Author

Topic: Как обезопасить приватную инфу (Derk-метод). (Read 450 times)

legendary
Activity: 2660
Merit: 3710
Вау, все конечно круто маестро, разве, что только  у новичка взорвется мозг от такого потока инфы. С другой стороны и топик не для них (вряд ли кому-то из них придется настолько парится с хранением своей информации) .
Согласен, мне как новчику, ничего непонятно. А быть защищенным очень хочется. Было бы круто, если бы кто-то "перевел" на понятный язык Smiley
В таком случае, используйте только первый метод, он самый простой. То есть добавляйте только яд к своей приватной инфе, которую вы хотите запутать. Если вы хотите сокрыть приватные ключи - вставляйте яд в середину приватного ключа. Если сид (seed) - то добавляйте яд спереди и сзади. Ну или уточните, что конкретно вам непонятно. По-моему, я достаточно подробно описал метод.
legendary
Activity: 2660
Merit: 3710
Могу сказать только, что метод максимально рабочий и его, к счастью, мало кто знает, что хорошо для конспирации и безопасности, кстати. Причём метод оригинальный, мой авторский, а не копипаст какой-нибудь или калька-рерайт с доступного в гугле. Я вообще считаю, что этот метод мастхэв для тех, кто знает и понимает. Плюс этого метода в том, что он хорошо сочетается с другими методами защиты и сильно укрепляет их. И если у вас есть средств более, чем на 100 баксов, то нужно хорошо защищать свою секретную инфу. Глупо это не применять. Ведь это бесплатно и высокоэффективно. Я сам защищаю им свои сиды, пароли и приватники. У меня, правда, нет таких больших средств, чтобы применять метод в комплексе, с витаминами, например. Но яд я всегда ввожу в свою секретную инфу.
legendary
Activity: 2660
Merit: 3710
Сегодня попробуем с помощью Derk - метода запутать номера приватных телефонов, которые по какой-то причине вам не хочется выдавать злоумышленнику. Есть 2 варианта: номер телефона не очень важный (но, тем не менее, лучше эту информацию запутать) и второй вариант - номер важный.
В первом случае просто к номеру добавляем яд (от слабого до сильного), во втором случае - убираем витамин и только после этого добавляем яд (витамин храним отдельно в другом файле и можно на другой флешке. Вообще этот номер телефона можно хранить в памяти, а к секретному файлу обращаться только в том случае, если номер забылся).
Допустим, наш номер телефона - 8 927 238 59 73 (это случайный номер, который пришёл мне в голову).
1-й метод: бревно + яд. Вообще, яд я рекомендую добавлять в любую приватную инфу. В качестве яда я советую брать какие-то известные или малоизвестные числовые последовательности. В простых случаях это может быть последовательность числа пи. То есть числа дробной части. После запятой они идут в таком порядке:
1415926535897932384626433832… Необязательно брать числа с начала, оттуда, где они воспринимаются «на глаз». Можно взять с 7-й цифры, например:
5358979323846. Эту последовательность с числом пи уже сможет сопоставить либо знающий человек, либо программа. Но для сокрытия простых незначимых телефонов вполне можно использовать. Можно эту последовательность разбить на 2 части – 535897 и  9323846. Первую часть вставляем сразу после кода 927, другую в конце номера.
Получилось вот что:
8 927 535897238 59 739323846
Для постороннего этот номер будет выглядеть так:
8 927535897238 59739323846. Минус этого метода только в том, что номер выглядит неестественно, как одна большая ошибка. Но в чём именно здесь ошибка и является ли номер валидным хотя бы в какой-то его части – большой вопрос для постороннего.

Другой метод: бревно минус витамин плюс яд.
Из изначального номера 8 927 238 59 73 убираем часть последовательности, например, первые 5 цифр после кода - 238 59. Это будет наш «витамин, прячем его в отдельный файл на другой флешке. Вместо него вставляем некую постороннюю последовательность цифр. Например, из упоминавшейся ранее последовательности числа пи: 53589. Вместе это будет выглядеть так:
8 927 5358973.
Для постороннего наблюдателя это будет естественно выглядящий, но невалидный номер:
8 9275358973. Если естественность не важна, то количество яда и здесь можно увеличить (например, важный, приватный телефон). Просто в таком случае нужно использовать яд из менее известных последовательностей, чем число пи или, ещё более хардкорный вариант, длинную рандомную последовательность.
Допустим, такую:
4964920652645396276796974296796759
Получится вот что:
8 927 496492065264539627679697429679675973.
В этом последнем номере из изначального остались только первые 4 и последние  две. Остальное – рандомный блок цифр. Недостающая часть изначального номера (витамина) - скрыта. В общем, в теории метод выглядит заморочено, но на практике всё проще, достаточно немного потренироваться.


legendary
Activity: 2660
Merit: 3710
Не видел еще такого извращенного извращения, извините за выражение. Не проще ли использовать шифрование со скрытым контейнером и безопасно и надежно и точно так же надо хранить в голове два пароля. Да и потом не стоит забывать что таких паролей и сервисов куда потребуется вводить пароль сотни.
Думаю, что вы неправы. То есть для своих целей шифрование со скрытым контейнером может быть неплохим, но в целом, у него есть существенные недостатки перед Derk - методом (эркографией).
1.Оговорюсь, что я не против шифрования, но шифрования совместно с данным методом лишь. Шифрование в виде монометода, на мой взгляд, малоприемлемо для серьёзных сумм и вот почему. Основной трабл: вы должны на 101% доверять программному обеспечению, используемому для шифрования. Вы уверены, что прога, которая шифрует ваши данные - не зловред? Можно было бы ещё доверять проге, которую ты сам наваял и которую ты сам апгрейдишь. Это - идеал. Но, думаю, что 99% посетителей данного форума этого сделать не смогут. Можно чисто случайно скачать прогу, которая будет сканировать ваши носители на предмет наличия искомой инфы.
2. Опять-таки, от зашифрованного контейнера пароль нужно где-то хранить в незашифрованном виде. И в чём тогда смысл от шифрования? Всё всё равно не зашифруешь. Можно, конечно, хранить инфу в виде QR - кода. Но это значит опять взаимодействовать с программным обеспечением, нуждающимся в доверии. + риски устаревания кода, неудобство работы с ним, необходимость вводить код в разные носители и т.д. Можно запоминать пароль от зашифрованного контейнера и нигде его не записывать. Но если вы забудете этот пароль, то можете сказать своим средствам "давай до свидания!".
Quote
В том -то и дело что в случае если мы пользуемся каким-то пароль менеджером мы все равно используем третье лицо. Опасность в том что при взломе программы злоумышленник получает доступ ко всем нашим паролям. Таким образом мы полагаемся не на себя, а на добросовестность разработчиков, а это уже уязвимость в нашей безопасности.

Но задумайтесь, даже если кто то получит доступ к вашим приватным ключам, он не сможет ими воспользоваться если вы заранее добавите в них, то чего там быть не должно. При этом знать что является лишним в ключе можете только вы. Таким образом это уменьшит уровень централизации в вашей безопасности чем в разы ее усилит .

Читаете мои мысли). Добавлю, что чел, который уважает себя и свои средства никогда не будет использовать шифрование в качестве монометода защиты. Это не по тру-криптански, не по шифропанковски.) Тот, кто готов к путешествию к битку на 100 000, должен использовать тру-методики, хардкор. Хотя, на самом деле, эркография не так сложна и не так неудобна, как может показаться на первый взгляд. Более того, по соотношению надёжность/удобство  - это лучшая методика из известных мне. Пытаюсь узнать хоть какую-то приемлемую альтернативу, но ничего не вижу.
hero member
Activity: 1708
Merit: 651
SmartFi - EARN, LEND & TRADE
Quote
Почему бы просто не использовать простые хранилища паролей, пусть даже с минимальными шифрованиями типа добавления 3х лишних цыфр и буквы к каждому паролю ? Я пока про эти палки яды и витамины перечитал все перемешалось, как вам удается держать это все в голове ?
3 лишние цифры и буквы - это и есть "яд". То есть то, что нужно убрать из модифицированного пароля (приватника, сида, пин-кода и т.д.), чтобы он стал валидным. Витамин - это то, что нужно добавить к паролю, чтобы он стал валидным. Всё просто. Если у вас на приватнике 0.001 битка, то, конечно, не стоит особо заморачиваться. Можно вообще ничего не шифровать и не прятать. Начиная с суммы в 0.1 битка следует, по-моему, уже заставить себя заморочиться. Что вы подразумеваете под "простым хранилищем паролей"?
Ну есть же множество разнообразных менеджеров паролей, например LastPass. Вот на хабре подетальнее инфа https://habr.com/ru/post/357192/ это правда список топовых, но там о каждом хорошо расписано

В том -то и дело что в случае если мы пользуемся каким-то пароль менеджером мы все равно используем третье лицо. Опасность в том что при взломе программы злоумышленник получает доступ ко всем нашим паролям. Таким образом мы полагаемся не на себя, а на добросовестность разработчиков, а это уже уязвимость в нашей безопасности.

Но задумайтесь, даже если кто то получит доступ к вашим приватным ключам, он не сможет ими воспользоваться если вы заранее добавите в них, то чего там быть не должно. При этом знать что является лишним в ключе можете только вы. Таким образом это уменьшит уровень централизации в вашей безопасности чем в разы ее усилит .
jr. member
Activity: 31
Merit: 23
Quote
Почему бы просто не использовать простые хранилища паролей, пусть даже с минимальными шифрованиями типа добавления 3х лишних цыфр и буквы к каждому паролю ? Я пока про эти палки яды и витамины перечитал все перемешалось, как вам удается держать это все в голове ?
3 лишние цифры и буквы - это и есть "яд". То есть то, что нужно убрать из модифицированного пароля (приватника, сида, пин-кода и т.д.), чтобы он стал валидным. Витамин - это то, что нужно добавить к паролю, чтобы он стал валидным. Всё просто. Если у вас на приватнике 0.001 битка, то, конечно, не стоит особо заморачиваться. Можно вообще ничего не шифровать и не прятать. Начиная с суммы в 0.1 битка следует, по-моему, уже заставить себя заморочиться. Что вы подразумеваете под "простым хранилищем паролей"?
Ну есть же множество разнообразных менеджеров паролей, например LastPass. Вот на хабре подетальнее инфа https://habr.com/ru/post/357192/ это правда список топовых, но там о каждом хорошо расписано
hero member
Activity: 1708
Merit: 651
SmartFi - EARN, LEND & TRADE
Не видел еще такого извращенного извращения, извините за выражение. Не проще ли использовать шифрование со скрытым контейнером и безопасно и надежно и точно так же надо хранить в голове два пароля. Да и потом не стоит забывать что таких паролей и сервисов куда потребуется вводить пароль сотни.


В области безопасности хранения информации есть одно золотое правило: «Чем сложнее - тем безопаснее»
На первы взгляд метод действительно не прост в освоении, но это самое оно для тех кто хочет железобетонную безопасность.
jr. member
Activity: 110
Merit: 3
Не видел еще такого извращенного извращения, извините за выражение. Не проще ли использовать шифрование со скрытым контейнером и безопасно и надежно и точно так же надо хранить в голове два пароля. Да и потом не стоит забывать что таких паролей и сервисов куда потребуется вводить пароль сотни.
legendary
Activity: 2660
Merit: 3710
Вы в курсе, что сиды могут состоять из разного количества слов?
Я в курсе. Еще знаю что есть 2048 слов, которые там используются, и там может не оказаться твоих. А еще в курсе что если есть основная часть сида, то остаток можно подобрать, и вообще сид фраза имеет свойство преобразовываться.

Чем натуральнее будет выглядеть пароль, тем сложнее его будет взломать. Имхо.

Мне кажется вот соответствующая тема для обсуждения: https://bitcointalksearch.org/topic/m.51028912
Так я выше уже писал об этом. Яд для сида как раз-таки и составляется из валидных слов из аутентичного списка. Как злоумышленник узнает, какая часть из найденного им сида - "основная"? (а какая - "ядовитая"?)А какая - недостающая? ("витамин"). Он просто будет располагать невалидным сидом (разной возможной формы). Но как сделать так, чтобы этот конкретный невалидный сид сделать валидным - сказать невозможно.
Quote
Мне кажется вот соответствующая тема для обсуждения: https://bitcointalksearch.org/topic/m.51028912
Моя тема довольно сильно отличается от этого. БТ не позволяет делать длинные названия в связи с чем тема названа не совсем правильно. Я пишу о сокрытии любой приватной инфы, не только паролей и притом одним оригинальным методом. Попробую изменить названия топика, чтобы не сбивать с толку людей.
full member
Activity: 938
Merit: 159
надежный пароль должен быть достаточно длинным и содержать цифры, символы и специальные символы
full member
Activity: 468
Merit: 146
Вы в курсе, что сиды могут состоять из разного количества слов?
Я в курсе. Еще знаю что есть 2048 слов, которые там используются, и там может не оказаться твоих. А еще в курсе что если есть основная часть сида, то остаток можно подобрать, и вообще сид фраза имеет свойство преобразовываться.

Чем натуральнее будет выглядеть пароль, тем сложнее его будет взломать. Имхо.

Мне кажется вот соответствующая тема для обсуждения: https://bitcointalksearch.org/topic/m.51028912
legendary
Activity: 2660
Merit: 3710
Простыми словами получается:
1. Добавление известной только тебе уникальной комбинации в пароль.
2. Убавление известной только тебе уникальной комбинации из пароля.
3. Хранение 2 частей пароля в 2 разных местах с одним и тем же количеством символов.
В целом верно. Но ни яд, ни витамин не обязательно должен быть равен по длине чему бы то ни было. Их длину можно делать любой.
Quote
Все хорошо, но если уж мы говорим, что лист или файл могут быть украдены, то и «яд» этот тоже никуда записывать нельзя. Только в голове, на свой страх и риск забыть.
Можно записывать. Я уже писал выше, но недостаточно подробно, видимо. Писать можно и нужно, иначе, действительно, это можно потерять. Но этот файл нужно хорошенько спрятать на отдельной флешке среди большого количества мусорных файлов. Озаглавить каким-нибудь непримечательным названием. И в сам текст в файле набирать иносказательно, замаскировав его под какой-нибудь отчёт, например. Но, конечно, в самом тексте файла должны быть намёки, то есть подсказки, понятные вам, но непонятные непосвящённому.
Quote
Плюс добавление/удаление годится только для паролей, в которых может изначально использоваться любое количество символов(т.е. не для сида) и должно иметь 100 процентную уникальность, чтобы избежать возможной комбинации в изначально сгенерированном пароле.

Этот метод подходит для запутывания любой секретной инфы, в том числе и для сида. Вы в курсе, что сиды могут состоять из разного количества слов? Из 12, 15, ... 24. Да даже если бы это было не так, то это всё равно ничего не меняет. То есть вы можете взять сид из 12 слов и залить его ядом из 50 слов. Конечно, теоретически злоумышленник поймёт, что этот гигантский сид недействителен. Вот только какая его часть недействительна, а какая действительна? А может часть этого пароля (витамин) вообще скрыта? Как он об этом узнает? Скорее всего, он подумает, что это один большой артефакт. То же самое касается приватных ключей. Они имеют более-менее фиксированную длину, но это не значит, что запутывая его, вам обязательно нужно делать его стандартной длины. Уберите из него витамин и или залейте сколь угодно большим ядом. Хоть на 1000 символов. Главное, сами потом не забудьте где яд, а где не яд.
full member
Activity: 468
Merit: 146
Простыми словами получается:
1. Добавление известной только тебе уникальной комбинации в пароль.
2. Убавление известной только тебе уникальной комбинации из пароля.
3. Хранение 2 частей пароля в 2 разных местах с одним и тем же количеством символов.

Все хорошо, но если уж мы говорим, что лист или файл могут быть украдены, то и «яд» этот тоже никуда записывать нельзя. Только в голове, на свой страх и риск забыть. Плюс добавление/удаление годится только для паролей, в которых может изначально использоваться любое количество символов(т.е. не для сида) и должно иметь 100 процентную уникальность, чтобы избежать возможной комбинации в изначально сгенерированном пароле.
jr. member
Activity: 380
Merit: 1
Если бы это еще многочисленными + отзывами проверено было,я бы начала это применять.Пока только рекламу вижу..
legendary
Activity: 2660
Merit: 3710
Вау, все конечно круто маестро, разве, что только  у новичка взорвется мозг от такого потока инфы. С другой стороны и топик не для них (вряд ли кому-то из них придется настолько парится с хранением своей информации) .
Я думаю, что мы стоим на пороге долгого бычьего рынка внутри которого стоимость крипты даже у новичков будет расти. В связи с этим важно не потерять свои запасы. Даже если у новичка есть 0.1 битка - кто знает, сколько эта сумма будет стоить через пять лет? Многие новички психологически не готовы к тому, что в их руках будет постепенно концентрироваться стоимость. Возможно даже, что к своим выросшим в цене активам они будут относиться также небрежно, как и сейчас, когда их активы стоят не так уж и много. Просто поймите, что в Америке началась программа количественного смягчения, которая продлится ещё достаточно долго и которая будет заливать мировой рынок долларовой ликвидностью. В этих условиях стоимость национальных валют также будет снижаться и , скорее всего, опережающими темпами. К чему я? Даже у новичков сейчас есть шанс. Но будет обидно потерять свои средства из-за недостаточных мер безопасности, не правда ли? Я считаю, что меры безопасности в отношении своей приватной инфы должны быть настолько железобетонными, чтобы вы всегда были уверены в сохранности своих средств. В идеале, даже если потеряете флешку с паролями.
member
Activity: 332
Merit: 15
Вау, все конечно круто маестро, разве, что только  у новичка взорвется мозг от такого потока инфы. С другой стороны и топик не для них (вряд ли кому-то из них придется настолько парится с хранением своей информации) .
legendary
Activity: 2660
Merit: 3710
Quote
Почему бы просто не использовать простые хранилища паролей, пусть даже с минимальными шифрованиями типа добавления 3х лишних цыфр и буквы к каждому паролю ? Я пока про эти палки яды и витамины перечитал все перемешалось, как вам удается держать это все в голове ?
3 лишние цифры и буквы - это и есть "яд". То есть то, что нужно убрать из модифицированного пароля (приватника, сида, пин-кода и т.д.), чтобы он стал валидным. Витамин - это то, что нужно добавить к паролю, чтобы он стал валидным. Всё просто. Если у вас на приватнике 0.001 битка, то, конечно, не стоит особо заморачиваться. Можно вообще ничего не шифровать и не прятать. Начиная с суммы в 0.1 битка следует, по-моему, уже заставить себя заморочиться. Что вы подразумеваете под "простым хранилищем паролей"?
jr. member
Activity: 31
Merit: 23
~snip

Согласен с вами. Я немного не верно выразился. Заморачиваться, я считаю, стоит в любом случае, сколько бы не великими были ваши ценности. Однако по соотношению затрат времени к результату, есть более простые схемы предоставляющие удовлетворительный уровень безопасности. В любом случае спасибо за проделанную работу.
Возможно я как нибудь опробую вашу методику. А пока подождем отзывов от комьюнити.  Wink
Поделитесь с более простыми схемами). Будет интересно сравнить. Может быть, я что-то для себя полезное почерпну. В конце концов, мы все заинтересованы в удобных схемах безопасности для защиты своих персональных приватных данных.
Почему бы просто не использовать простые хранилища паролей, пусть даже с минимальными шифрованиями типа добавления 3х лишних цыфр и буквы к каждому паролю ? Я пока про эти палки яды и витамины перечитал все перемешалось, как вам удается держать это все в голове ?
legendary
Activity: 2660
Merit: 3710
~snip

Согласен с вами. Я немного не верно выразился. Заморачиваться, я считаю, стоит в любом случае, сколько бы не великими были ваши ценности. Однако по соотношению затрат времени к результату, есть более простые схемы предоставляющие удовлетворительный уровень безопасности. В любом случае спасибо за проделанную работу.
Возможно я как нибудь опробую вашу методику. А пока подождем отзывов от комьюнити.  Wink
Поделитесь с более простыми схемами). Будет интересно сравнить. Может быть, я что-то для себя полезное почерпну. В конце концов, мы все заинтересованы в удобных схемах безопасности для защиты своих персональных приватных данных.
hero member
Activity: 1708
Merit: 651
SmartFi - EARN, LEND & TRADE
~snip

Согласен с вами. Я немного не верно выразился. Заморачиваться, я считаю, стоит в любом случае, сколько бы не великими были ваши ценности. Однако по соотношению затрат времени к результату, есть более простые схемы предоставляющие удовлетворительный уровень безопасности. В любом случае спасибо за проделанную работу.
Возможно я как нибудь опробую вашу методику. А пока подождем отзывов от комьюнити.  Wink
legendary
Activity: 2660
Merit: 3710
Яды, витамины, антивитамины.. все выглядит слишком мудрено. Ни в коем случае не сомневаюсь в эффективности данной методики при ее использовании, ввиду ее безумной сложности.
А вот пригодится она, наверное, только единицам с данного форума. Те кто владеют действительно секретной информацией, и так знают как ее хранить, а вот обычному  пользователю подобная методика едва ли подойдет .
Спасибо за отзыв. Странно, что она показалась вам мудрёной. В самом её описании я писал, что есть разные её виды. Например, формат инфа+яд. Причём, яд можно сделать простым для составления, но сложным для распутывания. Скажем, одиночный яд, добавляемый в конце пароля или приватника. Это имеет смысл делать если сумма, которая хранится на приватном ключе - небольшая. Тогда, действительно, нет особого смысла заморачиваться. Касаемо того, есть ли на форуме люди, обладающие минимальными ценностями... не буду ничего утверждать. Даже голосовалка бы не сказала всей правды.Но начиная с суммы в 1 биткойн,  я думаю, уже стоит заморочиться. Ведь в будущем это может быть уже значительная сумма. Не оставляйте свои ценности на волю случая. Бережённого бог бережёт, сказала монашка, надевая на свечку презер....
hero member
Activity: 1708
Merit: 651
SmartFi - EARN, LEND & TRADE
Яды, витамины, антивитамины.. все выглядит слишком мудрено. Ни в коем случае не сомневаюсь в эффективности данной методики при ее использовании, ввиду ее безумной сложности.
А вот пригодится она, наверное, только единицам с данного форума. Те кто владеют действительно секретной информацией, и так знают как ее хранить, а вот обычному  пользователю подобная методика едва ли подойдет .
legendary
Activity: 2660
Merit: 3710
ПРИЛОЖЕНИЕ.

1.    Использование схемы для запутывания ПИН-кодов.
Есть ПИН-коды разной длины; для примера возьмём 6 значный случайный ПИН-код. Например, такой:
548264
Отщипываем часть бревна для создания витамина:
548 – бревно без витамина, 264 - витамин
Создаём простой яд:
374957
Соединяем бревно с ядом:
548374957

Присоединяем к витамину антивитамин 508364,
Получается витаминный комплекс (витамин+антивитамин):
264508364
Витаминный комплекс следует хранить в отдельном файле (флаконе).
Создаём перед паролем  намёк:
Старик Хоттабыч показал Вольке яд и витамины.

 Можно ещё более завуалировано:
Старик Хоттабыч чуть не отравился. Волька принёс лекарства и антидот.

Или:
Василий Иванович схватился за живот (намёк на яд). Петька отпоил его лекарством (намёк на витамин). Анка всё испортила (намёк на антивитамин).
2.   Приватные ключи и другая похожая на них инфа – например, публичные ключи, запутываются, в целом, аналогично ПИН-кодам, поэтому не имеет смысла специально на них останавливаться.
3.   Разберём поподробней случай с запутыванием сидов (seeds).
Сгенерируем случайный Сид, например, такой:                                  
midnight certain turkey prefer rate wealth replace boy plate near bargain hurt syrup clinic tooth rookie neither grocery island insect waste gloom catch number

Здесь 24 слова. Последние 12 слов возьмём в качестве витамина и удалим их из тела бревна:            
syrup clinic tooth rookie neither grocery island insect waste gloom catch number


Это наш витамин. А первая часть изначального Сида – это бревно: midnight certain turkey prefer rate wealth replace boy plate near bargain hurt

Теперь добавим яд к бревну и к витамину (это уже будет антивитамин).
Можно выбрать абсолютно случайные яды, так безопасность Сида будет больше. Но можно (чтобы не запутаться) придумать яды с «особыми приметами». Например, из особо длинных или особо коротких слов, слов начинающихся на определённые буквы и т.д.
Здесь мы не будем заморачиваться и создадим более безопасную версию – случайные яды.
1.   Яд для бревна (яд для начала фразы и для конца фразы):

  zone slide sphere valid false hungry
             call deliver olympic hill chief radio
2.   Яд для витамина (антивитамин)   (яд для начала и конца):
bargain spend idle grain exist body
            farm song sad crumble flower canyon


В итоге, наш Сид в запутанном виде будет выглядеть так:

zone slide sphere valid false hungry
 midnight certain turkey prefer rate wealth replace boy plate near bargain hurt
call deliver olympic hill chief radio
Здесь я разные части фразы выделил цветом для наглядности, хотя в оригинальном файле выделения цветом не будет для безопасности. Это будет сильно запутанный и неработающий для злоумышленника Сид.

Витамин, снабжённый ядом, будет хранится в отдельном файле.
bargain spend idle grain exist body  syrup clinic tooth rookie neither grocery island insect waste gloom catch number farm song sad crumble flower canyon


 Желательно хранить его на другой флешке, в запароленном виде и, лучше всего, среди множества «мусорных» файлов. Пароль от этого файла может храниться в явном виде, даже на этой же флешке, но в отдельном файле, не привлекающем к себе внимания. Желательно, чтобы он был озаглавлен как-то иносказательно, типа «секрет от весёлой фермы» или «орфограммы для русского языка». На этом всё, желаю успехов в сокрытии своей секретной информации!

legendary
Activity: 2660
Merit: 3710
Топик посвящён защите секретной информации разного рода – паролей, приватных ключей, парольных фраз (seeds), ПИН-кодов.
Актуальность проблемы.

 Тема достаточно актуальна, ибо всем нам приходится хранить и содержать в секрете ту или иную информацию. Между тем уровень защищённости её, на мой взгляд, в большинстве случаев недостаточный. Хорошо когда пароли и сиды хранятся на съёмном носителе. Хорошо, если сделаны бэкапы флешки в несколько экземпляров; когда бэкапы регулярно обновляются. Ещё лучше, когда содержимое флэшки зашифровано и пароль достаточно сильный. Но тут сразу встают интересные и нетривиальные вопросы. А где хранить и как шифровать пароль от зашифрованного контейнера? Нигде, только в памяти? А если пароль забудется? Или создавать для этого пароля отдельный контейнер? Тогда его тоже придётся паролить и где тогда этот ещё один пароль хранить? А самое главное: пользуясь программным продуктом, который создали не вы сами, как вы можете быть уверены в безопасности ваших средств, которые вы доверяете  на хранение этому коду? А если код содержит вредоносные компоненты? Что, если ваши приватные данные попадут в руки владельца вредоносного кода? Я вам расскажу о системе, которая максимально затруднит злоумышленнику использование вашей секретной информации даже если она попадёт к нему в руки. У вас всегда будет время для того, чтобы предпринять дополнительные меры в отношении этой информации.
     В этом топике пойдёт речь о
DERK – схеме, с помощью которой вы сможете придать дополнительную и, самое главное, очень сильную безопасность вашей секретной информации.

     DERK–схема  -  это нечто среднее между шифрованием и классической стеганографией, но при этом не является, строго говоря, ни тем, ни другим (хотя на стеганографию похоже больше). При этом данная схема, тем не менее, отлично сочетается и с тем и с другим. Я даже рекомендую сочетать её и с тем и с другим.
     Ключевые элементы  в схеме:
 намёк, бревно, яд, витамин, антивитамин. Далее, по ходу описания, я поясню значение этих терминов.
     Сама схема состоит из 3-х основных элементов: яда, витамина и антивитамина в разных сочетаниях. Есть разные модификации этой схемы: по уровню сложности, по направленности на тот или иной тип сохраняемой информации. Далее я в основном буду делить схему по уровню сложности: 1, 2, 3. Первый уровень сложности бывает 2-х видов:1Я или 1В. Разные уровни нужны для того, чтобы предоставлять пользователю инструменты  различной сложности в зависимости от ценности сохраняемой информации. Скажем, если у вас на сиде лежит маленький объём средств, то вряд ли имеет смысл слишком сильно заморачиваться. Подойдёт схема 1 уровня – 1Я или 1В, в зависимости от вашего вкуса. Если объём средств посерьёзнее, то имеет смысл заморочиться со схемой 2-го уровня (Я+В). А если вы биткойновый кит, то вам подойдёт третий уровень (Я+В+АВ).
  Теперь подробнее остановимся на модификациях этой схемы (уровнях сложности). И всё это вместе можно застеганографировать и зашифровать. Пароль от шифра тоже деркуем в отдельном файле и стеганографируем, но уже не шифруем.
 

1.DERK-1Я. Секретная информация (бревно) + яд. Бревно – это информация, подлежащая сокрытию. Яд – это последовательность символов, добавляемая к исходной информации (бревну), которая делает эту исходную информацию невалидной, недействительной. Иными словами, для того, чтобы заработал пароль или приватный ключ, нужно освободить их от яда. Секретная информация, в которую добавлен яд, должна быть помечена
 намёком. Намёк – это особая иносказательная оговорка, которая стоит перед секретной информацией и предупреждает владельца о том, что бревно изменено, оно « с секретом». Иначе, если забудете оставить такую пометку, то можете сами забыть, что пароль изменён или забудете, как распознать яд. В качестве намёка может быть любая фраза, которая натолкнёт вас на то, что секретная инфа ниже – с секретом и чтобы ею воспользоваться, нужно убрать яд. Например: гнилые брёвны непригодны для заготовки. Или: стрелы, смазанные кураре. Да всё, что угодно, что насторожит вас и заставит вспомнить, что этот пароль или приватник – необычный.
Графиня изменившимся лицом бежит пруду.

    Яд- это один из основных  компонентов (наряду с витамином) DERK – схемы. Перед использованием из бревна яд удаляется. Есть разные типы ядов в зависимости от уровня сложности и уровня задачи, которую они решают. Простейший яд – это несколько символов, добавляемые в конец пароля и делающие его недействительным. Яд посложнее – это яд, добавляемый не только в конец бревна, но и в начало. Ещё более сложный яд – длинные последовательности символов, добавляемые в разные места пароля ( в начало, середину и конец). Прежде, чем применять яд, вы должны создать систему генерации яда. То есть вы должны безошибочно определять сами, где в пароле оригинальные, «деревянные» символы, а где токсично – ядовитые. Это могут быть ключевые слова, цифры, знаки препинания, целые фразы.Они могут даже быть записаны задом наперёд и с ошибками. Но  они должны для вас чем-то отличаться от остального текста. В качестве источника ключевых фраз и слов можно брать те или иные художественные произведения, например, сказки. Ключевые слова из какой-нибудь сказки будут для вас ядом. Или персонажи какой-нибудь игры. Или термины из феншуя. Или элементы из системы Менделеева, расположенные в одном каком-то периоде. Или… в общем, полёт фантазии ничем не ограничен. Главное – он должен быть уникальным для вас и ничего не говорящим для потенциального злоумышленника. Приведу простейший пример. Есть пароль:
Fp&78&695_%Gnmud;&?87593АкРО8
Это относительно безопасный пароль. Но что, если его обнаружит злоумышленник? Скажем, флешка или блокнот с паролем попадёт к нему в руки? В таком случае, он сможет легко им воспользоваться. Возьмём  простейший яд:

Drink beer red Bull. Усовершенствуем этот яд, убрав из него гласные:
Drnkbr     rdBl l   и добавим его в начало и конец пароля:
DrnkbrFp&78&695_%Gnmud;&?87593АкРО8rdBll
Мы получили простейший ядовитый пароль для умеренно значимой информации. Этот яд я привёл для простоты; в реальных случаях его можно и нужно делать длиннее и сложнее, если информации сильно ценна.
   Ещё раз просуммируем правила повышения сложности яда:
1. Добавляем яд не только в конце, но и в начале и в середине бревна.
2. Яд разделяем на большое количество групп и вставляем на всё протяжении бревна. Такой яд резко повышает безопасность пароля, но создаёт затруднения при очистке пароля перед употреблением. Использовать только для высокоценной приватной инфы.
3. Увеличить длину яда. Относительно несложный приём и качественный.
4. Увеличить хаотичность яда. При этом его распознавание затрудняется и  поэтому придётся поработать над его запоминанием или, лучше, запомнить начало и конец ядовитого фрагмента. Ну или придумать такой ядовитый фрагмент, который легко запоминать или определять его начало и конец.
      Теперь ещё раз перечислим требования к яду в схеме DERK-1:
1.   Яд должен быть таким, чтобы владельцу пароля легко было догадаться, какие фрагменты пароля ядовиты, а какие нет.
2.   Для злоумышленника ядовитые фрагменты ничем не должны принципиально отличаться от неядовитых.
3.   Для вас должна существовать схема генерации яда, то есть схема, облегчающая нахождение яда в секретной информации.
  Если вам сложно эту систему запомнить, то она, во всяком случае на первое время, должны быть записана на бумаге или в электронный файл на другой флешке. Я в качестве яда использую слова малоизвестного языка. На этом языке я составляю намёк, а также использую его в качестве одного из источников для яда. В яде я использую эти слова задом наперёд, с орфографическими ошибками и особым образом перемежаю их цифрами и спецсимволами.

II. Derk-1в. Секретная информация (бревно) + витамин.

Эта схема принципиально отличается от 1Я. Здесь используется иной вид маскировки и вводится элемент под названием «витамин». Что такое витамин?
   Витамин – это последовательность символов, которая отсутствует в секретной информации, но которую необходимо добавить в неё для того, чтобы она стала валидной. Естественно, что витамин (если речь не идёт о каком-то простом и неответственном случае) должен храниться отдельно от основного «бревна».
 Есть несколько разных типов витаминов:
- Одиночный короткий витамин, добавляется в конце (простейший витамин).
-То же, но добавляется вначале, либо в середине пароля.
- То же, но витамин – длинный.
- Несколько витаминов.
    Правила составления витаминов:

1.   Витамин – Это часть сложного пароля (бревна), который, в то же время, сам должен быть существенно сложным паролем (бревном).
2.   Лучше всего хранить витамины в отдельном файле – «флаконе».
3.   Сам «флакон» тоже можно запаролить.
4.   Если ваша секретная инфа (приватники, сиды) не хранит много средств (но, в то же самое время, их было бы жалко потерять), то можно придумать один витамин для нескольких брёвен. В ответственных случаях лучше использовать индивидуальные витамины.
5.   В простых случаях витамин добавляется в конец пароля (бревна), в ответственных – в разных местах или по какой-либо схеме (в том числе может быть несколько витаминов).
Рядом с паролем (бревном) должен быть намёк
6.   – который в иносказательной форме должно предупреждать вас о том, что бревно нуждается в витамине. Если намёка не будет, то вы можете забыть о необходимости вставить витамин и будете безуспешно пытаться использовать эту инфу.

Схема DERK-2. Секретная информация + яд + витамин.
Здесь принцип тот же, что и предыдущих вариантах, просто наблюдается комбинация разных элементов. Применяется для сокрытия инфы повышенной ценности.

 Схема DERK-3. Секретная информация + яд + витамин + антивитамин.

Это ещё более сложный, «параноидный» уровень. Применяется для сокрытия особо крупных капиталов, особо ценных ресурсов или для самоуспокоения людей с параноидной психикой. На мой взгляд, даёт очень надёжную защиту. Но здесь главное не забыть все особенности безопасности этой схемы. Здесь помимо стандартных элементов безопасности добавляется такая вещь, как «антивитамин». Что такое антивитамин?
 Антивитамин – это яд для витамина. Иными словами, для того, чтобы воспользоваться витамином, из него сначала нужно убрать собственный яд. Правила составления яда для витамина точно такие же, как и для обычного бревна. Единственно, яд для бревна и яд для витамина должны быть разными. Желательно также, чтобы все компоненты этой схемы хранились в разных «флаконах». Чтобы не забыть и не запутаться в элементах этой схемы, периодически следует использовать секретную инфу, извлекая её из этих элементов безопасности.
Это – краткое описание элементов схемы.
Jump to: