Pgp + zipjpeg
|
PGP + zipjpeg — комбинация двух средств сокрытия информации, позволяющая достаточно эффективно скрывать передаваемое. Представляет из себя файл контейнер, выглядящий как картинка, но содержащий еще и архив с зашифрованной информацией. Способ основан на методе стеганографии и ассиметричного шифрования. Непосвященный пользователь видит перед собой картинку, имеющую какой-либо дополнительный значок, догадаться о имеющихся включениях сможет не всякий. Расшифровать же вложение сможет только тот, чьим открытым ключом зашифровано сообщение или файл в архиве.
Разъяснение для непосвященных[править]
pgp[править]
метод комбинированного шифрования информации, основанный на сочетании симметричного и ассиметричного методов. Одноименная программа, а также gpg, gnupg, apg, генерируют пару ключей: открытый и секретный. Сообщение шифруется открытым ключом, который вам передает собеседник, а расшифровка возможна только с помощью его секретного ключа. Преимущество перед методом симметричного шифрования состоит в том, что пароль для расшифровки имеется только у одного человека, поэтому не может быть перехвачен, выдан какой либо стороной, кроме самого получателя. Преимуществом также является возможность использовать программное обеспечение с открытым исходным кодом, появляется возможность проверить его на наличие лазеек и уязвимостей.
Более подробно о проекте можно узнать тут
Стеганография[править]
Метод сокрытия самого факта передачи важной информации. Информация, а именно секретный файл, выдается за безобидную и незначимую. В данном случае метод основан на особенности архиваторов, находящих в файле заголовок архива и игнорирующих информацию перед ним. Работает как с rar, так и с zip архивами. Файл контейнер может содержать сколь угодно большой прикрепленный архив, но чем больше архив, тем больше шансов заподозрить, что картинка не может иметь такой объем информации.
Изготовление[править]
Вам понадобится любая программа для работы с ассиметричным шифрованием, архиватор, любой графический редактор для нанесения метки. Файл шифруется всеми открытыми ключами ваших корреспондентов, чтобы любой мог его расшифровать. После чего полученная шифровка упаковывается в архив и прикрепляется к картинке. На любой unix- подобной системе это можно сделать командой
cat file.zip >>image.jpg
или
cat file.zip file.jpg >imagezip.jpg
в windows
copy file.jpg + file.zip >imagezip.jpg
Имеются программы-генераторы и онлайн-сервисы, способные облегчить участь тех, кто не хочет заморачиваться с консолью. На картинку можно предварительно поставить значок, предупреждающий вашего собеседника о том, что перед ним файл-контейнер.
Извлечение информации также не составит большого труда. Переименовываем полученный файл в archive.zip и распаковываем. Внутри находим файл с расширением pgp или asc, который расшифровываем с помощью программы поддерживающей этот стандарт, вашего секретного ключа и пароля.
Передача[править]
В начале нужно передать открытый ключ шифрования, чтобы информацию для вас могли зашифровать. Это можно сделать с помощью сервера-хранилища, по почте или любым удобным способом. Главное чтобы способ передачи файлов-контейнеров и ключа отличались. Затем удостоверьтесь, что открытый ключ принадлежит вашему корреспонденту. Передавать файлы можно по электронной почте, либо через любой анонимный файловый хостинг, если хотите сохранить факт передачи в тайне. Вы публикуете фото, ставите заранее оговоренные теги, ваш корреспондент их скачивает. Пользоваться дополнительными средствами анонимизации или нет — личное дело каждого, но если вы не используете их регулярно, то это может вызвать определенные подозрения. Для всех непосвященных вы обмениваетесь фотками с корпоратива или похода, любые комментарии лучше указывать именно относительно передаваемой картинки.
Если вдруг...[править]
Вы всегда можете отказаться от авторства содержимого контейнера, сказав, что не знакомы с данной технологией. Имеющаяся программа для ассиметричного шифрования может использоваться и для подписания электронных документов, для собственной безопасности подпишите несколько таковых.
Применимость данного метода ограничивается частной и корпоративной тайной. Для передачи противозаконных материалов и материалов имеющих отношение к государственной тайне метод не подходит. При изъятии вашего жеского диска с оказавшимся на нем секретным ключем шифрования от расшифровки данных защищает только пользовательский пароль. Следственные органы могут требовать расшифровки всего содержимого жесткого диска и других носителей информации. Метод эффективен при перехвате вашего сообщения на сервере электронной почты, позволит скрыть факт передачи важной информации, если конкурент или недоброжелатель получил возможность отслеживать электронную корреспонденцию.
Поэкспериментировать[править]
тут имеется файл-контейнер с архивом. В него для примера помещены, кроме зашифрованного файла, еще и пара экспортированных ключей, чтобы любой желающий мог поэкспериментировать с расшифровкой. Импортируем секретный ключ из архива и добываем из шифровки pdf-файл, содержащий статью википедии о pgp. Вам потребуется пароль i2pwikiPassword. Также имеется публичный ключ для шифрования. Данные ключи являются тестовыми и добавлены в контейнер для возможности расшифровки. В случае, если вы будете использовать эту методику в своих целях не вкладывайте ключи в контейнер и не пользуйтесь предложенными. Храните секретный ключ в тайне, а открытый передавайте корреспондентам максимально надежным способом, исключающим подмену
Источники[править]
Метод, правда в урезанном, с менее совершенной методикой шифрования, виде широко использовался на имиджбордах. При необходимости поделиться другими файлами применялась стеганография, если архив должен быть распакован только определенным кругом лиц, то zip архив зашифровывался симметричным шифром, который знал узкий круг анонимов. Пароль при этом легко мог быть выдан другим участникам.
Форматы[править]
Кроме zip-архивов можно использовать 7z rar arj gz. Некоторые сайты определяют начилие заголовка стандартного зип-архива, но при использовании других методов архивации позволяют загрузить картинку. Из графических форматов можно использовать png gif jpg. При архивации лучше использовать максимальный метод сжатия, чтобы уменьшить объём файла-контейнера. Достаточно эффективным является применение 7z и rar архиваторов.
Недостатки[править]
- Медленный процесс изготовления и расшифровки. На изготовление требуется некоторое время, быстрый обмен документами в этом случае невозможен.
- Движки некоторых сайтов определяют неверный тип файла и препятствуют его загрузке. Викидвижок выдает предупреждение.
- При утрате секретного ключа или пользовптельского пароля вы никак за разумное время (менее 10 лет) не сможете прочитать закладку.
- Перенос секретного ключа на другое устройство может оказаться не под силу неопытным пользователям.
- В некоторых компаниях существуют ограничения на использование несертифицированных методик шифрования. Во всех органах власти требуется использование только сертифицированных ключей с электронной подписью. Перед использованием уточняйте требования у системных администраторов. Обнаружение подобного рода данных позволит подозревать вас в промышленном шпионаже. Согласовывайте ваши действия с сотрудниками, отвечающими за информационную безопасность.
- Законодательство многих стран запрещает использование методов шифрования с высокой криптостойкостью и стеганографии. Уточняйте разрешенные методы и алгоритмы на территории вашей страны.
Реализация на андроид[править]
Чаще всего проблем с реализацией на десктопах не возникает, все програмное обеспечение скачивается свободно. С мобильными устройствами дело обстоит сложнее. Некоторые популярные программы, типа openpgpmanager, являются коммерческими. На андроид-платформе подойдет следующий набор программного обеспечения:
- APG - программа поддерживающая шифрование с использованием ассиметричных алгоритмов. Бесплатна, совместима с аналогичным софтом для ПК, открытый исходный код.
- ZArciver - архиватор находящий заголовок архива в любом файле контейнере. Встроенные архиваторы файлменеджеров часто не распаковывают файл-контейнер. Бесплатен, распространяется с открытым исходным кодом.
- Эмулятор терминала - а также любой терминал, используемый вами способны соединить картинку и архив командой cat.
- Любой, удобный для вас, графический редактор. Для создания примера файла-контейнера использовался picsart.
Все приложения можно получить в google play бесплатно.
См. также[править]
- Статья о pgp в википедии
- статья на лурке о похожей методике
- Paranoia - осторожно!! ссылка во внешний интернет!
| Софт для безопасности | AppArmor · Eraser · GnuPG · Gostcoin · Kali Linux · Privoxy · Tahoe-LAFS · Telegram · Truecrypt · Прокси-сервер |
|---|---|
| Шифрование и пароли | HTTPS · OpenSSL · Pgp + zipjpeg · Secure password generator · Криптография · Стеганография · Шифрование |
| Опасности | DDoS · Metasploit · RCE · Деанонимизация в I2P · Методы деанонимизации · Шелл-код · Эксплойт |
| Другое | Blackhole · Защита конфиденциальных данных и анонимность в интернете · Трипкод · Хакер · Эмблема хакеров |
