Svi znamo da nas prisluškuju. I čitaju naša pisma. I, kad razgovaramo na mobitel, putem GSM-a isisavaju nam naša sjećanja i misli i ubacuju nam druga, promijenjena. Tko? Pa... oni! :-) Naravno, kako kaže narodna poslovica – čega je previše, ni s kruhom ne valja! Ni paranoje ne valja previše, ali jedna zdrava doza dobro dođe. Naravno, ovo je vječni predmet diskusija, no taj dio možemo ostaviti za kasnije... Za one koji se slažu sa mnom, bit će im drago čuti da se opensource projekt GPG Tools probudio, sustigao aktualnu verziju Mac OS-a i napokon omogućava korištenje asimetrične enkripcije i onim korisnicima koji nisu vični Terminalu, i to na pravi Apple način.

Zašto enkripcija?

Ono što se kolokvijalno naziva enkripcijom zapravo se sastoji od dvije ključne stvari:

  • enkripcije (datoteka, E-mail poruka, itd.) - tj. onemogućavanja neovlaštenog čitanja trećim osobama
  • autentifikacije (datoteka, E-mail poruka, dokumenata, itd.) - tj. elektroničkog "potpisivanja" od strane autora ili izdavača tako da se mogu detektirati naknadne neovlaštene promjene.

Enkripcija je, dakle, važna, ako želimo spriječiti da sadržaj namijenjen točno određenom primatelju može pročitati bilo tko treći. Autentifikacija je važna ako se želimo osigurati od falsifikata - da netko trećim osobama ne šalje dokumente ili poruke koje smo naizgled izradili ili izdali mi, ili da taj netko mijenja dokumente ili poruke koje zaista jesmo izradili ili izdali mi.

Mnogi smatraju kako se radi o nepotrebnoj paranoji jer "nemaju što skrivati". Međutim, ne moramo biti ni kriminalci, niti tajni agenti, a niti ilegalni podzemni pokret otpora pa da bi imali razloga korisititi se enkripcijom, i još važnije, autentifikacijom. Velika većina onih koja ne vidi problem u otvorenoj komunikaciji E-mailom jamačno se ne bi odlučila napisati isto to na dopisnicu i poslati primatelju poštom, bez omotnice. Da ne kažem kako bismo bili sumnjičavi da primimo pismo potpisano od strane našeg dragog prijatelja, ali da pri tom isto nije napisano njegovim rukopisom i potpisano njegovim potpisom.

Pobornici privatnosti na Internetu reći će kako je danas najvažniji razlog za enkripciju E-mail poruka u prvom redu rastuća ambicija sve moćnijih internetskih tvrtki koje ulažu ogroman novac u automatske analitičke softvere koji čitaju sve otvorene poruke u tranzitu i slažu sliku o nama kao pojedincima, kao i o socijalnim grupama kojima pripadamo. Možda ni oni sami u ovom času ne znaju točno zašto to rade, ali tim je taj proces opasniji – jer mu ne posvećuju dužan oprez. A jednog će se dana neki bolestan um sjetiti vrlo mračne primjene takve riznice znanja.

A zašto asimetrična enkripcija?

Enkripcija je stara gotovo koliko i civilizacija. Najstariji danas poznati pokušaji enkripcije datiraju iz starog Egipta i stariji su od 4500 godina. S vremenom su ljudi shvatili da je najslabija točka enkripcije – ključ. Takozvana simetrična enkripcija bazira se na uzajamno poznatom, dijeljenom ključu (bilo da je to uzajamno poznata tajna riječ ili tajni algoritam permutacije, ili da je to posebno izrađen predmet ili uređaj). Naime, svatko tko poruku mora kriptirati ili dekriptirati mora imati ili znati (ili jedno, ili drugo) jedan te isti tajni ključ. Što više je kopija tajnog ključa u opticaju, to je teže očuvati njegovu tajnost. Također, ako je taj ključ prejednostavan, lako ga je "razbiti". Ako je prekompliciran, teško ga je upamtiti, odnosno nositi sobom pa je time dodatno ugrožena njegova tajnost (jer ako ga je teško upamtiti, korisnik će ga zapisati).

Današnja razina informatičke tehnologije omogućila je da se tridesetak godina stari matematički algoritmi enkripcije implementiraju na upotrebljiv način. Ovi algoritmi nazivaju se asimetričnom enkripcijom zato što, za razliku od simetrične, korisnici ne dijele jedan te isti ključ.

Naime, svaki korisnik generira par ključeva koji funkcioniraju zajedno. Jedan je javan. Njega korisnik može dati bilo kome, pa čak i objaviti na specijaliziranim serverima. A drugi je tajan i njega mora s maksimalnim mogućim oprezom i paranojom čuvati za sebe, što uključuje i to da vodi računa da napravi što je moguće manji broj kopija ovog ključa. Ključevi mogu biti veće ili manje složenosti (složenost se izražava brojem bitov – što veći broj bitova, to složeniji ključ). Složeniji ključevi jamče sigurniju enkripciju, ali više opterećuju procesor. To nije problem ako se radi o povremenoj enkripciji ili potpisivanju neke E-poruke, ali može biti ako se radi o on-the-fly enkripciji/dekripciji cijele diskovne particije.

Uglavnom, prednost je asimetrične enkripcije što samo primatelj mora imati tajni ključ za dekripciju, dok se pošiljatelji mogu služiti javnim ključem za enkripciju. Na taj je način bitno povećana sigurnost tajnog ključa.

A kako funkcionira asimetrična enkripcija?

Mrak dobro. :-) Možemo zahvaliti g. Philu Zimmermanu, autoru originalnog algoritma, što je imao muda prkositi NSA. Naime, kad je patentirao svoj algoritam, dobio je, khm, dopis od NSA kojim su ga obavijestili da mu oduzimaju njegovo dijete u interesu, khm, nacionalne sigurnosti (znamo već koje nacije). I onda je g. Zimmerman odlučio objaviti na internetu kompletan svoj rad, izvorni kôd, algoritme, dokumentaciju, sve, sve, sve, kao open source te ga time predao u naslijeđe čovječanstvu. Za što mu je njegova zemlja zahvalila time što je optužen za veleizdaju. A ostatak čovječanstva mu može zahvaliti što nam je svima na raspolaganju enkripcija koja je dovoljno dobra da je ne može tek tako probiti baš nitko, bez ulaganja znatne količine novca i vremena. Što nas vraća na temu...

Kako smo već rekli, korisnik generira par povezanih ključeva. Javni ključ sadrži samo dio kombinacije tajnog ključa. Algoritam enkripcije je napisan tako da je taj dio dovoljan za enkripciju, ali ne i za dekripciju. Za dekripciju je potreban tajni ključ. Na taj način nitko osim primatelja (čak ni pošiljatelj!) ne može dekriptirati jednom kriptiran sadržaj. Naravno, pod pretpostavkom da je primatelj dovoljno oprezan da učini svoj tajni ključ nedostupnim.

Praktičan aspekt toga je da primatelj može primiti kriptiran sadržaj od bilo koga, čak i bez da prethodno pošiljatelj od njega traži javni ključ, jer se javni ključevi objavljuju na internetskim poslužiteljima, kao neke vrste imenici primatelja. Primjerice, ovo je moj javni ključ.

Obratno, kad autor želi svojim elektroničkim potpisom osigurati provjeru autentičnosti poruke ili dokumenta, koristi svoj tajni ključ za generiranje tzv. "potpisa" (eng. signature, zapravo bi sretnije bilo zadržati latinsku riječ "signatura"). "Potpis" je niz bajtova koji predstavljaju presliku autentificiranog sadržaja i može se uz dokument slati kao posebna datoteka, dok se u slučaju E-poruka obično zapakira skupa s porukom u sadržaj koji je naizgled također kriptiran (iako zapravo nije, jer ga može "dekriptirati" svatko tko ima pošiljateljev javni ključ). Primatelj pomoću autorovog javnog ključa može "potpis" provjeriti. Ako je poruka ili dokument stigao do primatelja nepromijenjen, provjera "potpisa" bit će pozitivna. Ako je, pak, netko u tranzitu mijenjao sadržaj poruke ili dokumenta, provjera "potpisa" će pokazati da dokument nije autentičan, odnosno da je kompromitiran.

Naravno, moguće je s istim sadržajem provesti obje akcije, što se, osobito u slučaju E-poruka u pravilu i čini – sadržaj se potpisuje svojim tajnim ključem i kriptira primateljevim javnim ključem, tako da primatelj nakon dekripcije dobiva i informaciju o autentičnosti. Naime, samo zato što smo dobili poruku kriptiranu našim javnim ključem od pošiljatelja "Pero Perić", ne znači da je zaista Pero taj koji nam je poruku poslao. Svi znamo koliko je lako "površinski" falsificirati podatke pošiljatelja E-poruke. Također je moguće isti sadržaj kriptirati tako da ga više različitih primatelja može dekriptirati. Tipično, E-poruke kriptiramo primateljevim i vlastitim javnim ključem, kako bismo u budućnosti mogli pročitati što smo primatelju poslali. Moguće je i generirati hijerarhijske strukture ključeva, koje se obično koriste u korporativnom okruženju (svaki zaposlenik ima svoj par ključeva, a njihov šef ima par ključeva koji otključava i njegove, kao i dokumente svih zaposlenika, itd.).

Ovo je tek početak priče o asimetričnoj enkripciji i privatnosti na internetu. Još je puno toga što treba o tome znati prije nego se zaista s punim smislom može koristiti. Primjerice, tu je problem povjerenja – kako možemo biti sigurni da objavljen javni ključ zaista odgovara tajnom ključu upravo one osobe za koju se predstavlja? Možda je netko zlonamjeran objavio svoj javni ključ pod mojim imenom kako bi mogao plasirati lažno autentificiran sadržaj s mojim potpisom, ili kako bi naveo druge da šalju tajne informacije meni, a da ih zapravo prima on? U tu svrhu je, naravno, jedini siguran način da javni ključ primite fizički uživo od njegova izdavača (vlasnika). U svijetu interneta i elektroničkih komunikacija to, naravno, nije baš praktično, pa zato postoji institucija potpisivanja ključeva, odnosno ustanove koje profesionalno jamče za autentičnost ključeva.

Kako čuvati sigurnost vlastitog tajnog ključa?

Svaki korisnik treba odabrati mjeru između sigurnosti i komocije korištenja. U svojoj osnovi, alati za asimetričnu enkripciju čuvaju vaše tajne ključeve u posebnoj datoteci na disku vašeg računala. To ih ne čini osobito zaštićenima, pogotovo ako je vaše računalo i fizički dostupno širem krugu ljudi. Zato se sam tajni ključ može poželji dodatno kriptirati simetričnim ključem, tj. lozinkom. Na engleskom se on naziva "passphrase" da bi se naglasilo razliku u odnosu na "password" – naime, ako se netko dokopa vašeg tajnog ključa, simetrični ključ kojim je kriptiran morao bi biti barem tridesetak znakova (malih i velikih slova, razmaka, interpunkcija i brojeva) dug da bi koliko-toliko otežali njegovo provaljivanje. Otegotna okolnost za lopova je to što ne može znati da je tajni ključ uspješno dekriptiran ili je rezultat pokušaja dekripcije tek niz besmislenih bajtova pa se provaljivanje u ovom slučaju temelji na uzastopnim pokušajima dekripcije primarno kriptiranog dokumenta, što onda traje znatno dulje.

Ipak, pravi paranoik zna da je puno bolji način taj da se tajni ključ ne drži na disku računala (a kamoli više njih!), već u džepu, na prijenosnoj USB memoriji, memorijskoj SD kartici ili kontaktnoj SMART kartici, pričvršćenoj za druge predmete na koje smo navikli paziti i držati ih uz sebe (npr. klasične mehaničke ključeve, novčanik, itd.). Naravno, čak i tada zaštićen kompleksnom lozinkom, kao što je npr. "Šp1juN1, N1k4d N3ć3t3 p0g0d1t1 m0ju l021Nku!". :-)

Ima li kraja paranoji? Ne!! Valja proučiti internetske izvore i odabrati pravi tip ključeva. Određeni tipovi ključeva, naročito oni raspoloživi u komercijalnim paketima, imaju nadređene ključeve kojima raspolaže spomenuta NSA. Neki drugi, nastali kasnijim, paralelnim open source razvojem, nemaju ovakve rupe, ali imaju neke druge probleme, itd.

Kako to da sve to ne postoji na Macu još odavno?

Zapravo postoji. OS X, odnosno Darwin, oduvijek dolazi sa svim potrebnim alatima za implementaciju asimetrične enkripcije. Problem je bio u tome što njihova uporaba zahtijeva vrlo visok stupanj tehničkog znanja, dugotrajno proučavanje dokumentacije i dosta muke s pisanjem vlastitih skripata koje bi u praksi omogućile normalnu funkcionalnost (osobito u E-mail interakciji s drugim korisnicima).

Također, već dulje vrijeme postoji komercijalno (dosta skupo) rješenje, kako za Windowse, tako i za Mac, bazirano na originalnom radu Phila Zimmermana: www.pgp.com, raspoloživo u raznim paketima, već prema potrebama.

Međutim, open source rješenje koje bi bilo na razini korištenja primjerenog normalnom korisniku na Macu dugo nije bilo. U jednom trenutku je bilo nekih pokušaja, ali oni nisu uspjeli slijediti razvoj Mac OS-a i zaostali su negdje na 10.4.x. Srećom, nedavno je cijela stvar živnula tako da trenutno postoji kvalitetan i relativno kompletan (iako ne još sasvim) port GNU Privacy Guarda (skraćeno: GPG, s hotimičnom asocijacijom na Zimmermanov originalni PGP) za Mac OS 10.6.x. Paket se trenutno sastoji od:

  • MacGPG – jezgra, enkripcijski/dekripcijski algoritmi s pripadajućim command-line alatima za napredno korištenje iz Terminala
  • GPG Keychain Access – normalni GUI alat za manipulaciju javnim i tajnim ključevima, uključivo s podrškom za sinkronizaciju ključeva s internetskih poslužitelja i upravljanje autentifikacijom ključeva
  • GPG Mail – Mail.app plugin za izravnu podršku GPG enkripciji pri slanju i primanju E-poruka
  • GPG Services – s kojima još uvijek postoje neki problemi – stavke Services podizbornika koje omogućavaju kontekstualnu podršku za enkripciju/dekripciju, potpisivanje i autentifikaciju u svim aplikacijama gdje to ima smisla
  • Enigmail – GPG plugin za Mozillu (Thunderbird) i Seamonkey

Ekipa koja na tome radi traži suradnike za rad na drugim modulima koji bi također trebali postati dio paketa. Više informacija o ovom je dostupno ovdje. Glavni nedostatak u ovom trenutku je taj što nema GUI podrške za enkripciju/dekripciju, potpisivanje i autentificiranje datoteka. Iako je ovo moguće iz Terminala, pa čak nije prekomplicirano složiti kakav-takav drag'n drop pomoću Apple Scripta, za prosječnog korisnika ovo je još uvijek komplikacija.

1.enkripcija.png
Enkripcija datoteke iz Terminala

Dekripcija datoteke iz Terminala

Integracija s Mail.app, tj. GPGmail plugin, međutim, funkcionira odlično. Bez previše riječi, nekoliko ilustracija najbolje dočarava dobru integrativnost i tečnost interakcije.

3.kriptirana_poruka.png
Pristigla kriptirana poruka u Mail.app

4.dekripcija_kljuca_za_dekripciju_poruke.png
Dekripcija vlastitog tajnog ključa, radi dekripcije poruke

5.dekriptirana_poruka_s autentificiranim_potpisom.png
Dekriptirana poruka s autentificiranim potpisom

Podaci o potpisu pošiljatelja

7.kreiranje_nove_poruke_s_enkripcijom_i_potpisom.png
Kreiranje nove poruke s enkripcijom primatelju i sebi, te potpisom

8.dekripcija_kljuca_pri_potpisivanju_poruke.png
Dekripcija ključa pri potpisivanju poruke

9.GPGmail_prefs1.png
Preferencije GPGmaila - tajni ključevi

10.GPGmail_prefs2.png
Preferencije GPGmaila - pisanje novih poruka

Preferencije GPGmaila - pregledavanje pristiglih poruka

12.GPGmail_prefs4.png
Preferencije GPGmaila - ostalo

Aplikacija GPG Keychain Access pruža bazične mogućnosti upravljanja ključevima. Postoje dva prstena ključeva (eng. keyrings) – prsten s javnim ključevima (našim vlastitim, i onima ljudi s kojima se dopisujemo) i prsten s našim tajnim ključevima (obično korisnik ima samo jedan tajni ključ, ali može ih imati i više – npr. jedan za privatne, drugi za poslovne potrebe, i sl.). Podržano je dohvaćanje javnih ključeva s interneta, slanje javnih ključeva na internet, ažuriranje tuđih javnih ključeva s interneta, slanje opoziva za vlastite ključeve na internet, promjena roka valjanosti ključeva, uvoz, izvoz. Više-manje, to je to što normalnom korisniku može zatrebati. Poznat je problem (vezan za sam MacGPG, ne za Keychain Access, koji je čisti GUI za MacGPG) što podrška za različite encodinge još nije automatska, već zahtijeva malo više čačkanja i istraživanja. To je razlog što na primjeru sa slike možete vidjeti neke hrvatske znakove prikazane kao hex kodove. :-)

13.key_access.png
GPG Key Access aplikacija

Što još nedostaje?

Zapravo ništa. Sve je dostupno, samo neke stvari nije jednostavno postići prosječnom korisniku. Osim već spomenute enkripcije i dekripcije datoteka za koju još ne postoji GUI, GPG Services treba ručno ubaciti u Services izbornik (rekli bismo – "instalirati" ih), a postizanje podešenja pri kojem sve normalno radi, ali tako da su tajni ključevi pohranjeni na USB memoriji ili drugom odvojivom i prijenosnom mediju (a ne na disku računala) sve je samo ne intuitivan. S obzirom da je upravo ovo praktički nezaobilazna stvar svakom pravom paranoiku :-) zadržat ću se na tome još malo.

Treba se, dakle, poslužiti trikom. Naime, nakon instalacije, oba prstena s ključevima smješteni su u u skriveni ".gnupg" direktorij unutar korisnikova home direktorija:

  • ~/.gnupg/pubring.gpg – javni ključevi
  • ~/.gnupg/secring.gpg – tajni ključevi

Datoteku s javnim ključevima praktično je držati na disku, tako da su javni ključevi uvijek dostupni, da možemo kriptirati sadržaj namijenjen drugima, odnosno autentificirati njihove potpise. Datoteku s tajnim ključevima jednostavno kopiramo na odvojivi medij, na kojem prethodno možemo također formirati skriveni .gnupg direktorij, kao npr.:

mkdir /Volumes/SMAYOO/.gnupg

("SMAYOO" je ime vaše USB memorije koja, naravno, prethodno mora biti mountana)

Zatim prsten tajnih ključeva kopiramo na USB, na primjer ovako:

cp ~/.gnupg/secring.gpg /Volumes/SMAYOO/.gnupg

Onda originalni prsten na disku izbrišemo:

rm ~/.gnupg/secring.gpg

(prije toga poisključujemo Mail.app i GPG Keychain Access, da ne bude belaja :-) )

I konačno, formiramo simbolički link na disku, koji pokazuje na prsten tajnih ključeva na USB memoriji:

ln -s /Volumes/SMAYOO/.gnupg/secring.gpg ~/.gnupg

Nakon toga će svi programi tražiti tajni prsten na uobičajenom mjestu na disku, odakle će ih simbolički link (terminologijom Mac OS-a – alias) uputiti na USB memoriju. Ako točno ta USB memorija u tom času nije mountana, doći će do greške, dekripcija niti potpisivanje neće biti uspješno, ali neće nastati nikakva šteta.

Je li to sve?

Naravno da nije sve. Moguće je napraviti asimetrično kriptiranu cijelu particiju diska, sliku diska (DMG) ili čak cijeli disk koji sadrži više particija. Program koji to omogućava zove se TrueCrypt. Nije dio GPGtools paketa, niti ga razvija ista ekipa, ali je također open source i jako dobro ide uz GPGtools. :-)

Temeljno, program omogućava enkripciju diska ključem koji sam generira i čuva na kriptiranom disku, tako da se zaštita svodi na passphrase kojim se štiti sam automatski generiran ključ. Međutim, za prave paranoike, moguće je koristiti bilo koje vanjske datoteke kao dodatne ključeve. Program koristi uvijek samo po prvih 1024 bajta tih vanjskih datoteka. Tada je, za svako mountanje, odnosno pristup kriptiranom disku, potrebno imati sve te dodatne ključeve, i to na onim mjestima gdje su bili prilikom inicijalne enkripcije. Naravno, najpametnije je kao dodatni ključ odabrati svoj prsten s tajnim ključevima, koji se ne čuva na disku, već na USB memoriji.

14.TrueCrypt.png
TrueCrypt - formiranje kriptiranog diska

15.keyfiles.png
TrueCrypt - korištenje vanjskih ključeva

No, ni to još nije sve! :-) Za one koji zaista ZNAJU da nas ONI uvijek prate i prisluškuju, TrueCrypt omogućava kreiranje tajne, DVOSTRUKO kriptirane particije unutar kriptirane particije. Tajna particija prikazuje se kao slobodan prostor unutar vanjske kriptirane particije i apsolutno ne postoji način da osoba bez ključa i lozinke pouzdano detektira da ona uopće postoji. Ako vas, dakle, supruga nekom teškom ucjenom (npr. "Ako mi ne daš lozinku od ovog diska, zovem svoju mamu u goste na mjesec dana!") prisili da joj odate lozinku diska na kojem čuvate svoje omiljene porniće sa životinjama :-), možete mirno spavati, jer će ona tamo naći samo par slika s playboy.com, a "pravi dragulji" skriveni su iza još jedne tajne zavjese. :o)

Umjesto zaključka

Priča o enkripciji kao zaštiti privatnosti nema kraja i nikad ga neće dobiti, kao ni sva druga nadmudrivanja na temu zaštite, probijanja zaštite, zaštite od probijanja zaštite, probijanja zaštite od probijanja zaštite od... Neki smatramo da nikad nismo dovoljno zaštićeni i da nije bitno da li se mi možemo sjetiti loše namjere koju bi netko protiv nas mogao imati, nego da se taj netko ne može sjetiti načina da svoju lošu namjeru ispolji baš na nama pa da se orijentira na nekog slabije zaštićenog. Neki drugi pak s podsmjehom odmahuju na cijelu tu priču i smatraju da nemaju što od koga skrivati. Istina je, kao i uvijek, negdje u sredini.

A svrha ovog članka bila je informirati, potaknuti na razmišljanje i, možda, izazvati burnu raspravu. Nadam se da sam uspio. :-)

 

Komentari  

smayoo
25-01-2011 | 11:18
I, da ne zaboravim - zahvaljujem svom kolegi Mihaelu, zakletom anti-Apple desničaru :-) što mi je skrenuo pažnju na TrueCrypt. Hvala, Mihael! B-)
dpasaric
25-01-2011 | 12:11
Iako nije direktno vezano, možda vrijedi spomenuti u duhu priče o zaštiti privatnosti da mnogi Mac korisnici koji imaju potrebe za zaštitom lokalnih podataka mogu out-of-the-box uključiti sistemsku opciju "FileVault" koja odlično radi svoj posao. Tada su svi podaci koji se zapisuju na disk enkriptirani i bez lozinke nema šanse da se iskopaju - barem ne van okvira zapadnih tajnih službi koje imaju pristup super-računalim a. :-)

E da, hvala ti na odličnom članku! :-)
ecvis17
25-01-2011 | 12:46
ispravka, davore ... FileVault enkriptira ~ direktorij a ne cijeli disk.
ecvis17
25-01-2011 | 12:49
Zanimljiv je članak no meni to sve skupa previše djeluje ko djeljenje atoma da bi bilo dovoljno convenient za dnevnu upotrebu. No to vjerojatno mislim jer spadam u one koji nekako misle da nemaju što sakriti. Iako ne mislim u stvari ... samo sam ljen se time pozabaviti.
smayoo
25-01-2011 | 13:28
FileVault je obična simetrična enkripcija. Ovisno o kompleksnosti lozinke koju korisnik postavi, dictionary metodom (koja pali kod velike većine korisnika) provaljivanje traje manje od sat-dva, a brute force metodom najviše par dana, bez korištenja ikakvih posebnih računalnih resursa.
Spominjati FileVault u kontekstu enkripcije i zaštite privatnih podataka pomalo je neozbiljno. Ako povučemo analogiju s npr. Hi-Fi tehnikom, FileVault je Bang & Olufsen - prilično skup, izgleda jako sexy, ali zapravo je osrednja kuruza što se suštine tiče. :-)

ecvis17 - upravo sam zato i napisao jedan ovako malo širi overview - da se stekne dojam kako to i jest donekle složena priča, ali su, konkretno GPGmail i TrueCrypt zaista vrlo jednostavni i tečni alati, po mjeri običnog korisnika koji je lijen za preveliku dubinu.
DrAle
25-01-2011 | 20:08
@smayoo
Jesi li isprobao TrueCrypt? Može li se pod Mac OS X u TC formatirati kriptirani disk na bilo što osim Fat32 i NTFS? Kada sam koristio TC pod Macom bila je takva situacija pa sam odustao jer je kopiranje na takav disk bilo vrlo sporo.
Zna li netko kako se slažu enkripcija i Time Machine?
dpasaric
26-01-2011 | 00:10
@ecvis17 - da, naravno da "javni" dio diska ostaje nekriptiran, pa inače i sam OS ne bi mogao raditi! :-) No, sve što korisnik radi u svojem dvorištu snima se na disk enkriptirano.

@smayoo - koliko sam čitao o tome (a zabavljali smo se time prije par mjeseci radi jednog klijenta) FileVault je prilično naporno probiti ako je korisnik stavio netrivijalan password. Mislim da je za naše lokalne uvjete to dovoljno dobra zaštita. Veći problem je što FileVault ipak uspori zapis na disk, a moguće su i komplikacije kod disk repaira ako nešto pođe po zlu.
smayoo
26-01-2011 | 00:11
Isprobao sam TrueCrypt, ali ne mogu reći da sam isprobao sve mogućnosti. U načelu, moguće je:

- kriptirati cijeli disk kao containter i onda unutar njega imati n particija koje se formatiraju na što god želiš
- kriptirati jednu određenu particiju diska, formatiranu na (mislim) jedan od ponuđenih formata (koji uključuje i HFS/HFS+)
- kreirati kriptirani disk image, formatiran na jedan od ponuđenih formata (uključivo HFS/HFS+)

Nisam shvatio što misliš za Time Machine? Da backupira na kriptirani disk ili sa njega?
DrAle
26-01-2011 | 09:23
@smayoo
Ako kriptiram disk kao container i u tom dijelu držim npr. dokumente. Što se zbiva kada radi Time Machine sa tim kriptiranim podacima? Jesu li u tom slučaju podaci koji idu na Time Machine disk kriptirani? Ako je veličina containera npr. 1 Gb i promijenim neki dokument iz njega da li TM dodaje samo promjene kao što je slučaj kada se radi o nekriptiranim podacima ili na TM ide čitav GB? Što kada želim vratiti početno stanje sa TM (npr. kod reinstalacije sustava), a na TM su kriptirani podaci?

Trebalo bi se malo poigrati s time. Drago mi je da si pokrenuo ovu, meni vrlo zanimljivu, temu. Slažem se sa tvojim stavovima o nužnosti enkripcije.
Djipi
26-01-2011 | 17:36
Smayoo, tebi pohvala za temu i obradu, a usput i pitanje svima - kakva je praksa korištenja enkripcije među Macovcima?

Meni je enkripcija kao koncept "OK", ali u konačnici ipak prevelika tlaka za svakodnevnu upotrebu. Možda bih promijenio mišljenje da je standardno click-away, ali čak i tada bih pružao otpor ideji da ključeve moram šetati sa sobom za maksimalnu sigurnost. :-) To bi, valjda, riješio neki "potkožni čip", ali nisam siguran da bih želio platiti takvu cijenu vlastite komocije. :-)

Ono što bih volio vidjeti i o čemu već neko vrijeme razmišljam je client-side enkripcija Google Docs podataka. :-) Siguran sam da se Googleu to ne bi svidjelo, ali meni bi. Poanta ideje je mogućnost korištenja njihovih servisa, ali na način da nemaju pristup mojim podacima. Odnosno imaju (jer su kod njih), ali ih ne razumiju (jer su kriptirani). :-)
smayoo
26-01-2011 | 20:48
@ DrAle: Da, treba se poigrati. U teoriji, ako želiš raditi TM backup kriptiranog diska tako da backup također bude kriptiran, to bi trebalo raditi tako da vanjski disk bude cijeli kriptiran (encrypted container) i svaki put mountan pomoću TrueCrypta (što se radi isključivo ručno, svaki put nakon buđenja iz sleepa), i, naravno, da je osnovni disk također kriptiran cijeli (encrypted container) te se mounta TrueCryptom on-boot (nisam probavao, znam da se može). Vjerujem da bi to moglo dosta usporiti rad.

Ako samo manji dio dokumenata želiš kriptirati, onda kreiraš kriptirani disk image (.tc datoteku) veličine npr. 1 GB (kako si rekao) i njega mountaš ručno TrueCryptom po potrebi. Kad se u tom disk imageu nešto promijeni, Time Machine će ga, kao sirovi file (ne vodeći brigu o tome kakav je to sadržaj) kompletnog (1 GB) ponovno zapisati na vanjski backup koji, kao takav, ne mora biti kriptiran, ali će backup kriptiranog disk imagea biti sam po sebi kriptiran.

@ Đipi: Zašto ti se ne sviđa ideja da ključeve moraš furati sa sobom za maksimalnu sigurnost? Nemoj mi reći da ključ od kuće ostavljaš s vanjske strane u bravi ulaznih vrata kad ideš na posao? ;-) Ovo za Google - ne drži vodu u teoriji, s obzirom da je editing aplikacija na serveru. Kako si ti to zamislio - editiraš npr. tekst *NA SERVERU*, samo što se prozor editora prikazuje na nekom udaljenom terminalu. Kako bi onda taj tekst kriptirao?

Što se toka podataka tiče, to je isto kao što se nekad radilo, prije 25-35 godina, u tzv. ERC-evima, kad se putem VT100 (Iskra Delta Kopa 100) terminala radilo izravno u shellu mainframe računala (nekog VAX-a, Univac-a ili IBM-a 1130, i sl.). Pritisneš tipku na terminalu, bajt putuje po RS422 do VAX-a, čeka na svoj red time-sharinga, onda ga VAX primi, spremi u RAM i pošalje taj isti bajt natrag terminalu kao remote echo, a onda ga terminal prikaže na ekranu. I tako nekoliko desetaka tisuća puta dok napišeš tekst. :-) Probaj zamisliti kako bi tamo kriptirao podatke tako da terminal vidi sve normalno, a da mainframe dobiva kriptirane podatke?
Djipi
26-01-2011 | 22:00
> Zašto ti se ne sviđa ideja da ključeve moraš furati sa sobom za maksimalnu sigurnost?

Zato što mi se ne sviđa sama ideja postojanja tih ključeva. Da mogu ne imati ključeve od stana (koje moram nositi sa sobom) rado bi ih ne imao. :-) Dovoljno rijetko koristim USB stick da mi je tlaka pomisao da ga uopće moram izvaditi iz torbe u čijem džepiću ga nosim. Naravno da netko tko svakodnevno ubada USB stick u komp nema taj problem. Kao i u većini slučajeva, "sve je to u glavi", ali taman je negdje na granici gdje mi komocija pobijeđuje paranoju. :-)

> Ovo za Google - ne drži vodu u teoriji, s obzirom da je editing aplikacija na serveru.

Zašto bi to bio problem? Jel' čeka moj unos s tipkovnice? Čeka. Što me sprječava da dodam layer koji capturira isti taj unos, kriptira ga prije submita i tek onda ga (nakon što sam pritisnuo Enter ili Tab) proslijedi Guglu? Istina, pričam u kontekstu Spreadsheeta (unos u cellove), jer mi samo to treba, i očito ne bi jednako radilo s Guglovom aplikacijom za obradu teksta. :-)
smayoo
26-01-2011 | 23:22
Ali stvar je u tome što ni u spreadsheetu safari ne šalje googledocsu sadržaj ćeliju po ćeliju, nego znak po znak (tipku po tipku). Enkripcija na toj razini je vrlo ograničena. Može se raditi o gotovo pa trivijalnoj, simetričnoj XOR enkripciji što se, čak i da je višestruka, razbija unutar sat vremena.
Djipi
26-01-2011 | 23:37
> Ali stvar je u tome što ni u spreadsheetu safari ne šalje googledocsu sadržaj ćeliju po ćeliju, nego znak po znak (tipku po tipku).

Da, računam s tim. Zato držim unos u svom bufferu do pritiska na Enter/Tab, a onda ga proslijedim, znak po znak, ali enkriptirano, Guglu. Naravno, enkripcija nije aplicirana na znak nego na content cella. Što opet nije neka sreća, ali dovoljno da me preskoče u statistici. :-)

U praksi bi neki Guglov bot zaključio da neki bot na drugoj strani zlorabi API i random flooda s podacima, što bi, vjerujem, rezultiralo bananjem. :-) No, veseli me razmišljati o praćci za (hipotetsku) "borbu" protiv Gugla. No, dok god ga doživljavam kao korisnog, nemam problem s njim. :-)
smayoo
27-01-2011 | 10:14
Aaaaa... E, vidiš, to nije loša ideja. Dala bi se unaprijediti. Npr. da enkripcija bude dictionary-bazi rana. Imaš enumerirani rječnik bilo kojeg jezika. Enkripciju provodiš by buffer, ali na način da umjesto niza besmislenih znakova po tim bajtovima vadiš riječi iz enumeriranog rječnika. Tako te Google bot ne skuži i sav sretan misli da tumači neki suvisao tekst. :-)
Djipi
27-01-2011 | 15:48
Eto, riješili smo i tu finesu. Sad možemo na ćevape. :-)
smayoo
27-01-2011 | 19:22
Iliti, dictionary-base d kriptirano, a što bi montipajtonovci rekli, "Please, fondle my buttocks". :o)
Djipi
27-01-2011 | 19:30
:-))
zabac
06-02-2011 | 19:46
Bas ste paranoicni.

Vikalica™

Zadnja poruka: pred 10 sati, 10 minuta
  • Kloba: Na Bačvicama, sorry
  • Kloba: Sjećam se. Spavali su u onom hotelu na Žnjanu. I ja sam tamo noćio jednom. Jako dobar hotel. Ko jučer da je bilo. Kako je Laušević rekao "Godine prođe, dan nikako". :)
  • drlovric: Prvi i zadnji put sam HR reprezentaciju gledao na Poljudu protiv Brazila. Davno je to bilo.
  • Kloba: I zaključno da se i ja priljučim - samo da se nešto novo i zanimljivo događa! :D
  • Kloba: Ma što se atmosfere tiče, nema do Poljuda. Još samo da nisu u svađi s HNS-om, svaka reprezentacija tamo se smrzne kada dođe. Samo šta ćeš kada kafići u koju zalaze Torcidaši otvoreno stavljaju znakove "ne poslužujemo osobe koje su došle gledati reprezentaciju". U tom stilu. Ne vole HNS nikako.
  • Kloba: Evo link [link]
  • Kloba: drlovric, pa spomenuo sam to ako ti je promaklo. Točnije, zacrtali su si da za 112. rođendan Hajduka (11. 02. 2023.) dosegnu probjku od 112 tisuća članova. A kako su ranije stigli sa 60 preko sto, nije bilo nerealno to očekivati. A po podacima za 2022., ako ne griješim, Real je imao 120 tisuća članova
  • drlovric: Ma nema veze, samo nek se nesto desava :D
  • cariblanco: Badava će trčati bili i plavi, kad će bijeli biti prvi ;)
  • drlovric: Poljud bi bio pun da je i duplo veci. Ne postoji na daleko losiji klub sa lojalnijim navijacima :)
  • drlovric: @Kloba: Hajduk ima 100 K clanova. Neki dan su pustili ulaznice u prodaju. Otvorio sam na 3 racunala, 7 browsera, logirao se u svaki (kao clan) da uspijem ugrabiit ulaznicu. I nisam uspio. Srecom je brat raido istu stvar u Njemackoj, pa nam je kupio on. Za 2h rasprodat stadion, serrver padao......lista cekanja po sat i po da udjes u sucelje da bi kupio kartu. I to sve ako si clan. Ostali nisu mogli
  • Kloba: Aha, hvala ti na informaciji!
  • Borisone: Ako imaš i LAN i WIFi aktivan na Mac-u, prioritet ti je po defaultu da promet ide prvo po LAN-u.
  • Borisone: To ti je propusnost WiFi-a usko grlo.
  • Kloba: Što se brzine neta tiče, kada laptop spojim LAN-om na ruter, iako mi je u postavkama i dalje Wi-Fi mreža kao opcija spajanja - brzina je 950 Mbps. Kada iskopčam LAN kabel, doslovno deset sekundi nakon ovog rezultata - brzina padne na 200 do 300 Mbps-a. Nije nam jasno! :D
  • Kloba: A Hajduk je ipak najtrofejniji i najstariji hrvatski klub. Bio bi red da se i oni vrate na staze stare slave. Zanimljivost mi je da imaju registriranih navijača više od 110 tisuća, u rangu Real Madrida. Respect, u svakom slučaju. :)
  • Kloba: Štose nogometa tiče, nisam pratio HNL osim u tekstovima pa ne znam tko je više zaslužio ove godine. Rijeka ili Hajduk. Ako je Rijeka dala više, neka bude Rijeka. Zarad one krađe kada ih je Gračan trenirao, ako se dobro sjećam.
  • Kloba: Star možda godinu dana, refurbished kupljen od A1.
  • Kloba: Mobitel je iPhone SE 2022.
  • Kloba: Ljudi, imam pitanje u vezi brzine interneta. Kako sada imam gigabit download u teoriji, u praksi mi je to na laptopu oko 940 Mbps. No na mobu, koji je spojen na isti Wi-Fi (5G) ne pokazuje više od 450 Mpbs download. Ima li neki razlog tomu?
  • cariblanco: I ja kao Dinavovac, bi Volvo da Rijeka osvoji naslov, jer je to zaslužila
  • drlovric: Dinamo j ezapoceo kao drzavni projekt, da se podigne nacionalna svijest u novonastaloj drzavi. Kasnije je prepusten kriminalnoj skupini na upravljanje, koja je radi osobnih interesa obesmislila cijelu ligu. Srecom ta vremena su iza nas. Mislim da je ove godine Rijeka najvise zasluzila da bude prvak, jer igraju najbolji nogomet.
  • Kloba: Iskreno, radi dobrobiti hrvatskog klupskog nogometa, htio bih da ili Hajduk ili Rijeka ili Osijek osvoje ovu sezonu. Da se stvori nova velika četvorka u ovoj maloj zemlji.
  • Kloba: Pa valjda ćeš ove godine slaviti. Dugo niste bili ovako blizu. ;)
  • drlovric: Za Hajduk. Zato sam ovako mlad i pogubio zivce :D
  • cariblanco: za koga navijaš...naše ;)
  • drlovric: Za vikend sam u Splitu. Ostajem par dana. Ako neko od Jabucara dolszi gledati najveci nogometni derbi u Hrvata, tu sam za pice, kavu, rucak…
  • smayoo: Nažalost, je... :(
  • Djuro genijalac: [link]
  • Djuro genijalac: Kaj je umrla Slađana Milošević?
  • smayoo: RIP Slađana Milošević :(
  • Yonkis: [link] iPhone prodan na aukciji za 130.000 dolara
  • Yonkis: macOS Sonoma 14.4.1: fixes USB hubs connected to external displays may not be recognized; Apps that include Java may quit unexpectedly
  • Soffoklo: Fora. Creating a Macintosh-inspired Mac Studio iPad dock. [link]
  • abajo: Kloba: [link]
  • Kloba: Ekipa, može li me neko upititi n stranicu da si skinem macOS Catalina kako bih nanovo reinstalirao komjuter? Taj OS mi je najnovji koji ovaj moj Retina iz 2013. može "progutati". Kako se svi razumijete u ove stvari više od mene, bio bih zahvalan!
  • cariblanco: Na kraju sam skužio koliko je sati, po svitanju...ono fakat čudno ?
  • cariblanco: Istina je da Paragvaj mjenja vrijeme koji je blizu, ali ja imam Argentinski sim :D
  • cariblanco: Sad na mobu s našim sim_om je 7.25 a na mobu s Argentinskim sim_om je 8.25 ! S tim da Argentina nema promjenu verbena ?
  • cariblanco: Jurors imam dilemma, koliko je sati ? koliko mi je poznato mi nismo premjenili vrijeme, mjenjamo ga sljedeći vikend
  • Zdravac: MKBHD pratim i ja, ok je lik, realno recenzira, ne sipa hvalospjeve
  • Kloba: Ma bez daljnjeg. Čovjek si je osigurao egzistenciju, pa i vrlo luksuzan stil života već sada. Ima video u kojem pokazuje svoj studio, linkao sam ga tu svojevremeno. Ma preludo. A tek onaj Mr. Beast? Taj živi u studiu. Opsjednut YT-om.
  • drlovric: Zaradio j eon puno vise na otm videu. Pogledaj samo broj pregleda :)
  • Kloba: NIsam ni ja znao. A šta ćeš, cijena napretka. Za šta je dao 40 somova, sliku CD-a i iTunesa... :)
  • Yonkis: Kloba, što nisi odmah rekao kako je završio unboxing i aktiviranje iPhonea :)
  • Kloba: MKBHD kupio originalni, nikada otvoreni first gen iPhone na aukciji u Chicagu za 32 tisuće dolara. Sa dostavom, porezima, i dodacima na sve ispalo ga je 40 tisuća. Video je tu: [link]
  • Yonkis: [link] - Justice Department sues Apple, alleging it illegally monopolized the smartphone market
  • Kloba: I ja brže na net, nađem video naslova 7 Ways To Fix PS5 Error Code CE-117773-6 :) I prvi "way2 mi pomogne, skužim da je do njih
  • Kloba: Uglavnom, kada sam htio skinuti save sa clouda PS Plua za Horizon 2, javi mi grešku Error Code CE-117773-6
  • Kloba: EON Premium sam uzeo, ne vjerujem koje sve kanale imam. Ruske, Ukrajinske, pa klasika CNN, BBC, Sky, ovo ono. Ali i puno iz regije

Za vikanje moraš biti prijavljen.

Prijava

Prisutni jabučari

Novo na Jabučnjaku

Teme

Poruke

Anketa

Kupujete li profesionalni Mac?

Čekam novi modularni Mac Pro - 48.5%
Novac nije problem, kupujem iMac Pro - 0.7%
Kupujem Valjak, baš je lijep i tih! - 0%
Kupujem polovni Mac Pro tower - 11.8%
Nadogradit ću postojeći Mac Pro tower - 2.9%
Običan iMac 27" mi je dovoljan za posao - 5.9%
Skromnih sam potreba, Mac mini je zakon! - 7.4%
Radim na terenu, mora biti MacBook Pro - 3.7%
Ne diram ništa, stari Mac služi me odlično - 10.3%
Kupujem PC kantu i prelazim na Windowse! - 8.8%

Ukupno glasova: 136
Anketa je završena dana: 08 Svi 2018 - 12:17
Page Speed 0.94 Seconds

Provided by iJoomla SEO