В продолжение интересной темы об изготовлении копий ключей по фотографиям. Некоторое время назад обсуждалась специальная компьютерная программа, которая реконструировала важные для замка параметры ключа едва ли не автоматически. Посмотрим на задачу чуть подробнее: какие там есть сложности, и хитрости, позволяющие сложности обойти.

Предположим, что есть один снимок ключа, добытый где-то в интернетах (ну, например). На снимке – ключ попал в кадр целиком, но виден под каким-то “непрямым” ракурсом. Что можно сделать? На первый взгляд кажется, что информации слишком мало. Но это только кажется.

Стандартные ключи – изготавливаются из стандартных заготовок. Специалист такую заготовку (или несколько возможных вариантов заготовки) легко определит по изображению. Зная тип заготовки, можно установить масштаб снимка, то есть, определить оптические характеристики объектива (и фотокамеры), необходимые для устранения искажений и проведения точных измерений по снимку. В качестве “базиса” для вычислений послужат детально и точно известные размеры заготовки.

Определив параметры фотографирования и, соответственно, ориентацию ключа в момент съёмки, уже не так трудно восстановить размеры и форму элементов бородки ключа, которые и составляют секретную часть. Тут ещё нужно учитывать, что у большинства ключей рисунок бородки тоже формируется из набора некоторых стандартных решений – так устроены замки и технология массового производства. Этот аспект позволяет побороть всякие неоднозначности на фото, которые могут быть вызваны наличием теней (понятно, что тени создают погрешности, затрудняющие, скажем, измерение реальных углов между гранями по фото).

Иными словами – определили заготовку, а дальше с использованием продвинутого графического редактора и не самой хитрой тригонометрии поворачиваем и деформируем изображение ключа так, чтобы получить нужный чертёж (“вид сбоку”). Специальная программа вообще не требуется. Да, если ключ сфотографирован в положении перпендикулярно плоскости снимка, то ничего не выйдет, это ясно (но не интересно).

Понятно, что есть более сложные случаи. Ключи встречаются с дополнительными отверстиями, обеспечивающими секретность, со сложными двухсторонними бородками и так далее. Тем не менее, простых случаев – больше. (С другой стороны, возникает вопрос: кто-то гоняется за изображениями простых ключей? когда соответствующий замок специалисту не так сложно открыть без ключа, с помощью отмычек? Хотя, использование ключа во многих практических ситуациях выглядит предпочтительнее – нет подозрительной возни, а просто отпирается дверь, штатным образом.)

А если заготовка нестандартная? Тогда параметры оптической системы можно определить по каким-то другим объектам, геометрия которых известна, при условии, что их изображения находятся на том же снимке. А кроме того, современные объективы и фотокамеры – тоже вполне себе стандартные. Получив тип устройства из сопутствующей информации (EXIF), часть нужных параметров можно взять из справочника, а не вычислять.

Так что ключи по фотографиям наверняка изготавливали и до появления компьютеров, если очень было надо. Потому что фотограмметрия – технология довольно старая, а для реализации требует наличия циркуля, линейки и, может быть, арифмометра ещё какого-нибудь.



Комментарии (9) »

Между прочим, камуфляжные рисунки на тканях, предназначенных для пошива военного обмундирования, тщательно исследуют. Исследуют ещё с тех пор, как впервые массово внедрили (во время Второй Мировой, хотя первые опыты были сильно раньше). Цели – понятны: определить, какой именно рисунок максимально скрывает бойца в том или ином пейзаже. Методы исследования включают, скажем, статистический анализ результатов наблюдений группами испытуемых: статиста одевают в различные “текстуры” и размещают на фоне пейзажа, на разном расстоянии от наблюдателей, “наблюдатели” же должны заметить статиста. Есть и другие исследовательские инструменты, вплоть до компьютерного анализа цифровых снимков “тестовых сцен”.

Камуфляжные рисунки по результатам исследований изменяют. В принципе, несложно проследить развитие, сравнивая полевую форму разных лет. Конечно, всё то же самое актуально и для техники (всех видов, не только наземной). Так что тема развивается. А поэтому понятно, что в будущем камуфляж останется, но будет другим. Интересно, каким именно?

Думаю, что тем, кто следит за темой, в голову первым делом приходит “плащ-невидимка”. Действительно, исследования в этом направлении ведутся. Есть уже заметное число открытых научных публикаций, рассказывающих, как можно с помощью специальных материалов добиться настоящей невидимости в том или ином диапазоне электромагнитных волн. Речь о технологиях, реализующих “огибание” прикрываемого оболочкой объекта электромагнитными волнами. Но, с другой стороны, создание практических тканей-невидимок, годных для полевого использования – дело далёкого будущего. (Хотя, опытные образцы таких тканей мы увидим уже в течение ближайших семи-девяти лет.)

В более близкой перспективе актуальны другие решения. Что это может быть? Например, динамический рисунок. “Электронные чернила”, потребляющие минимум энергии, уже есть. Их научились сопрягать с гибкими поверхностями. При использовании в качестве камуфляжа, нити, создающие рисунок, вплетаются (привариваются?) в ткань, а нужный рисунок выставляется вшитым микроконтроллером.

Камуфляжные текстуры редко обладают большим разнообразием цветов, чаще решение вообще практически “монохромное” (изменяется “насыщенность” одного, опорного, цвета). Геометрия рисунка – важнее. Поэтому, с цветопередачей как раз не должно возникнуть проблем (понятно, что непросто сделать электронные чернила на прочной ткани ещё и разноцветными). А вот геометрия рисунка на такой динамической ткани легко выставляется любая.

Рисунки находятся в памяти носимого компьютера. В простой реализации выбор узора производится либо на основе характеристик освещённости (видеокамеры, закрепляемые на касках, уже есть), либо на основе времени суток (часы в микроконтроллере), либо на основе местоположения бойца на карте (навигация работает), либо с учётом сразу всех этих параметров. Наверное, должен быть и ручной режим. Очевидное развитие, по мотивам живой природы, – динамический узор, конструируемый компьютером на основе наблюдения окружающей “текстуры”.

Такая ткань, в статусе опытного экземпляра, реализуема уже сейчас. Тем более, что в природе такие системы встречаются (кальмары, рыбы). В общем, ткань-хамелеон уже конструируют, нужно только реализовать сопряжение с системой управления.

Опять же, схема годится и для техники. Тут вместо ткани – специальная плёнка. На первый взгляд, задача с техникой проще, потому что не нужно делать гибкую ткань, постоянно работающую “под нагрузкой”. Но в реальности никакого упрощения нет: с техникой свои проблемы – нужно лучше следить за радиоэлектронной (а равно и ИК) заметностью, разные части имеют разную рабочую температуру и так далее.

Снижение заметности, кстати, это другая “камуфляжная” задача. Снижать ИК- и РЛ-заметность требуется и для пехотинцев, не только для техники. Активные элементы в ткани тут тоже помогут.



Комментарии (4) »

В комментариях к предыдущей записке информация из первых рук о процедуре хранения ключей и подписывания корня в DNSSEC. Рекомендую прочитать.



Комментарии (1) »

Всё ж сложно пройти мимо очередной “новости об Интернете”, распространяемой СМИ. Система “слышали звон, но не знают, где он” настолько хорошо отлажена, что моментально порождает занимательные эффекты. Речь о “шести (семи) экспертах-программистах, которых уполномочили перезагрузить Интернет, если он сломается” – сейчас уже все крупные СМИ широкого назначения отписались об этом. Следом идут “специальные” СМИ, журналисты которых смогли найти ключевое слово – DNSSEC (но до основы, конечно, не докопали). В качестве первоисточника называют “Би-би-си”.

Было несложно догадаться, что источником смешной новости послужила информация о том, каким образом происходит генерация и сопровождение ключей в глобальной DNSSEC. Нужно, правда, внести коррективы. Если поверить не “Би-би-си”, а настоящему первоисточнику – ICANN, – то получится, что:

1) Команда экспертов, выступающих представителями интернет-сообщества, включает в себя 21 человека в “основном составе”, плюс 13 человек – “скамейка запасных”. Назначение команды – обеспечивать процесс генерации и сопровождения ключей, подписывающих корневую зону DNS, выступая, фактически, в роли доверенных контролёров;

2) По группам внутри этой команды: есть две группы по семь человек, каждая закреплена за одним из двух дата-центров, в которых генерируют составляющие ключа ZSK и используют главный ключ (KSK) для подписания других ключей; люди из этих групп хранят ключи, необходимые для получения паролей от криптосервера. Интересно, что, как пишут в документации, тут речь о “физических” ключах от сейфа, в котором находятся пароли к криптосерверу (нужно будет спросить, что там за ключи на самом деле).

Третья группа хранит смарткарты, с частями ключа, позволяющего расшифровать резервную копию секретного KSK, в случае, если вдруг основная копия, находящаяся в криптосервере, исчезнет.

В резерве – семь человек с ключами “от криптосервера” (условно) и шесть – с частями ключами от резервной копии.

3) По ключам. Используют KSK и ZSK. С помощью KSK подписывают ZSK, которым подписывается корневая зона. ZSK генерирует VeriSign, потому что эта компания технически отвечает за распространение корневой зоны DNS. По процедуре, новые ZSK выкатываются четырежды в год. Каждый новый ZSK должен быть подписан защищённым криптосервером, в котором содержится секретная часть KSK. То есть, четыре раза в год эксперты с ключами “от криптосервера” (см. выше) приезжают в дата-центр и “отпирают” криптосервер, тем самым разрешая подписать новый ZSK. Те доверенные люди, которые хранят смарт-карты с частями ключа, которым зашифрована резервная копия KSK – выезжают “на восстановление” не по графику, а только если основная копия утрачена. (Видимо, только этот момент, благодаря его драматургии, и привлёк журналистов.)

Понятно, что если действовать по процедуре, без держателей ключей “от криптосервера” подписать зону восстановленным из резервной копии KSK не получится. Более того, по существующей процедуре не получится вообще что-либо сделать с корневой зоной без участия VeriSign и Минторга США – какими ключами не размахивай. Очевидно, что утрата секретного ключа KSK не приведёт одномоментно к отключению DNS и краху DNSSEC. До момента истечения срока действия текущего ZSK даже изменения в зону можно будет вносить. Подписать новый ZSK утраченным KSK – да, не выйдет.

Ну а самое интересное, что в крайнем случае никто не помешает просто сгенерировать новый KSK силами ICANN, Минторга и VeriSign, как это уже было сделано при развёртывании DNSSEC.



Комментарии (3) »

Удивительно, но забывают, что самым прямым прообразом современного Интернета, как сети связи, является телеграф (электрический), который придумали в начале 19 века. Посудите сами: для телеграфной связи использовалась сеть, в которой применялась развитая система адресации узлов; узлы телеграфной сети могут и принимать, и передавать сообщения; впервые именно телеграфная сеть стала глобальной (межконтинентальной). Но это далеко не всё.

В телеграфной связи с 19 века тексты кодируются/декодируются в автоматическом режиме. Уже в первых применявшихся телеграфных аппаратах использовался “протокол обмена данными” (если это решение так можно назвать), включавший отправку запроса на установление сенса связи (электрический звонок) и ответ на запрос, а также порядок завершения сеанса. Сравните с TCP. (Были и аналоги UDP, конечно.) Впервые именно в телеграфной связи применили технологию передачи нескольких сообщений по одному каналу и использовали перфокарты в качестве носителя передаваемого сообщения. Ну а уж про то, что именно на телеграфных линиях связи выросла вся современная теория кодирования – и напоминать-то, наверное, не нужно (а, в том числе, и двоичное кодирование символов использовали ведь).

Так что ультрасовременное “кибрепространство” выросло из “древнего” телеграфа. Который, впрочем, с появлением Интернета приказал долго жить. Жалко.



Комментарии (4) »

Ещё раз посмотрим на развитие Интернета. Принято считать, что различные правила, ограничивающие те или иные действия отдельных пользователей, направлены на благо основной массы этих пользователей. Формулировка такая: правила ограждают добросовестных пользователей от разгула нехороших соседей по Сети. Да, очевидно, что большинство ограничивающих правил создаёт некоторые неудобства всем, в том числе, добропорядочным пользователеям, но нужно потерпеть, для общего блага. Это всё известные “общие слова и банальности”. На практике куда важнее другой момент: минимальная ошибка в подборе ограничений приводит к тому, что у добросовестных пользователей возникают большие неудобства, а продвинутым злоумышленникам – ограничения отлично играют на руку.

Посмотрим на свежие, постоянно изменяющиеся правила регистрации доменов .РФ – это неплохой пример. В правилах заложены серьёзные ограничения, которые сейчас не позволяют обычному интернет-пользователю, желающему поддержать вяло набирающую обороты кириллическую доменную зону, просто пойти и зарегистрировать домен .РФ для своего проекта в русскоязыном Интернете.

Действительно, для получения домена требуется либо владеть торговой маркой (нужно юр.лицо или статус ИП), либо фирменным наименованием (опять нужно являться юр.лицом), либо уметь предъявить ещё какие-то бумаги. Ограничения, как многократно объясняли пользователям, введены для того, чтобы в первые же часы открытия новой зоны все вкусные домены не улетели в руки к неким злобным киберсквоттерам, а, напротив, достались достойным жителям Интернет-действительности.

В принципе, идея вроде бы верная, позволяет избежать конфликтов. Но в случае с доменом .РФ допустили совсем маленькую “заковыку”. Вернее, несколько однотипных небольших “заковык”. Так, сперва вкусные имена оказались у проворных предпринимателей, заметивших, что правила, требующие предъявить торговую марку (ТМ), не вводят ограничений на дату регистрации этой марки. Естественно, тут же были оперативно зарегистрированы нужные ТМ и взяты домены. Рядовые пользователи, “защищённые” правилами, сидели в стороне и наблюдали за дележкой новой зоны, изредка возмущённо вскрикивая. Некоторые, возможно, облизывались на домены, но ресурсов для регистрации торговой марки у них, так или иначе, не было.

История повторилась буквально через несколько месяцев. Только теперь вместо торговых марок регистрировались “под домен” СМИ, так как на новом этапе приоритет получали “названия средств массовой информации”, опять без “срока давности” и каких бы то ни было дополнительных ограничений. Схема с регистрацией СМИ для получения домена – “по зубам” только опытным охотникам. Рядовые пользователи опять прогуливались “под защитой” правил: для них домены в новой зоне всё ещё недоступны.

На первый взгляд кажется, что в случае со СМИ защита всё ж сработала лучше. Оказавшись под завалами из заявок на регистрацию СМИ со странными названиями, сплошь оканчивающимися на “.РФ”, ситуацией заинтересовался Роскомнадзор (между прочим, очень, что называется, в тему – домены-то ресурс ограниченный, напоминающий радиочастоты). Реакцией на уведомления из Роскомнадзора стала внезапная корректировка правил, случившаяся буквально за сутки до запланированного начала очередного этапа приоритетной регистрации. Установили минимальный “возраст” свидетельства о регистрации, “отрезав” новые СМИ, получившие регистрацию до 12 мая 2010 года. Отрезали все СМИ разом, без разбора.

Более того, в рамках возникшего внутреннего конфликта, реестр домена .РФ вообще неожиданно закрыли (как пишут, на десять дней), прекратив приём всех без исключения регистраций. То есть, даже, например, добросовестные владельцы торговых марок не могут свои новые домены зарегистрировать и начать использовать.

Несложно догадаться, что и добросовестные СМИ, зарегистрированные после 11 мая, не смогут по таким правилам получить приоритет. Почему? Потому что правила внезапно “защитили” их интересы от массовых киберсквоттерских регистраций. Что же делают сквоттеры? Наиболее опытные из них заранее просчитали ситуацию и подготовили не СМИ, а фирменные наименования и названия общественных организаций. Для этих категорий пока что ограничений по дате регистрации нет. Авторы изменений в правилах ещё не сделали снужных обобщений и внесли изменения лишь в части приоритетов СМИ, не затронув другие приоритеты.

(Кстати, редакции некоторых СМИ, проходящих сейчас по тем или иным законным причинам перерегистрацию, уже опасаются, что не смогут получить домен .РФ, потому что в новом свидетельстве будет дата позже 11 мая 2010 года.)

Действительно, показательная история. Получилось (да, уже получилось – исторический факт), что правила домена РФ, сработали вовсе не как барьер для киберсквоттеров, а лишь как фильтр, пропустивший к вкусным доменам самых опытных сквоттеров, которые хорошо “сидят в теме”. При этом фильтр удачно избавил опытных игроков от возможной конкуренции с более многочисленными, но менее опытными коллегами по цеху захвата доменов. А рядовые пользователи – они строго “пролетают мимо”. С непродуманными ограничениями так всегда и выходит.

Такие дела. Посмотрим, как теперь ситуация повернётся дальше.



Комментарии (3) »

В ночь с 15 на 16 июля корневую зону DNS подписали настоящим ключом и опубликовали открытые ключи для проверки подписей DNSSEC. Таким образом, Минторг США, компания VeriSign и ICANN завершили развёртывание DNSSEC в корневой зоне. Собственно, теперь DNSSEC можно использовать в глобальной DNS. Ключи каждый может взять на сайте IANA.

Теперь поддержку DNSSEC начнут массово вводить в доменах первого уровня.

Напомню, что следующие шаги на пути к новому Интернету – внедрение IPv6 и модернизация принципов маршрутизации (через внедрение криптографических механизмов).



Комментарии (1) »

Ещё немного о доменах. Вчера случилось развитие темы с регистрацией названий СМИ в качестве доменов .рф: правила очередной раз поменяли “на переправе”, теперь приоритет получат лишь СМИ, зарегистрированные до 13 мая 12 мая 2010 года. Вот так. Сама регистрация этих доменов стартует 15 июля, завтра. Правила круто поменяли сегодня. “Неплохая” тенденция для нового кириллического домена, правда?

Занимательно и то, что СМИ действительно регистрировали пачками (десятки на одного учредителя). При этом за каждую регистрацию уплачивается гос. пошлина. Теперь эти пачки свидетельств окажутся, видимо, ненужными. Если только правила опять не претерпят изменений.

История некоторым образом напоминает случай с доменом RU: там в 2007 году едва не ввели кириллицу. Утверждённые тогда правила регистрации кириллических доменов включали хитрый пункт, фактически дававший приоритет владельцам графически похожих на кириллические латинских имён. Например, xytop.ru и ХУТОР.RU (второй домен – кириллицей). До открытия кириллической регистрации сквоттеры, почитавшие правила, кинулись скорее регистрировать сотни графически похожих доменов, чтобы потом претендовать на звучные словарные кириллические. А кириллицу в .RU так и не ввели. Потому что .рф – лучше. Сейчас вся эта латинская абракадабра в .ru давно свободна.

Addon (15/07/2010): нет, старт регистрации вообще отложили, закрыв реестр. Вот как весело.



Комментарии (1) »

Известно, что через специальную фирму U.S. Aerospace заявку на участие в многострадальном тендере на модернизацию штатовского флота летающих танкеров подал “Антонов”. На Flightglobal.com публикуют презентацию An-112KC. Это как раз предлагаемый к участию вариант Ан-70. В презентации заявки использован фотоснимок, демонстрирующий Ан-70 “в снегах”. Всё бы нечего, но, как пишут, на снимке запечатлён потерпевший крушение в 2001 году Ан-70: тогда у самолёта при взлёте отказали два двигателя и он упал на поле, разломившись пополам.

Действительно, если посмотреть на упомянутый слайд (копия – ниже), то видно, что с самолётом на “снежном снимке” явно какие-то проблемы. Они и установлен неестественно, и лопастей на одном винте не хватает.

Это, конечно, серьёзный иллюстративный перебор, трудно не согласится с автором исходного сообщения.



Комментарии (5) »

Раз сегодня пятница: а вот приходится держать Windows XP в виртуальной машине. Потому что иначе – то и дело возникают трудности с всякими электронными штуками, типа телефонов и GPS-навигаторов, которые требуют наличия Windows. У Microsoft очень грамотная маркетинговая политика, что ни говори.



Комментарии (5) »

Сейчас самый популярный хеш – 9ec4c12949a4f31474f299058ce2b22a. Это число, размещённое на официальной нашивке штатовского киберкомандования. С подачи Wired многие кинулись “расшифровывать” – что значит сей хеш? Быстро выяснилось, что это как бы всего лишь MD5 от официального “бюрократического” описания миссии киберкомандования (текст не привожу, его легко найти; уже сутки как вошло в “Википедию”). Вроде бы, уже официальные лица подтвердили, что, да, так и есть – использовался текст описания миссии, несекретный. Пресса пошумела в англоязычном секторе. Сейчас российская подхватит. Очень много блогеры пишут. В общем, грамотный PR, без дураков.

Но что упускают из виду: в MD5 по определению есть коллизии. То есть, в одно значение функции отображается сколь угодно много текстов (не все осмысленные, да). Поэтому вовсе не факт, что именно опубликованный текст нужно принимать за реальную задумку. Ну, подумаешь, сказали: “да, вот этот самый текст!” А может, там совсем другой текст-то был заложен, ага. Шутка оказалась с намёком, с двойным дном.

Ну и учитывайте ещё, что в MD5 заданные пары текстов, порождающих коллизии, находить много проще, чем подбирать коллизию к заданному хешу (на этом эффекте три года назад сломали SSL).

Вот.



Комментарии (11) »