Пропозиція - експерти-волонтери
06/07/2001 | Косарик
Тут уже багато писалося про те, як багато розумних голів регулярно відвідує Майдан. Деякі з них уже задіяні модераторами дискусій.
А що, якби відвідувачі Майдану могли отримати кваліфіковану довідку з різних питань, які стосуються політики і демократії в Україні (технічні, юридичні, економічні, політологічні тощо).
Я, наприклад, можу допомагати всім бажаючим з організацією конфіденційного інтернет-зв'язку з використанням PGP. Я вважаю, що ця річ настільки важлива і потрібна, що готовий витрачати на це свій вільний час.
А що, якби відвідувачі Майдану могли отримати кваліфіковану довідку з різних питань, які стосуються політики і демократії в Україні (технічні, юридичні, економічні, політологічні тощо).
Я, наприклад, можу допомагати всім бажаючим з організацією конфіденційного інтернет-зв'язку з використанням PGP. Я вважаю, що ця річ настільки важлива і потрібна, що готовий витрачати на це свій вільний час.
Відповіді
2001.06.07 | DevRand
PGP - такккк!(Re: Пропозиція - експерти-волонтери)
Правильно вважаєте. З деякою долею вірогідності можу стверджувати, що мейловий трафік в Україні grep'иться вже досить давно. Прошу також звернути увагу на підвищену останнім часом активність нашого "міністерства любові", тьфу, КДБ, тьфу - СБУ. (До речі, всім хто "далекий від політики" ;) і має необережність відправляти незашифровану важливу фінансову інформацію по електронні пошті - даремно ви це робите)Створено спецуправління по "координації розвитку" ( :)))))) ) мережі інтернет в Україні. Не виключено, що незабаром вони захочуть ввести контроль *всього* трафіку - так як це є зараз наприклад в Китаї. Тому проект "PGP - для Майдану" підтримую всіма своїми кінцівками, допоможу чим зможу. Як надумаєте, починайте рубрику в драфтах.
2001.06.07 | Ростислав
Re: Пропозиція - експерти-волонтери
Може Ви б написали докладну інструкцію з користуванням PGP, а люб'язний Майдан розмістив її?2001.06.07 | МихайлоСвистович
Re: Пропозиція - експерти-волонтери
Саме ідею PGP мені підказав вчора один програміст. Ми були б дуже вдячні Вам за докладне викладення суті цього зв"язку на Форумі і правил, як ним користуватись та пропозицій по використанню його на Майдані.2001.06.07 | Косарик
PGP - технологія конфіденційного зв'язку в Інтернеті
На прохання Майдану ось базова інформація про PGP.PGP англійською означає "Pretty Good Privacy", що треба розуміти як "досить непогана можливість жити своїм приватним життям". Це програмне забезпечення розповсюджується безплатно (freeware).
Первісно PGP була розроблена Філом Ціммерманом в США в 1991 році у відповідь на те, що в сенаті у першому читанні пройшов законопроект, який дуже сильно обмежував права приватних осіб використовувати криптографію. Боротьба Ціммермана з федеральною владою мала навіть декілька цікавих подробиць:
1) задля того, щоб уможливити первісне вивезення цієї програми легальним шляхом в інші країни, було надруковано книгу з повним текстом програми (а вивіз книг тоді ще не був обмежений), і таким чином будь-який програміст міг відновити цю програму.
2) сам автор два роки перебував під федеральним слідством, але врешті-решт його довелося випустити.
PGP є зараз найпопулярнішою криптографічною програмою в світі (кількість користувачів понад 10 млн.). Основні фактори успіху:
1) PGP використовує найкращі з відомих в світі алгоритмів. Саме це дуже непокоїть усі спецслужби світу - бо розкодовування одного повідомлення може забрати надто багато часу (кажуть, що не одне століття, але техніка все просувається вперед).
2) PGP ідеально пристосована для неформальних об'єднань, де можливо будувати ціпок довіри: Свистович довіряє Адвокату через особисте знайомство, Адвокат так само довіряє Предсказамусу, отже Свистович може довіряти Предсказамусу, хоча він, може, ніколи його в очі не бачив.
3) PGP не коштуватиме нічого
4) PGP отримало найкращі рекомендація після випробувань в польових умовах - себто у діяльности правозахисних груп у деяких диктаторських країнах, таких як Гватемала.
Об'сяг файла - 7-8 мегабайт. Користувачі поза межами США можуть звантажити з міжнародного сайту в Норвегії: http://www.pgpi.org/products/pgp/versions/freeware/. Там вказано кілька десятків ftp-серверів, з яких один знаходиться в Україні. Обирайте той, що найкращий для вас. Я знаю, що в Україні можна також купити дешевий компакт (10-15 гривень).
Користувачам з США треба переписати трохи іншу версію - з американського сайту www.pgp.com. Версію для США довелося зробити формально іншою для того, щоб задовольними вимоги закону про заборону вивозу криптографічного забезпечення.
Тепер по ділу. Як працює PGP? На відміну від примітивніших програм, ця використовує технологію публічного ключа. Перший з таких алгоритмів був розроблений ще в 1976 році. Всі користувачі PGP мають кожний свій публічний ключ.
Ключ - це невеликий файл. Не треба думати, що ключ - це пароль. Це, звичано, схоже на пароль, але його не можна передати усно, а лише у вигляді файла.
Публічний ключ бажано зробити якамога доступнішим для всіх - наприклад, зберігати на сервері ldap://certserver.pgp.com або http://www.keyserver.com Якщо я маю ваш публічний ключ, я можу закодувати приватного листа до вас. А розкодувати його можна лише маючи доступ до парного приватного ключа, який бажано зберігати в секреті.
Таким чином, перше про що треба подбати - це щоб ніхто окрім вас не мав доступу до цього файла. Найкраще використовувати особистий компyтер, доступ до якого ви контролюєте.
Якщо використовуєте чийсь компутер спільно, або взагалі невідомо чий, тоді ключі треба тримати на дискеті, і ніколи не переписувати їх на головний диск машини. Але в цьому випадку, бажано, щоб програма PGP уже була встановлена (без ключів) на компутері.
Як саме працює програма? Є віконечко, в якому перелічені всі публічні ключі, які вам можуть знадобитися. Щоб закодувати свого листа до когось, треба в поточному вікні натиснути певну комбінацію клавіш (встановлюється за вашим бажанням). В поштових програмах Outlook Express та Eudora є дуже зручна кнопочка в меню для закодовування/розкодовування листів.
Листи можна не лише закодовувати, а й підписувати. Електронний підпис засвідчить, що лист дійшов у незміненому вигляді, хоча зміст його буде доступний для прочитання будь-кому.
Можна також кодувати весь електронний зв'язок між певними компутерами, вказавши їх IP-адреси.
Друга з можливих небезпек використання публічного ключа є ризик надсилання конфіденційого листа особі, яка видає себе за іншу. Наприклад, я йду на сервер PGP-ключів, і знахожу там публічний ключ Свистовича. Але я можу не знати, що насправді хтось інший поклав там свій ключ і заявив, що саме він є Свистовичем.
З цієї ситуації є два виходи.
По-перше, якщо Ви особисто знайомі з людиною, можна їй подзвонити і попросити прочитати електронний відбиток публічного ключа цієї людини. Електронний відбиток - це два десятки слів, які точно ідентифікують будь-який публічний ключ. Приблизно так, як радісти колись читали по літерах: "Альфа-Браво-Браво-Сила-...."
По-друге, публічний ключ може бути підписаний підписом людини якій я довіряю. Наприклад, якщо я довіряю панові Заграві і впевнений, використовую саме його ключ, то побачивши підпис Заграви на ключі Свистовича, я зможу його використовувати, без страху, що якийсь агент назвався свистовичем.
До речі, до всіх ключів долучені електронні адреси (email). Їх найзручніше використовувати для пошуку потрібного публічного ключа на публічних серверах. Як всі ми знаємо, латинкою наші імена передаються по різному, отже електронна адреса вже працює як друге ім'я.
Трохи про PGP - компанію. Оскільки програма набула шаленої популярности, розробники створили компанію, які розробляє (і продає) програмні продукти, похідні від першої безплатної програми. Безплатна програма регулярно вдосконалюється, але в той же час продаються засоби для конфіденційних телефонних переговорів, або потужні програми для великих підприємств на базі PGP технології.
Окрім цієї комерційної компанії, яка фактично використовує безплатну програму для популяризації своєї технології і залучення нових клієнтів, є ще маса неприбуткових організацій, які чомусь традиційно зконцентровані в Північний Європі і Німеччині. Там же відбуваються всесторонні випробування кожного продукту. І якщо знаходять якийсь прокол - його одразу ж виправляють. Це я до того, що цей проект уже настільки великий, що якби навіть компанія PGP або й сам Філ Ціммерман продалися спецслужбам, громадський контроль не дасть використати це на користь спецслужб. Неприбуткові центри PGP мають досвідчених програмістів, які розвивали і тестували цю програму на протязі багатьох років, отже їм, власне, вже і не потрібна підтримка компанії.
Цікаво також подивитись у зразковий список публічних ключей, який додається до програми. Там ключ Ціммермана має найбільше підписів - люди, які знають його особисто, надають нам можливість встановити той "ціпок довіри".
До речі, я чув теорію, що будь-які дві людини у світі знають одне одного через не більше як шість посередників.
Як уже писав Олег Левицький, є велика кількість російськомовних ресурсів про PGP, таких як
http://www.hro.org/pgp/
http://www.gloffs.com/pgp.htm
Документація російською тут:
http://www.pgpru.com/learning/pgp_70_user_manual/pgp_70_user_manual.htm
2001.06.08 | DevRand
Додаток
Декілька невеликих додатків:>Тепер по ділу. Як працює PGP? На відміну від примітивніших програм, ця використовує технологію публічного ключа. Перший з таких алгоритмів був розроблений ще в 1976 році. Всі користувачі PGP мають кожний свій публічний ключ.
Більш детально: ключі спочатку є симетричними ( з математичної точки зору), тобто якщо ви їх ще не використовували то сміливо можна назвати приватний - відкритим і навпаки. Головний принцип, це те, що маючи тільки один з ключів і зашифроване повідомлення, ви не зможете (за досить довгий час ) віднайти інший ключ, а без нього розшифровка неможлива. Тому ці методи називають "односторонніми функціями-пастками", алгоритми беруться з теорії простих чисел, комбінаторики і т.д.
>Ключ - це невеликий файл. Не треба думати, що ключ - це пароль. Це, звичано, схоже на пароль, але його не можна передати усно, а лише у вигляді файла.
Так, ключ насправді - це велике число (в PGP).
>Листи можна не лише закодовувати, а й підписувати. Електронний підпис засвідчить, що лист дійшов у незміненому вигляді, хоча зміст його буде доступний для прочитання будь-кому.
А також засвідчить, що листа написала саме та людина, про яку ви думаєте. Для цього (в найпростішому варіанті) я пишу листа і шифрую його за допомогою свого *закритого* ключа. Той хто отримує мій лист, використовує відомий всім мій публічний ключ і якщо розщифровка вдала то це і означає що а) листа не було змінено б) його написав саме я. На практиці ви підписуєте не весь ваш текст, а тільки хеш повідомлення, але суті це не міняє.
Часто використовується схема, коли вже підписане вами повідомлення ще раз шифрується за допомогою публічного ключа тієї людини, якій воно спрямоване . Це, як ви розумієте, ще більш ускладнює життя вуаєрістам всіх гатунків ;).
>Можна також кодувати весь електронний зв'язок між певними компутерами, вказавши їх IP-адреси.
Можна також *розділити* приватний ключ на декілька частин, і щоб кожна людина з цього "комітету вибраних", отримала тільки свою частку. Таким чином, написати якесь колективне звернення (і підтвердити що воно походить саме з цього "комітету") можливо лише при умові, що всі люди з нього погодяться і нададуть свій шматок приватного ключа, з них буде утворено повний ключ, і цим ключем буде підписано звернення.
Більш екзотичні застосування ідей з цієї гілки криптографії - чесний покер по телефону, підтвердження доказу математичних теорем без наведення доказів і т.і. Але про це коли небудь потім ;).
>Друга з можливих небезпек використання публічного ключа є ризик надсилання конфіденційого листа особі, яка видає себе за іншу. Наприклад, я йду на сервер PGP-ключів, і знахожу там публічний ключ Свистовича. Але я можу не знати, що насправді хтось інший поклав там свій ключ і заявив, що саме він є Свистовичем. По-перше, якщо Ви особисто знайомі з людиною, можна їй подзвонити і попросити прочитати електронний відбиток публічного ключа цієї людини. Електронний відбиток - це два десятки слів, які точно ідентифікують будь-який публічний ключ. Приблизно так, як радісти колись читали по літерах: "Альфа-Браво-Браво-Сила-...."
Так, це дуже важливо і з цього треба починати любий процес спілкування з новою людиною за допомогою PGP.
P.S. А ти вже поставив собі PGP? ;)
2001.06.08 | Косарик
Маю, але окрім Вас, здається, ніхто безпекою не цікавиться
Із 40-ка постійних дописувачів Майдану, лише 19 вказали свої електронні адреси, а з тим 19-ти, які я перевірив на www.keyservers.com тільки ми з вами маємо PGP ключі.До речі, з адресою на maidan.org.ua немає жодного ключа.
2001.06.08 | DevRand
майдан- джерело знань :)
Це я не у Вас запитував, про Вас і так все ясно :) Це було щось на зразок агітки.А ключі будуть з"являтися, бо річ дуже корисна і вигідна (ще раз, тихенько - в с я пошта ф і л ь т р у є т ь с я і складається, хлопці та дівчата, ваша комерційна інформація, ваш приватний лист, ваше повідомлення стосовно акції "Україна без Кучми" - подумайте над цим).
З"являтися ключі будуть в тому числі і завдяки Вашим дописам. А трохи пізніше я все це в драфтс закину.
2001.06.08 | Mary
Re: Маю, але окрім Вас, здається, ніхто безпекою не цікавиться
Не цікавилися раніше. Але після деяких дрібних проблем, спричинених деякими дописувачами Майдану (в них, певно, професія така - шкідники) зрозуміли , що варто би поцікавитися. Так що ця ваша балачка тут вельми корисна.2001.06.08 | Сергій Кабуд
Пані Марі, як будемо обговорювати серьозні речі то все буде законспіровано, доречі–
чи наші друзі–медики скористувалися редактором клавіатури? Бо я так і не почув нічого.А допомогти готові завжди. Святе діло.
Шануємось.
2001.06.07 | DevRand
Відповідь(Re: Пропозиція - експерти-волонтери)
Косарик писав(ла):> Тут уже багато писалося про те, як багато розумних голів регулярно відвідує Майдан. Деякі з них уже задіяні модераторами дискусій.
>
> А що, якби відвідувачі Майдану могли отримати кваліфіковану довідку з різних питань, які стосуються політики і демократії в Україні (технічні, юридичні, економічні, політологічні тощо).
>
О, таки забув. А чим по вашому, ми тут всі намагаємось займатись? ;)
А драфти між іншим і для цього теж задумувалися.
Додаток про PGP:
хто читає англійською і може витратити годинку свого часу і! саме головне! має бажання - ось вам лінк:
http://www.pgpi.org/download/
- тут є *все* для тих хто хоче почати користуватись PGP вже сьогодні.
З особистого досвіду - дуже некепська річ
PGPdisk ( крім самого PGP, звичайно)
2001.06.07 | Олег Левицький
Re: Пропозиція - експерти-волонтери
Найбільш докладну і доступну (російська мова) інформацію про PGP знайдете за адресою: http://www.hro.org/gilc. Успіхів!2001.06.07 | Isoлятор
Пропозиція та прохання
Було б непогано притулити на "майдані" невеликий довідник з чисто цифровими даними: економічними та демоґрафічними показниками, статистикою, т.ін. - якщо це технічно можливо, то буде просто чудово, а ще краще, якби ці показники постійно актуалізувалися всіма форумцями (хто тільки зустріне подібну інформацію). Або давали відкази на сіть. Зрозумійте мене правильно: якщо ми дійсно збираєиось будувати нову Україну - ніде нам від економіки не дітися. А тут ще деякі особи настирливо просять покласти їм під ніс торгівельний баланс України... я б, може, тим і зайнявся, та зараз працюю трохи "не там", і всі свої київенерґівські знайомства розгубив.А головна пропозиція десь тут на "Майдані" вже зустрічалася: висувати кандидатури до "тіньового кабінету" - як це робить нормальна опозиція в цивілізованих країнах. Потім можна буде звернутися "в реалі" до запропонованих осіб, до того ж Ющенка - чи підтримає він таку ідею? Наразі називаю кандидата на посаду міністра культури: Лесь Піддерев'янський.
P.S. Велике sorry за те, що не маю "мила": нещодавно аж занадто виразно виявилось, що стару адресу читає хтось іще. (Стоило пару раз постоять в пикете у посольства...)
Також просив би написати (поки що на "antifriz"), як краще перевести (перевезти?) гроші з Росії на Україну і які при цьому можуть виникнути складності. Завчасно вдячний.
2001.06.07 | vujko
statystyka
bagato statystyky znajdete tut:www.me.gov.ua
www.bank.gov.ua
storinku kabminu pislya vidstavky huten'ko
prybraly. Cikava podrobycya - vona znahodylas'
na serveri RNBU.
Nederzhavni sajty:
www.case.org.ua i www.ueplac.kiev.ua publikuyut'
(iz deyakym zapiznennyam) statystyku i analiz
potochnoyi makroekonomichnoyi sytuaciyi u pdf.
Ye arhivy.
2001.06.08 | TR
Re: Пропозиція та прохання
Isoлятор писав(ла):> Було б непогано притулити на "майдані" невеликий довідник з чисто цифровими даними: економічними та демоґрафічними показниками, статистикою, т.ін. - якщо це технічно можливо, то буде просто чудово, а ще краще, якби ці показники постійно актуалізувалися всіма форумцями (хто тільки зустріне подібну інформацію). Або давали відкази на сіть. Зрозумійте мене правильно: якщо ми дійсно збираєиось будувати нову Україну - ніде нам від економіки не дітися. А тут ще деякі особи настирливо просять покласти їм під ніс торгівельний баланс України...
>
Во-во, а то рулить пытаемся, а что показатели топлва и спидометры показывают - не знаем
> Також просив би написати (поки що на "antifriz"), як краще перевести (перевезти?) гроші з Росії на Україну і які при цьому можуть виникнути складності. Завчасно вдячний.
Зайдите на сайт -
http://www.contact-sys.com/
Там все расписано. Деньги можно слать из России не только на Украину, но и во многие другие места... Комиссия 2-4%
2001.06.08 | Остап
Почніть з SSL
Треба спочатку перевести сайт в режим SSL.Наприкрад як от тут
https://radiocom.kiev.ua/scripts/pass.cgi
А PGP використовувати для листування.
2001.06.10 | Косарик
В SSL немає безпосередньої потреби
SSL потрібна тоді, коли треба захистити передачу інформації між користувачем і сайтом. У випадку Майдану - де форум вільний для всіх - у якомусь додатковому захисти сайту такими засобами потреби немає. Хіба що раптом виникне потреба організувати закриті дискусії.Але з цим - безліч організаційних питань. Більшість дописувачів, навіть серед "старожилів", ніколи не бачили в очі жодного колегу по Майдану. І тому надавати право участи у закритій дискусії суто на основі дописів - це дурниці й елементарне порушення конспірації.
Якщо є потреба зібрати вузьке коло для закритої дискусії - треба в першу чергу визначити, хто кого бачив особисто, і хто кому довіряє (реально, а не на підставі дописів).
Втім, не буду розвивати цю тему - порожня трата часу.
2001.06.10 | Остап
SSL потрібна щоб не перехоплювались паролі і тіло повідомлення (-)
.2001.06.11 | Косарик
Re: SSL потрібна щоб не перехоплювались паролі і тіло повідомлення (-)
І яка проблема з тим, що хтось перехопить текст повідомлення? Воно ж і так всім доступно на сайті.Єдина можлива проблема - і тут пан має рацію - це якщо агенти ворожих спецслужб, перехопивши паролі, надумають давати на сайті повідомлення від імені вже відомих осіб (напр., від імені Свистовича).
Я навіть собі уявляю ситуацію - з'являється прохання Свистовича всім надіслати свої координати...
На цей випадок можна давати повідомлення з електронним підписом.
2001.06.08 | Ihor
Великі наробки знайдете на http://security.tao.ca Практично ....
кожна ділянка охоплена Security, Privacy, Anonymity. Також там є про PGP, і багато іншого.2001.06.10 | Ростислав
Особисте питання
А ти часом не той канадійський Ihor, що дописує в ukr.politics?2001.06.11 | Ihor
Ні то не я. На ukr.politics ніколи не писав.