Явление эльфа или очередной русский бизнесок
Сегодня мой скромный бложик осчастливил своим визитом представитель мира эльфов. Впрочем, по порядку:
Некое время тому я накропал статейку про свое видение шифрования приватных данных. Ну вот эту, если кому интересно.
И тут сегодня после обеда, совершенно случайно, с сегодня же зарегистрированного аккаунта, заходит персонаж и вещает дивное:
Программа совместима со всеми существующими почтовыми клиентами.
И что немаловажно, имеет сертификат согласно ГОСТу и прошла сертификацию в ФСБ РФ. Кроме того, функция отправки данных на облачное хранилище, шифрование трафика чата Скайп...
Рука бойца писать устала :) В общем, после глючного трукрипта я юзаю ее, уже подходит к концу 30 дневный триал, и наверное, я киберсейф таки куплю, да.
Насладитесь этим образчиком непротиворечивого текста. Т.е. программа имеет скрытый режим, благодаря которому ее не может обнаружить даже всемогущее ФСБ, и это же самое ФСБ эту самую программу сертифицировало. Впрочем, к "лицензиям ФСБ" мы вернемся чуть позже.
Я объяснил эльфу, что пользоваться софтом с закрытым кодом, вдобавок "сертифицированным" ФСБ, (т.е. содержащим backdoors для быстрого вскрытия шифрованной информации), будет либо недоумок, либо пергидрольная блондинка (у натуральной уже хватит ума этого не делать).
Эльф обиделся, и выдал:
Лицензия, мой друг, как раз и исключает бэкдоры, а не наоборот )
Я усидел на стуле, хотя это было и непросто. Нет, в самом деле, вы шо, не знали, что указ вечно не просыхавшего царя-батюшки на самом деле преследовал благую цель защитить вас, неразумные смерды, от backdoors в шифровальных системах? Для этого и только для этого был изобретен этот самый указ!
Эльф продолжал жечь огнеметом по площадям:
http://cybersafesoft.com/cs_disk_source.zip - вот тебе исходный код.
Я устыдился и полез изучать исходный код. Надо же ознакомиться, что ж там именно сертифицировало доблестное ФСБ? Это ведь наверняка не просто исходный код, а вершина человеческой мудрости, квинтэссенция, тысыть, разума. Скачал архив (кстати, ссылок на архив на самом сайте компании "cybersafesoft" я не нашел. Тем не менее, у эльфа ссылка была. Правда, очень забавно?).
С замершим дыханием я открыл первый файл исходника....
/*
---------------------------------------------------------------------------
Copyright (c) 1998-2007, Brian Gladman, Worcester, UK. All rights reserved.
LICENSE TERMS
The free distribution and use of this software is allowed (with or without
changes) provided that:
1. source code distributions include the above copyright notice, this
list of conditions and the following disclaimer;
2. binary distributions include the above copyright notice, this list
of conditions and the following disclaimer in their documentation;
3. the name of the copyright holder is not used to endorse products
built using this software without specific written permission.
DISCLAIMER
This software is provided 'as is' with no explicit or implied warranties
in respect of its properties, including, but not limited to, correctness
and/or fitness for purpose.
---------------------------------------------------------------------------
Issue Date: 20/12/2007
This file contains the definitions required to use AES in C. See aesopt.h
for optimisation details.
*/
/* Adapted for TrueCrypt */
Я протер глаза. Видение никуда не исчезало. Открыл второй файл:
/*
Copyright (c) 2008-2011 TrueCrypt Developers Association. All rights reserved.
Governed by the TrueCrypt License 3.0 the full text of which is contained in
the file License.txt included in TrueCrypt binary and source code distribution
packages.
*/
#include "Bios.h"
#include "BootConsoleIo.h"
#include "BootConfig.h"
#include "BootDebug.h"
#include "BootDefs.h"
#include "BootDiskIo.h"
#include "BootStrings.h"
....
....
....
....
Вы уже догадались, что я увидел, когда открыл License.txt?
TrueCrypt License Version 3.0
Software distributed under this license is distributed on an "AS IS" BASIS WITHOUT WARRANTIES OF ANY KIND. THE AUTHORS....
Изучение всего архива исходных кодов, ссылку на который дал эльф, показало следующее:
1. Весь архив слеплен из опенсорсного кода. Т.е. совсем весь. Ни единой своей строчки кода добавлено не было.
2. Код имеет такое же отношение к скриншотам из документации, как я - к китайской классической опере.
Фраза Сейчас очень трудно довериться программам по шифрованию диска, которые не предоставляют исходный код клиенту (кстати, стыдливо отсутствующая в английской версии сайта) является ни чем иным, как наглым враньем: этот исходный код, как я уже сказал, не имеет никакого отношения к программному продукту, продаваемому этой конторой.
Кроме того, это означает, что контора впаривает лохам open-source код как свою личную разработку. А иначе что бы этот архив делал на сайте конторы?
Здесь все стало еще веселее, и я открыл руководство пользователя, которое можно выкачать в виде pdf-файла здесь.
Насладитесь скринами этого бессмертного труда:
Вот вам раз:
Вот Вам два:
Теперь посмотрим на упомянутую эльфом лицензию ФСБ поближе. Понятно, что на ФСБ вообще и на ее лицензии во всем цивилизованном мире клали ванадиевый хрен с левой резьбой, но тем не менее мы можем и отсюда извлечь некую информацию, а именно:
Лицензия выдана на "предоставление услуг в области шифрования информации". Какой-либо программный продукт в ней не упомянут, т.е. от слова "никак". Лицензия выдана какому-то мутному ООО "Дорф", хотя платеж предлагается делать в пользу "cybersafesoft".
Я вот сейчас в раздумьях: там у них на сайте список клиентов весьма примечателен, думаю, надо ли сообщить им, что пользуются они софтиной, сертифицированной доблестным ФСБ.
Выводы же о том, стоит ли пользоваться криптографическими системами, написанными в российских сертифицированных конторах, полагаю, каждый сумеет сделать самостоятельно.
- cynic's blog
- Login to post comments