země. Tato aplikace vám umožňuje téměř zcela anonymizovat vaši práci na internetu, k čemuž se používají šifrovací technologie a speciální proxy servery. Tento program nakonfiguruje váš prohlížeč tak, aby veškerý provoz, který vysílá, byl odesílán přes proxy server UltraSurf. Všechna data, která odesíláte, jsou navíc šifrována pomocí 256bitového klíče, který je téměř nemožné dešifrovat. Program však umí...

31/01/2018

I2P je aplikace pro práci se stejnojmennou sítí, kterou vytvořil jeden z vývojových týmů v reakci na pokusy různých vládních úřadů zakázat používání určitých možností internetu. Tento program umožňuje přístup k síti, která je postavena na bázi DHT, ale má velmi složitou strukturu s šifrováním veškerého provozu. Síť poskytuje jednu z nejvyšších úrovní šifrování. Kromě toho, že se nezveřejňují IP adresy uživatelů, program využívá i další šifrovací systémy. Například příchozí a odchozí provoz prochází různými tunely, které se skládají z několika...

15/11/2017

BCArchive je program pro vytváření šifrovaných archivů, který umožňuje pracovat s několika šifrovacími algoritmy. Umožňuje vybrat požadovaný šifrovací algoritmus. Podporovány jsou jak jednoduché algoritmy, tak složité algoritmy, které je téměř nemožné hacknout. BCArchive se integruje do kontextové nabídky Průzkumníka, takže k němu budete mít vždy přístup. Kromě toho byla přeložena do mnoha jazyků, včetně ruštiny. Další funkcí programu je možnost vytvářet samorozbalovací archivy. To je nutné v případech, kdy potřebujete přenést archiv osobě, která nemusí mít nainstalovaný archivátor.

21/08/2017

LastPass Password Manager je oblíbený správce pro ukládání vašich hesel. Distribuováno jako univerzální instalační program pro prohlížeče Internet Explorer, Google Chrome, Mozilla Firefox, Opera a Apple Safari. Všechna uživatelská data ve správci LastPass jsou chráněna hlavním heslem a jsou lokálně šifrována s možností synchronizace mezi různými prohlížeči. Program navíc obsahuje asistenta pro vyplňování formulářů, který umožňuje automatizovat zadávání hesel a vyplňování typických formulářů při registraci na webových stránkách. Nástroj podporuje generování hesel, protokolování přihlašovacích údajů k webu, vytváření bezpečných poznámek, hot...

19/06/2017

Secret Disk je program, který je určen k ochraně vašich osobních souborů a dat. Umožňuje vytvořit virtuální pevný disk, který lze zneviditelnit a chránit heslem. Tímto způsobem budete mít možnost přenést všechny důležité informace na tento disk, abyste se vyhnuli hackování, nebo si jednoduše vytvořte své vlastní osobní místo, kde můžete ukládat jakékoli informace a nemusíte se bát, že se o nich někdo dozví. Bezplatná verze programu má paměťový limit 5 GB. V případě neplánovaného restartu počítače se při příštím spuštění programu automaticky skryje a zablokuje jakýkoli přístup na tento disk atd...

23/05/2017

Hola je služba, která pomáhá stovkám uživatelů internetu získat přístup k blokovaným informacím. Princip fungování služby připomíná P2P sítě pro sdílení souborů, kdy je navázáno spojení mezi uživatelskými počítači (peery). Hola ukládá prohlížené informace do mezipaměti v počítači uživatele a sdílí je s ostatními lidmi. Program umožňuje urychlit načítání video obsahu rozdělením streamů. Na základě principu fungování je zřejmé, že čím více lidí si program nainstaluje, tím rychleji dojde k výměně dat. Ukládání a distribuce dat do mezipaměti probíhá výhradně během čekání počítače a neovlivňuje...

11/01/2017

USB Flash Security je užitečný nástroj, díky kterému je používání USB disků bezpečné. Flash disk může být chráněn heslem, takže ukládání informací je bezpečnější. Pokud dojde ke ztrátě nebo odcizení zařízení, nikdo nebude mít přístup k souborům uloženým v paměti USB. Při instalaci programu musíte nejprve uložit všechna data na pevný disk vašeho počítače, protože USB Flash Security dokáže zformátovat flash zařízení. Aplikace je docela snadno pochopitelná i bez ruské verze. Použití tohoto programu ochrání všechny soubory na flash disku před přístupem škodlivých objektů a neoprávněným...

10/01/2017

KeePass je správce hesel, který může výrazně zvýšit zabezpečení vašich osobních údajů. Program je nezbytný pro ty, kteří neustále surfují na internetu, komunikují na sociálních sítích, mají několik poštovních schránek a jsou také registrováni v několika platebních systémech. Jak víte, pro zajištění bezpečnosti musíte pro všechny tyto služby zadat různá hesla. V praxi člověk používá 4-5 hesel, která se navzájem střídají. Pokud útočníci ukradnou jedno z těchto hesel, mohou získat přístup k několika zdrojům najednou. Pro zvýšení vaší bezpečnosti...

27/06/2016

X-Proxy je program pro zachování anonymity v síti. Pomocí aplikace můžete přistupovat na stránky, které jsou blokovány poskytovateli internetu v zemi uživatele. Tento nástroj změní skutečnou IP adresu uživatele na falešnou, což vám umožní surfovat po obrovském internetu zcela anonymně. Program spolupracuje se všemi hlavními webovými prohlížeči. Nastavení anonymního přístupu je velmi jednoduché: musíte otevřít seznam dostupných serverů a vybrat libovolný. Pro pohodlí uživatelů internetu má X-Proxy k dispozici několik nástrojů: určení rychlosti připojení k internetu, vyhledání země podle I...

Podíl šifrovaného provozu na celkovém objemu přenesených a přijatých dat se neustále zvyšuje. Vylepšená ochrana uživatelských zpráv se stává standardem pro instant messenger, roste počet internetových zdrojů, jejichž hypertextové odkazy začínají „https“, připojení VPN se stávají populárními - to vše komplikuje nebo znemožňuje analýzu informací v provozu, který bude muset uchovávat v souladu se zákonem.

Podle pracovní skupiny Expertní rady při vládě Ruské federace se v současnosti v sítích telekomunikačních operátorů podíl šifrovaného provozu blíží 50 procentům. Vzhledem k tomu, že není důvod tomuto podílu bránit v růstu, lze očekávat jeho nárůst až na 90 procent během následujících tří let.

Vicepremiér Arkadij Dvorkovič, který ve vládě dohlíží na přípravu podzákonných předpisů pro balíček Yarovaya, uspořádá 17. února schůzku, na které bude muset ministerstvo telekomunikací a masových komunikací nastínit, jak a jakými prostředky budou operátoři musí splňovat požadavky zákona. Dvorkovičovi by měl být poskytnut odhad finančních nákladů a ministr spojů Nikiforov bude informovat o připravenosti stanov, které musí vláda Ruské federace přijmout.

Dá se očekávat, že hlavní část jednání zabere diskuse o těch problémech, se kterými se při implementaci budou muset potýkat nejen telekomunikační operátoři, ale i zpravodajské služby. Podle Abyzova, ministra pro otevřenou vládu a vedoucího pracovní skupiny expertů, by novely současné protiteroristické legislativy zahrnuté do Yarovaya balíčku měly pomoci předcházet zločinům a zvýšit efektivitu vyšetřování.

S každým dalším dnem se zvyšuje pravděpodobnost, že operátoři nestihnou vše řádně zavést do zákonem stanoveného termínu. Nedostatek přijatých stanov jim neumožňuje plánovat budoucí náklady, velikost a „rozdělení“ v čase není jasné, jaké zdroje budou muset být použity a jak tyto náklady ovlivní ziskovost podnikání.

Stále nejsou žádné informace o složení softwaru a hardwaru, které mohou telekomunikační operátoři používat, jak a kdy budou certifikovány a schváleny pro použití v komunikačních sítích. Rozhodnutí o tom, jak integrovat další zařízení a jaká infrastruktura bude zapotřebí, bude nějakou dobu trvat. Konečné schéma úložiště není známo: všechny problémy budou plně řešeny operátory, nebo bude stále zapojen Rostec ().

Existují „drobné“, ale specifické otázky pro jednotlivé operátory. Mobilní operátoři by například rádi věděli, co dělat s provozem roamingových účastníků.

S přihlédnutím k povaze informací, které mají být uloženy, jsou vyžadovány dodatečné objednávky, pokyny a upřesnění obsahující požadavky na ochranu informací, popisující postup přístupu a přístupu k nim. Musí být stanovena odpovědnost v případě „úniku“ (téma „odpovědnosti“ z nějakého důvodu veřejnost téměř neprobírá).

Odpovědi na tyto mnohé otázky každý očekává od Ministerstva průmyslu a obchodu a Ministerstva telekomunikací a hromadných komunikací - tyto resorty musí připravit návrhy několika právních aktů a poslat je vládě Ruské federace. Existuje pocit, že je nepravděpodobné, že systém ukládání provozu bude implementován do 1. července 2018. Domnívám se, že neschopnost implementovat „balíček Yarovaya“ by se mohla vážně „obrátit“ na ministra komunikací.

V prvních zprávách, které se objevily na internetu ve zpravodajských kanálech Interfax, RIA Novosti atd., nebyla žádná specifika. Dvorkovičův tiskový tajemník řídce informoval: " Proběhla schůze k zákonu, byly projednány priority a postup dopracování stanov a případné úpravy zákona, pokud by nebylo možné promítnout dohodnutý postoj do usnesení".

Novináři se pokusili zeptat účastníků na průběh diskuse. Co se stalo známým:

1. O zvýšení tarifů. Někdo z přítomných na schůzce uvedl, že místopředseda vlády Arkadij Dvorkovič apeloval na operátory (na jednání byli přítomni zástupci některých společností - MTS, MegaFon, VimpelCom, Yandex) s žádostí, aby se nenechali unést zvyšováním tarifů za služby a navrhl zachovat růst cen v mezích současné inflace. Nevím, co slyšel v reakci, ale četné odhady objemu nákladů na implementaci „balíčku Yarovaya“ a omezený čas, kdy bude nutné tyto peníze utratit, nezapadají do ekonomiky všech telekomunikačních společností. . Důsledky: minimálně se na několik let zastaví rozvoj sítí a bude nutné snížit provozní náklady, což povede k poklesu. kvalitu služeb. Nanejvýš bude snazší ukončit podnikání hned, bez experimentů „jestli přežiju nebo nepřežiju“.

Jak jsem již psal, víceméně přesné finanční ohodnocení bylo možné získat v rámci spuštění pilotního projektu.

2. O tom, co skladovat a co neskladovat.Úředníci chápou, že nebude možné uložit veškerý provoz. To není vše, pro poskytovatele je dobrá zpráva: pokud je „převyprávění“ jednoho z účastníků přesné, může být v první fázi požadováno, aby ukládal pouze hlasové hovory a SMS, s výjimkou ukládání datového provozu. „Převyprávění“ jiného účastníka je jiné (a možná jsem spěchal, abych potěšil poskytovatele): diskutovali jsme o lhůtách pro ukládání hlasových hovorů a textových (SMS) zpráv, mobilní operátoři by rádi tyto lhůty zkrátili. Potvrzuje se, že problematika datového provozu byla diskutována samostatně. Zdá se ale, že diskuse byla pouze o zkrácení doby ukládání a objemu uloženého provozu.

Tedy co a jak s datovým provozem – nejistota zůstává, musíme počkat na nové verze účtů, které bude muset ministerstvo telekomunikací a masových komunikací připravit.

3. Jak implementovat úložný systém. FSB navrhuje rozšířit „kruhovou vyrovnávací paměť“ během implementace „balíčku Yarovaya“. Operátoři nejsou proti a věří, že tato cesta může být levnější než vytvoření nového kompletního systému ukládání provozu. Po cestě se ukázalo, že FSB nepodporuje Rostecovu myšlenku jediného úložiště informací, protože zpravodajské služby by se rády obešly bez mezičlánku v podobě Rostecu mezi nimi a telekomunikačními operátory. Kromě toho, jak jsem již psal, aktuální verze zákona (neboli „balíček Yarovaya“) zavazuje telekomunikační operátory a pouze je shromažďovat, zaznamenávat a ukládat účastnický provoz. Vzhledem k tomu, že „implementace“ Rostecu znamená nutnost změn v zákoně, může tato cesta, včetně projednávání a přijímání změn ve Státní dumě, „sežrat“ spoustu času.

Všichni mluví o důvěrnosti informací a někdy dokonce vyžadují její zajištění. Málokdo se ale zamyslí nad tím, kam nás takové požadavky vedou? Na jedné straně – ano, soukromí, tajemství osobního života, tajemství korespondence... To vše nám přiznává Ústava a zdá se být nezcizitelným právem. Podle nejnovějšího průzkumu společnosti Cisco proto růst objemu šifrovaného provozu na internetu.

Nárůst tohoto ukazatele je pozitivně ovlivněn zavedením šifrování do různých standardů (například PCI DSS) a osvědčených postupů, kterými se řada organizací a poskytovatelů služeb začíná řídit. Například:

• poskytovatelé mobilního obsahu a služeb, kteří standardně implementovali šifrování,
• nastavení hostování videa a prohlížeče, která ve výchozím nastavení umožňují šifrování,
• Online ukládání a zálohování dat.

Dochází to k tomu, že firmy začínají používat šifrování i v kontrolovaných oblastech, kde toto šifrování dříve nebylo vyžadováno, neboť to souviselo s nutností upgradovat infrastrukturu na produktivnější a také s různými legislativními překážkami na součástí FSB. Dnes se však situace mění – a zařízení se stávají výkonnějšími a obsahují vestavěné šifrovací funkce a regulátor se méně zajímá o to, co společnosti dělají pro ochranu informací pro své vlastní potřeby. Níže je uveden příklad jedné studie od Lancope, která studovala řadu společností a upozorňovala na růst entropie ve vnitřních sítích podniků.

Šifrování má ale i druhou stránku. Za prvé vytváří iluzi bezpečnosti, když je veškerá pozornost věnována šifrování v kanálu přenosu dat, ale šifrování dat v místech, kde jsou uložena (stejná centra zpracování dat), je zcela zapomenuto. Při mnoha nedávných únikech dat útočníci ukradli cenná data, když byla uložena, nikoli během přenosu. To ale není jediný problém šifrování.

Útočníci jej také začali aktivně používat, skrývali své aktivity před sledováním nebo jednoduše používali šifrování pro zlé účely (stejní kryptografové TeslaCrypt nebo CryptoWall). Je velmi obtížné kontrolovat takové toky informací, ale šifrování neselže ani z hlediska bezpečnosti informací, ani z hlediska útočníků. Proto je tak důležité používat další mechanismy pro analýzu síťového provozu, které vám umožňují sledovat související parametry, aniž byste se ponořili do obsahu samotné komunikace - Netflow, domény a IP adresy a data jejich narození, pověst interagujících uzlů a další metadata. Důležité je také nezapomínat na integrované zabezpečení, které by nemělo být „out of the box“, jak tomu často bývá, ale být zabudováno do síťového vybavení, operačních systémů, databází, serverů, pracovních stanic atd. V takovém případě bude práce se šifrovaným provozem efektivnější, než se ho snažit někam přesměrovat k dešifrování.

Existuje také třetí strana použití šifrování. Z ničeho nic tu máme stát se svými požadavky na zajištění národní bezpečnosti, ochrany před teroristy a extremisty atp. jistě důležité otázky. Vezměme si například nejnovější iniciativu našich úřadů, o které jsem psal včera. Zpravodajské agentury a další zainteresované strany v podstatě připouštějí neschopnost široce zavedených prvků SORM vyřešit problémy, kterým čelí. SORM, tradičně zaměřený na běžnou hlasovou komunikaci, se s tímto úkolem vypořádal dobře, protože šifrování nebylo nikdy použito v běžné telefonní síti, ale v mobilní síti bylo snadno zvládnutelné na úrovni mobilního operátora (hlas je šifrován pouze z telefonu nastavit na základnovou stanici).

S kontrolou dat a internetem je situace mnohem složitější – tam lze šifrování snadno udělat end-to-end a žádný SORM zde moc nepomůže. A pak nastal zlom v používání šifrování – více než 50 % provozu na internetu se stalo nedobytným pro analýzu zpravodajskými agenturami. Zbývá tedy jen jedna možnost – buď šifrování úplně zakázat (což je nepravděpodobné), nebo donutit všechny, aby ukládali šifrovací klíče a sdíleli certifikáty veřejného klíče pro „legální“ vklínění do datového toku, jak se o to snažili v v polovině 90. let v USA jako součást projektu Clipper nebo vyvinout nevyslovený SORM.

Je výmluvné, že Snowdenova „odhalení“ jsou přesně ukázkou třetího způsobu boje proti šifrování, který zvolily americké zpravodajské služby. Nikoho by ani nenapadlo v té nejdemokratičtější zemi něco zakázat. Požadovat, aby se Facebook, Twitter a Microsoft veřejně zřekly důvěrnosti klíčových vkladů, je nesmyslné (opět překáží demokracie). Zbývá udělat jediné – vyvinout technologie pro tajný sběr informací a také donutit internetové společnosti sdílet informace o tajných rozhodnutích tajného soudu.

K tomuto dilematu, kterému před 20 lety čelily Spojené státy, se nyní přiblížilo také Rusko, které zahájilo projekt Clipper, Capstone a Skipjack. Zvolili jsme zatím druhou cestu, protože ta první je velmi odporná (a hlavně, teroristy a extremisty tento zákaz stejně nebude zajímat), a ta třetí funguje špatně a není škálovatelná (jen si vzpomeňte, jak Twitter, Google a Facebook „poslaly Roskomnadzoru se svými žádostmi týkajícími se blokování účtů, které zveřejňují informace, které jsou pro ruské úřady nelichotivé).

Toto je příběh, který dostáváme s šifrováním. A jaký bude jeho konec, zatím není jasné...