Društvo| Gradjanske inicijative| IT| Tehnologija

eSvirala - elektronska zaštita identiteta whistleblower-a

Goran Vučković RSS / 23.10.2010. u 22:36
Kad posle toga prođe neko vreme, ali iz one jame nikla zova i tri pruta narasla lepa i prava kao sveća. Čobančad, kad nađu zovu, odseku jedan prut i od njega načine sviralu, ali kad počnu svirati, svirala izdaje glas:
"U cara Trojana kozje uši!"
 
Ovo je još jedan blog o eUpravi. Tema su uzbunjivači (radni prevod reči "whistleblower" od strane Kancelarije poverenika za informacije od javnog značaja) i elektronska zaštita njihovog identiteta.
 
Savet Evrope je izdao preporuke o zaštiti uzbunjivača koje se uglavnom tiču prilagođavanja zakonodavstva - da se pravno zaštiti uzbunjivač u slučaju da ga npr. otpusti poslodavac čijeg je rukovodioca uzbunjivač prijavio zbog protivzakonite aktivnosti i slično.
 
Ovaj tekst se bavi drugom temom - mehanizmom koji bi omogućio da uzbunjivač preda kompromitujuću informaciju državnim organima (ili je izloži javnosti), kroz proceduru u kojoj ne otkriva svoj identitet nikome (ni jednom pojedinačnom državnom službeniku, novinaru i slično) - osim informacionom servisu državne uprave za zaštitu identiteta uzbunjivača. Ovaj servis će identitet uzbunjivača sačuvati u formi koja zahteva proceduru u kojoj je potrebno da svoj pristanak za objavljivanje identiteta da određen broj ovlašćenih lica (npr. 3 od 9). Radni naziv za ovaj servis u nastavku teksta je "servis eSvirala" (koji bi, na primer, mogao biti javno dostupan preko adrese poput https://www.esvirala.gov.rs).
 
Uzbunjivač će od servisa eSvirala moći, u "zamenu" za svoj identitet verifikovan ličnom kartom sa čipom (ključem za autentikaciju), dobiti e-vaučer - niz slučajno generisanih slova i brojeva (npr. nešto kao "X1F9R-20GM5-AL7BB"). Ovaj podatak uzbunjivač onda može iskoristiti, umesto svog identiteta, da preda poruku nadležnom državnom organu. Radni naziv za ovaj e-vaučer u daljem tekstu će biti "eSvirala". Uzbunjivač može tražiti i dobiti proizvoljan broj eSvirala i ne mora iskoristiti ni jednu, a eSvirale će imati rok važenja koji je npr. minimum 12 meseci.
 
Kada uzbunjivač reši da izvrši prijavu nezakonitosti, prijaviće se na bezbednu web stranicu državnog organa za ovu namenu (recimo MUP ili republičkog javnog tužioca, ili stranicu koju portal eUprava hostuje za ove institucije), odabrati iz liste instituciju/službu kojoj prijavljuje nezakonitost - i uneti eSviralu i email adresu koju je za tu priliku registrovao na nekom sistemu za hosting elektronske pošte. Radni naziv za ovaj servis za prijavljivanje nezakonitosti u nastavku teksta je "servis eUzbunjivač".
 
Po potvrdi unosa, servis eUzbunjivač će kroz mrežu državnih organa kontaktirati servis eSvirala i zatražiti validaciju eSvirale koju je uzbunjivač predao. U slučaju da je eSvirala ispravna i do sada nije bila upotrebljavana, servis eSvirala će obeležiti predatu eSviralu kao upotrebljenu i obavestiti servis eUzbunjivač da može da nastavi sa procedurom. Inače će servis eUzbunjivač dobiti informaciju da je eSvirala neispravna i javiti to uzbunjivaču.
 
U slučaju da je eSvirala ispravna, servis eUzbunjivač će otvoriti i zavesti elektronski "predmet" za predatu eSviralu i na priloženu email adresu poslati delovodni broj predmeta i informacije o tome kako uzbunjivač treba dalje da postupa po ovom predmetu. U toj i svim kasnijim porukama koje se šalju na registrovanu adresu uzbunjivača će se predmet jedino i isključivo pominjati po delovodnom broju - eSvirala kojom je proces započet nikad neće biti poslata na ovaj način.
 
Jednom kada dobije elektronsku poruku, uzbunjivač će dalje moći, upisom eSvirale i delovodnog broja, dostavljati jednu ili više poruka ili datoteka (dokumenata, fotografija, zip arhiva) u vezi sa predmetom. Nadležni organ će informacije o toku procesa slati uzbunjivaču elektronskom poštom - ili, u slučaju da je potrebno obezbediti visoku poverljivost, elektronskom poštom poslati identifikator poruke, koju će uzbunjivač moći da vidi unosom eSvirale i identifikatora poruke koji je poslat elektronskom poštom.
 
Zakonom ili podzakonskim aktom će biti definisana prava uzbunjivača u slučaju da predmet ne bude obrađen u definsanom roku (na primer, da uzbunjivač ima pravo da na Internetu anonimno objavi delovodni broj koji je dobio i dokumenta koja je predao).
 
Otkrivanje identiteta bi podrazumevalo proceduru u kojoj određen broj državnih funkcionera iz sve tri grane vlasti (npr. sudije, službenici MUP i članovi odgovarajućeg odbora narodne skupštine) zaduže smart-kartice funkcionalnosti slične onoj koju imaju lične karte građana. Zamislimo da odbor od ukupno 9 članova (po tri iz svake grane vlasti) zaduži kartice. Izdavanje eSvirale bi izazvalo formiranja predmeta sa brojem eSvirale koji sadrži lične podatke o građaninu (ime i prezime, JMBG), šifrovane tako da je neophodno da po jedan (bilo ko) iz svake od tri grupe iz tri grane vlasti učestvuje u procesu dešifrovanja eSvirale, aktiviranjem svoje kartice PIN-om, slično kao što se sada dobija usluga eUprave na bazi lične karte sa čipom. Ova procedura bi bila regulisana zakonom ili podzakonskim aktom, izvedena na definisanom mestu, pod nadzorom, uz potpis svih učesnika u delovodni protokol "otvaranja identiteta".
 
U slučaju da se u postupku utvrdi da je uzbunjivač namerno predao lažne informacije, na njega bi se primenjivale iste odredbe kao u slučaju krivokletstva pred sudom.
 
Mere bezbednosti:
 
* Radi zaštite identiteta uzbunjivača, pristup servisima eSvirala i eUzbunjivač ne bi bio dozvoljen sa IP adresa registrovanih u Srbiji. Od uzbunjivača bi se očekivalo da koriste neki od stranih anonimizacionih servisa, na primer https://www.the-cloak.com/
 
* Iz istog razloga, email adresa za komunikaciju bi bila odbijena u slučaju da je domen registrovan u Srbiji. Od uzbunjivača bi se očekivalo da koriste neki od najraširenijih servisa elektronske pošte sa kojima se može bezbedno komunicirati i sa kojima u svakom trenutku komunicira stotine ili hiljade ljudi u Srbiji - na primer Gmail, Yahoo mail ili Hotmail.
 
* Tehnika šifrovanja koji zahteva minimalno M od N imalaca ključeva se zove "Threshold cryptography". Više informacija ovde.

* Građani bi bili pozvani preko medija da zaštite buduće uzbunjivače tako što uzmu godišnje 1-3 eSvirale, bez obzira što ih neće koristiti.


***

Kao i obično, ovaj predlog novog servisa eUprave je namenjen da provocira sve vas koji ga čitate da ga ili pokušate "oboriti" sa bezbednosne tačke gledišta (kako bismo ga usavršili), ili da ga dopunite svojim idejama.

 Možete, naravno, reći i da ovo nikad neće biti urađeno, zato što ... (npr. postoje interesi koji su protiv ovoga) - ali ja sam potpuno svestan da ovo nije jednostavno postići - pa ćete uzalud gubiti vreme na tu vrstu komentara. Osim ako ne date konkretne ideje kako bi se sve ovakve stvari mogle sabotirati i od kojih sve "zainteresovanih strana" - tj. da se poigramo popisivanja projektnih rizika :-)

Biće mi drago da učestvujem u raspravi :-)



Komentari (42)

Komentare je moguće postavljati samo u prvih 7 dana, nakon čega se blog automatski zaključava

Dragan Pleskonjic Dragan Pleskonjic 22:53 23.10.2010

Odlična ideja

Čini mi se da su dobro pokriveni i upotrebni i bezbednosni aspekti.
grakic grakic 19:32 24.10.2010

Re: Odlična ideja

Dragan Pleskonjic
Čini mi se da su dobro pokriveni i upotrebni i bezbednosni aspekti.


Šta se dešava sa zloupotrebom eSvirale i delovodnog broja? Pošto se isti čuvaju nezaštićeno (a broj je moguće i očitati ako predmet izađe u javnost), zloupotreba je moguća podmetanjem dodatnih dokumenata, inkriminišućih i po zviždača. Na taj način napadač dolazi do osnovanih razloga da razotkrije identitet zviždača, sve legalno po utvrđenoj proceduri. Videli smo nešto slično u slučaju osnivača Wikileaksa, samo on nije imao eSviralu i skriveni identitet već kraće zadržavanje u istražnom pritvoru.

Trebalo bi i ovaj element pokriti, tako da za svaku dodatnu dostavu dokumenata po delovodnom broju je potreban neki novi ključ koji samo zviždač može da zna (napravi), a sistem može da proveri.
Goran Vučković Goran Vučković 19:49 24.10.2010

Re: Odlična ideja

zloupotreba je moguća podmetanjem dodatnih dokumenata, inkriminišućih i po zviždača.

Preskočio si detalj da je za pristup potrebno uneti i eSviralu i delovodni broj - a eSvirala se nikada ne šalje u emailovima (i može uredno da bude hešovana kao lozinka ili da se na drugi način zaštiti u sistemu eUzbunjivača).

A delovodni broj, pošto je u emailu i lako ga je kopirati, uredno može da bude GUID
Goran Vučković Goran Vučković 00:14 24.10.2010

Kome treba još anonimizatora...

... evo ovde kod "braće Rusa" cela lista
Vojislav Stojković Vojislav Stojković 01:31 24.10.2010

eČvorović



Goran Vučković Goran Vučković 01:32 24.10.2010

Re: eČvorović

Vojislav Stojković

gorran2 gorran2 02:14 24.10.2010

Ako sam dobro shvatio,

radi se o rešenju-sistemu-proceduri, koja treba da omogući:

a) da je građanin jedinstveno identifikovan kad potpisuje prijavu (tj, potpisan je), i
b) da je isto tako suštinski anoniman - odnosno, njegove podatke eventualni tražilac može dobiti samo u propisanoj unapred poznatoj objektivnoj proceduri (a ne po nečijoj dozvoli ili pod pritiskom nekog autoriteta).

Odnosno, treba spojiti dobre strane istupanja pod imenom i prezimenom (tako drage Filipu M, blogeru ovdašnjem ) i dobre strane anonimnosti, a izbeći loše strane jednog i drugog.

Moram da priznam da mi se ideja veoma dopada. Blago rečeno.
Goran Vučković Goran Vučković 08:20 24.10.2010

Re: Ako sam dobro shvatio,

radi se o rešenju-sistemu-proceduri, koja treba da omogući:

a) da je građanin jedinstveno identifikovan kad potpisuje prijavu (tj, potpisan je), i
b) da je isto tako suštinski anoniman - odnosno, njegove podatke eventualni tražilac može dobiti samo u propisanoj unapred poznatoj objektivnoj proceduri (a ne po nečijoj dozvoli ili pod pritiskom nekog autoriteta).

Da, ideja je da se istovremeno dobije puna odgovornost za predate informacije (uzbunjivač se nedvosmisleno predstavlja a preti mu se tužbom za krivokletstvo u slučaju da namerno iznosi neistine) i veoma visok nivo anonimnosti u odnosu na one koji su zainteresovani da se "zahvale" uzbunjivaču - pritisak mora da se izvrši na makar tri visoka državna službenika (ili izabrana narodna predstavnika) iz raznih grana vlasti i na ključne ljude institucije koja čuva podatke, da izdaju šifrovanu verziju identiteta, van predviđenog protokola.
vagabunda vagabunda 05:51 24.10.2010

tri problema

1) fajlovi koji bi bili poslati potencijalno sadrze metadata kaji mogu direktno ili indirekto da identifikuju posiljaoca, a ne ume bas svako ovo da ocisti. npr wikileaks svaki pojedinacni fajl ocisti pre nego sto ih okace na web (doduse s obzirom da su upravo objavili par stotina hiljada dokumenata, izgleda da su automatizovali proces ).

2) nakon sto je neko 'nedelo' prijavljeno, stvar ide u ruke lokalne birokratije. god help us.

3) da bi gradjani poceli da koriste ovaj servis moraju imati poverenja u drzavu. konkretno, npr, ja bih morala da budem sigurna da drzava kontrolise svoje tajne sluzbe, i da iste rade u okviru zakona. jbg, mnogo ce vode dunavom proteci pre nego sto poverujem u tako nesto.


ono sto hocu da kazem je da je ovo korekcija viseg reda, tj. da bi se uspostavio servis poput eUzbunjivaca sistem mora vec da funkcionise sasvim solidno. u takvim uslovima whistleblowing je orudje za borbu protiv pojedinacnih akata korupcije i uopste sluzi kao mehanizam zastite od raznih bedastoca koje nuzno nastaju kao posledica funkcionisanja kompleksnog sistema, ma kako "dobar" on bio. u uslovima poput nasih mislim da nije realno da whistleblowing bude organizovan od strane drzave u nekoj iole skorijoj buducnosti.





Goran Vučković Goran Vučković 08:45 24.10.2010

Re: tri problema

Prvo: zahvaljujem na odličnom prilogu

Evo komentara:
1) fajlovi koji bi bili poslati potencijalno sadrze metadata kaji mogu direktno ili indirekto da identifikuju posiljaoca, a ne ume bas svako ovo da ocisti. npr wikileaks svaki pojedinacni fajl ocisti pre nego sto ih okace na web (doduse s obzirom da su upravo objavili par stotina hiljada dokumenata, izgleda da su automatizovali proces ).

2) nakon sto je neko 'nedelo' prijavljeno, stvar ide u ruke lokalne birokratije. god help us.

3) da bi gradjani poceli da koriste ovaj servis moraju imati poverenja u drzavu. konkretno, npr, ja bih morala da budem sigurna da drzava kontrolise svoje tajne sluzbe, i da iste rade u okviru zakona. jbg, mnogo ce vode dunavom proteci pre nego sto poverujem u tako nesto.


Što se tiče metadata: upis prostog teksta u web formu (i pomoću copy-paste) bi bio uglavnom bezbedan. Za ostalo (čišćenje word dokumenata, fotografija itd) mislim da bismo mogli da pomognemo potencijalnim uzbunjivačima - evo npr. ako ste zainteresovani da pripremite jedan blog o toj temi rado ću vas primiti kao gosta na mom blogu ili linkovati vaš blog uz "editorial". Ako ste već pisali o tome, zamolio bih za link pa ću ga ubaciti i u tekst gore.

Što se tiče lokalne birokratije: procedura je takva da bi jedna centralna služba primila predmet i dodelila ga lokalnoj birokratiji. Nad lokalnom birokratijom bi onda bila dva nivoa nadzora:

1. centralna služba i nad njom direktno ministar ili republički javni tužilac
2. sam uzbunjivač, koji će broj predmeta i predate dokumente u zakonskom roku objaviti, uz informaciju kada je predmet predat.

Ideja da informacije predaje prvo državnim organima naravno služi da poveća efikasnost gonjenja počinilaca, ali ako je državni organ spor ili nezainteresovan, malo pritiska javnosti možda pomogne.

Što se tiče poverenja: jedna od suštinskih stvari ovog protokola upravo jeste građenje poverenja - jer je protokol pravljen sa idejom da se poveća cena zloupotrebe. Na primer, pravnici koji ovo čitaju mogu da prokomentarišu kako bi se tačno kvalifikovala zloupotreba službenog položaja u kojoj tri visoka državna službenika (npr. sudija vrhovnog kasacionog suda, pomoćnik ministra unutrašnjih poslova i narodni poslanik) i služba kojoj je povereno čuvanje šifrovanih podataka (npr. republičko javno tužilaštvo ili specijalni sud u Beogradu) zloupotrebe ovaj protokol? Pretpostavljam da kvalifikacija počinje rečima "zločinačko udruživanje u cilju..."
antioksidant antioksidant 09:01 24.10.2010

Re: tri problema

Što se tiče metadata: upis prostog teksta u web formu (i pomoću copy-paste) bi bio uglavnom bezbedan.

da ali onda se postavlja pitanje validnosti takovog "neoriginalnog dokumenta"
Goran Vučković Goran Vučković 09:16 24.10.2010

Re: tri problema

da ali onda se postavlja pitanje validnosti takovog "neoriginalnog dokumenta"

Ovde postoje dve moguće vrste dojave:
- prosto davanje informacija
- dostava dokumenata

U ovom drugom slučaju bi trenutno fotografije bile najznačajnije - čak i da su na njima fotografisani/skenirani papirni dokumenti (npr. nešto ovako)- pošto se elektronski potpis još nije razmnožio, pa je verodostojnost bilo kakvog dokumenta tipa word/excel problem, čak i da mu se ne obrišu detalji iz "document properties" gde po inerciji ostaju podaci o autoru čak i kad on o tome ne razmišlja.
Dragan Pleskonjic Dragan Pleskonjic 09:29 24.10.2010

Re: tri problema

vagabunda

wikileaks svaki pojedinacni fajl ocisti pre nego sto ih okace na web


Kad već pomenu WikiLeaks, verujem da ovo nije van teme (bar ne puno ), ali je vrlo zanimljivo i aktuelno povodom toga što je WikiLeaks objavio dokumenta o ratovima u Iraku i Avganistanu. Priča se i na temu "izvora".

Osnivač WikiLeaks Julian Assange napušta CNN intervju.


grakic grakic 12:58 24.10.2010

Re: tri problema

Čini mi se da ni u svetu se nigde nije krenulo ovim putem, iako nama računardžijama jeste izuzetno zanimljiv.

Verujem da bi dovoljno bilo ohrabrivati zviždače da koriste tehnike za anonimno objavljivanje podataka i dalje prepustiti istraživačkom novinarstvu i javnosti. Postoji tu prostor i za nezavisnu nevladinu organizaciju sa volonterskom mrežom koja bi se finansirala iz donacija, a koja bi mogla da motiviše zviždače (na primer tu je http://www.pistaljka.rs).

Puno je pravno-tehničkih pitanja koje bi trebalo u ovom predloženom sistemu rešiti, a ako osnovano pretpostavimo da u nezgodnim slučajevima u regularnom postpuku organi ne bi pravovremeno reagovali po prijavi, na kraju se svodi na javno objavljivanje podataka i pritisak javnosti, kao da sistema i nema.

Ne smatram kako je suštinski bitno uvoditi sistem za kontrolu koji bi odgovornost prebacivao na zviždača. On sam nema javni uticaj da bi mogao da pokrene neku lavinu, a ako postoje interesi da se nešto napakuje, zviždač nije ni potreban.
Goran Vučković Goran Vučković 16:03 24.10.2010

Re: tri problema

Čini mi se da ni u svetu se nigde nije krenulo ovim putem, iako nama računardžijama jeste izuzetno zanimljiv.

Primeti da se cela šema bazira na digitalnom identitetu. U svetu je digitalni identitet ovog tipa (eID) i dalje prilično nova tema. U Evropi, koliko znam, prve eID kartice su puštene u Belgiji 2002. godine, pa posle par godina u Estoniji. Mislim da je ovo oblast u kojoj će se tek pojavljivati nove i nove primene.
Verujem da bi dovoljno bilo ohrabrivati zviždače da koriste tehnike za anonimno objavljivanje podataka i dalje prepustiti istraživačkom novinarstvu i javnosti. Postoji tu prostor i za nezavisnu nevladinu organizaciju sa volonterskom mrežom koja bi se finansirala iz donacija, a koja bi mogla da motiviše zviždače (na primer tu je http://www.pistaljka.rs).

Što reče u onom vicu mali Perica: "mogao je i tata, ali bik će bolje". Organizacije poput pištaljka.rs i istraživačkih novinara mogu da pomognu - ali, po meni, to je neuporedivo sa onim što može da uradi MUP i služba državne bezbednosti, ako im se daju pravi podaci (i prava motivacija). Ja bih istraživačke novinare čuvao za "reklamaciju" u slučaju da oni kojima je posao da vode istrage i sudske postupke po službenoj dužnosti pokažu inertnost ili nešto još gore. Istraživački novinar može da se bavi činjenicom zašto policija nije istražila i tužilaštvo krivično gonilo, koristeći zakon o pristupu informacijama od javnog značaja, na primer - ali ne može dobiti sudski nalog za prisluškivanje i pretres, zar ne?

Puno je pravno-tehničkih pitanja koje bi trebalo u ovom predloženom sistemu rešiti, a ako osnovano pretpostavimo da u nezgodnim slučajevima u regularnom postpuku organi ne bi pravovremeno reagovali po prijavi, na kraju se svodi na javno objavljivanje podataka i pritisak javnosti, kao da sistema i nema.

Ovde ima dva dela: ima i pravnih i tehničkih pitanja, ali mislim da ih nema puno. Bar tehničkih nema puno - ako pogledaš malo bolje obe aplikacije su izuzetno jednostavne i softver bi se mogao napisati za par meseci a ceo projekat (informatički deo) nagurati u 6-9 meseci, sa sve nabavkom opreme (uz pretpostavku korišćenja postojećeg bezbednog data centra). Za pravna pitanja verovatno treba malo više, pošto bi morale da se pripreme i izglasaju izmene zakona - ali ništa od ovoga nije previše komplikovano, pod uslovom da postoji interes da se ovo uradi. A čuj - ne zna se da li vlast ili opozicija više trubi o borbi protiv korupcije, zar ne?

Što se tiče drugog pitanja, tačno je da, ako bi u nezgodnim slučajevima nadležni organi ćutali, da bi stvar otišla u javnost - ali mislim da je krajne korektno i svrsishodno dati ovlašćenim državnim organima "fore" da upotrebe svoja ovlašćenja, pre nego što se cela priča pretvori u mehaniku za dizanje tiraža.

U ovaj proces gore verovatno treba dodati i mehaniku transparentnosti - npr. da se sve prijave uzbunjivača smatraju otvorenim za pristup u smislu podataka od javnog interesa posle 12 meseci od datuma dostave, a u međuvremenu budu dostupne parlamentarnoj komisiji koja zaseda tromesečno i ima pravo uvida u svaki predmet.

Ne smatram kako je suštinski bitno uvoditi sistem za kontrolu koji bi odgovornost prebacivao na zviždača. On sam nema javni uticaj da bi mogao da pokrene neku lavinu, a ako postoje interesi da se nešto napakuje, zviždač nije ni potreban.

Iskreno, ja ne pričam ovde o pokretanju lavine. Pričam o pokretanju zakonske procedure od strane ovlašćenih državnih organa. Procedura, način trijaže pristiglih prijava i slično je stvar organizacije službi. Ali ovde se, bar do trenutka dok se ne zaključi da "uprava ćuti", radi o pravovremenom dostavljanju informacija koje mogu da izazovu istražni postupak u punom kapacitetu.
grakic grakic 19:05 24.10.2010

Re: tri problema

Istraživački novinar može da se bavi činjenicom zašto policija nije istražila i tužilaštvo krivično gonilo, koristeći zakon o pristupu informacijama od javnog značaja, na primer - ali ne može dobiti sudski nalog za prisluškivanje i pretres, zar ne?


Da, ovaj argument je veoma dobar. Slažem se. Ja sam predlagao varijantu u kojoj posrednik (mediji, NVO) se dalje uz pritisak javnosti obraća tužilaštvu. Međutim tačno je da to može da ugrozi istragu koja bi inače bila mogla da bude sprovedena.

Postojanje ovakvog servisa daje novu mogućnost između sadašnjeg direktnog izlaska u javnost (nema anonimnosti, bilo da je javno obraćanje ili neposredna prijava tužilaštvu) ili anonimne prijave (manje ili više, zavisno od tehničke zaštite ili integriteta „posrednika“).

Pitam se ako bi se eSvirala distribuirala namenskom aplikacijom pristupom kroz Tor onion rutiranje da li bi onda izbegli potrebu prikrivanja uzimanja eSvirale? Čak i da je uzeta samo jedna ikada, niko ne može da zna gde je završila. Namenska aplikacija bi mogla da se distribuira sa google.com kroz HTTPS, što je nemoguće pratiti. Preostaje problem metapodataka ali i tu bi aplikacija mogla da odradi dobar posao.
Goran Vučković Goran Vučković 19:46 24.10.2010

Re: tri problema

Pitam se ako bi se eSvirala distribuirala namenskom aplikacijom pristupom kroz Tor onion rutiranje da li bi onda izbegli potrebu prikrivanja uzimanja eSvirale? Čak i da je uzeta samo jedna ikada, niko ne može da zna gde je završila. Namenska aplikacija bi mogla da se distribuira sa google.com kroz HTTPS, što je nemoguće pratiti. Preostaje problem metapodataka ali i tu bi aplikacija mogla da odradi dobar posao.

Pretpostavljam da stvar može da se uradi na razne načine - ali ne zaboravi da i download i instalacija aplikacije treba da se prikrije, a ja ne znam za šta se Tor trenutno koristi u Srbiji - da ne bude sama komunikacija Torom bude dovoljna indikacija. Idealno bi bilo kada ne bi morala da se radi nikakva anonimizacija i ako bi sve ostalo na najprostijem HTTPS-u.

U stvari, možda gubimo vreme oko anonimizacije - verovatno je dovoljno otići do nekog net kafea i iz njega uraditi celu stvar. Primeti da se ovde ne branimo od web servera na koji se prijavljujemo, nego od "posmatrača". A ako bi ova dva servisa bili na web sajtu tipa eUprava, onda bi sam saobraćaj prema portalu bio verovatno mnogo bolja zaštita od anonimizatora.
grakic grakic 19:56 24.10.2010

Re: tri problema

Ja ne bih poklonio to poverenje prema portalu. Dok je jasno kako se može dovoljno dobro obezbediti čuvanje identiteta i davanje eSvirale (sadržaj kroz kanal, softver na portalu, zabeleženi podaci), nisam siguran da je tako lako obezbediti i komunikacioni kanal (ko se obraća portalu). Anonimni net-kafe jeste jeftina alternativa za Tor.
Goran Vučković Goran Vučković 10:08 25.10.2010

Re: tri problema

Dok je jasno kako se može dovoljno dobro obezbediti čuvanje identiteta i davanje eSvirale (sadržaj kroz kanal, softver na portalu, zabeleženi podaci), nisam siguran da je tako lako obezbediti i komunikacioni kanal (ko se obraća portalu).

Zaboravih ovo juče: u komunikaciji sa eUpravom ima dosta SSL-a i možeš otvoriti web sajt u SSL modu. Zaštita od "posmatrača" bi bila u tome što "samo" treba da pogode ko je korisnik servisa eSvirala i eUzbunjivač, među svima onima koji dolaze da prijave radnike, naruče lična dokumenta, itd. (a broj ovih će se sigurno širiti sa vremenom)

Znači, zaštita se, kao i u slučaju net kafea i poziva za uzimanje svirala i od strane onih kojima ne treba, postiže činjenicom da nepoznat (a veliki) broj ljudi posećuje to mesto svakodnevno drugim poslom - a pri tome se kroz SSL obično ne vidi URL koji je odabran, zar ne?

Meni se čini da je kombinacija net kafea i prometnog portala poput eUprave (uz obezbeđenje da eUprava ne loguje pristupe ovim URL-ovima) verovatno najbolji način da se ostvari anonimnost čak i u odnosu na one koji mogu da dobiju od ISP-ova informacije o saobraćaju (pošto će ISP-ovi biti u obavezi da ove informacije čuvaju za službu državne bezbednosti, zbog novih pravila u vezi bezbednosti i borbe protiv terorizma koja nam EU gura, koliko ja znam - a to znači da neko "od uticaja" može da dobije te podatke uz malo pritiska na ISP ili zaposlene u njemu).
Goran Vučković Goran Vučković 10:21 24.10.2010

3 od 9: tehnički detalji

Za kolege informatičare objašnjenje kako se može napraviti "šema 3 od 9" (ostalima se izvinjavam zbog hijeroglifa):

Generiše se slučajni npr. 128-bitni kriptografski ključ K za simetričnu metodu (AES, DES-EDE, IDEA itd) i njime šifruju lični podaci uzbunjivača.

Onda se generišu 84 (kombinacije trećeg reda od 9 elemenata) para 128-bitnih slučajnih brojeva A1/B1, A2/B2,... A84/B84 i izračunaju brojevi C1, C2... C84, gde je C1 = K XOR A1 XOR B1 (XOR - bitska logička operacija "ekskluzivno ili" ) i slično za C2 do C84. Ovim se dobija da je K = A1 XOR B1 XOR C1 (sastavljanje ključa iz "delova" ).

Od ovih 3*84 "dela ključa" formira se 9 paketa ključeva, svaki sa po 28 vrednosti, izabranih tako da bilo koja tri paketa ključeva daju jednu kombinaciju ABC koja formira K. Ovi paketi ključeva se šifruju javnim ključem iz sertifikata odgovarajuće kartice državnog službenika. Ako kartice mogu da rade sa npr. RSA ključevima dužine 4096, onda je dovoljno napraviti jednu transformaciju šifrovanja, jer je dužina 28*128=3584 bita (doda se još malo random padding-a na početku bloka i oznaka kombinacije 1-9).

Ova kompletna operacija se radi u memoriji i izlaz je datoteka ili slog u bazi podataka od oko 5KB (4608 bajtova za 9 4096-bitnih kriptografskih blokova za 9 potpisnika i par 128-bitnih blokova CBC-ulančanih šifrovanih ličnih podataka) čije je ime / primarni ključ eSvirala.

Kada je potrebno izvršiti otkrivanje identiteta, dešifruju se odgovarajući blokovi (npr. 1,4 i 8), sklopi K iz kompatibilnih delova i dešifruju lični podaci.
KRALJMAJMUNA KRALJMAJMUNA 11:12 24.10.2010

Re: 3 od 9: tehnički detalji

Goran Vučković
Za kolege informatičare objašnjenje kako se može napraviti "šema 3 od 9" (ostalima se izvinjavam zbog hijeroglifa):Generiše se slučajni npr. 128-bitni kriptografski ključ K za simetričnu metodu (AES, DES-EDE, IDEA itd) i njime šifruju lični podaci uzbunjivača.Onda se generišu 84 (kombinacije trećeg reda od 9 elemenata) para 128-bitnih slučajnih brojeva A1/B1, A2/B2,... A84/B84 i izračunaju brojevi C1, C2... C84, gde je C1 = K XOR A1 XOR B1 (XOR - bitska logička operacija "ekskluzivno ili" ) i slično za C2 do C84. Ovim se dobija da je K = A1 XOR B1 XOR C1 (sastavljanje ključa iz "delova" ).Od ovih 3*84 "dela ključa" formira se 9 paketa ključeva, svaki sa po 28 vrednosti, izabranih tako da bilo koja tri paketa ključeva daju jednu kombinaciju ABC koja formira K. Ovi paketi ključeva se šifruju javnim ključem iz sertifikata odgovarajuće kartice državnog službenika. Ako kartice mogu da rade sa npr. RSA ključevima dužine 4096, onda je dovoljno napraviti jednu transformaciju šifrovanja, jer je dužina 28*128=3584 bita (doda se još malo random padding-a na početku bloka i oznaka kombinacije 1-9).Ova kompletna operacija se radi u memoriji i izlaz je datoteka ili slog u bazi podataka od oko 5KB (4608 bajtova za 9 4096-bitnih kriptografskih blokova za 9 potpisnika i par 128-bitnih blokova CBC-ulančanih šifrovanih ličnih podataka) čije je ime / primarni ključ eSvirala.Kada je potrebno izvršiti otkrivanje identiteta, dešifruju se odgovarajući blokovi (npr. 1,4 i 8), sklopi K iz kompatibilnih delova i dešifruju lični podaci.

I ja tebi, sve po spisku.

Da li ovaj tvoj grdan trud koji ulažeš da bi edukovao čitaoce dopire do nekog. npr, Ministarstva? Jedno Ministarstvo mi je na pameti ali se od njih ne nadam.
Don Kihote, da li imaš bilo kakav odziv na tvoje prethodne slične tekstove od nekog državnog organa ili nezavisnog paradržavnog tela?
zljk zljk 12:22 24.10.2010

Re: 3 od 9: tehnički detalji

Neki problemi koji mi padaju na pamet:
- Kreiranje infrastrukture za zaštitu whistleblower-a nije u interesu ni jednoj pa ni našoj državnoj birokratiji pa od ovoga nema ništa.
- Veliki broj ljudi uključenih u 3 grupe iz kojih je neophodno dobiti info da bi se sastavio decryption key povećava verovatnoću da će se pronaći dovoljan broj ljudi koji će iz svojih ličnih interesa (cijena ? prava sitnica.) dati svoj deo ključa na korišćenje neovlašćenoj osobi.
- Poziv građanima da uzimaju vaučere kako bi u masi uzetih vaučera sakrili whistleblowera neće uspeti - pa gomila ljudi se plaši smart kartice a još kad im kažeš zašto bi trebalo da urade ovo....
- Cela priča može služiti da se whistleblower-ov identitet tehnički zaštiti - ali verovatno u dobrom broju slučajeva neće biti teško pretpostaviti ko je whistleblower - neko ko je radio u instituciji iz koje potiče dokument, ko je imao pristup dokumentu, i ko je mogao imati lične razloge da ga objavi.
- Whistleblowerov identitet, jednom asociran sa dokumentom više nije pod kontrolom samog whistleblowera. Možda bi trebalo dodati i četvrtu grupu za sastavljanje ključa čiji bi jedini član bio sam whistleblower ili tako nešto.
mariopan mariopan 13:47 24.10.2010

Re: 3 od 9: tehnički detalji

(recimo MUP ili republičkog javnog tužioca, ili stranicu koju portal eUprava hostuje za ove institucije)

Meni ne ulivaju poverenje ljudi na tim funkcijama kojima će uzbunjivač javljati šta je nezakonito otkrio.

Većinom su to ljudi postavljeni od strane vlasti, (podobni), a njihov najveći kvalitet je vernost vlastima koja itekako zna šta se kriminalno radi u državi.

Identitet treba zaštiti i ako stručnjak ( D. Pleskonjic) kaže da ste to dobro zamislili, onda ok.
BebaOdLonchara BebaOdLonchara 14:04 24.10.2010

Re: 3 od 9: tehnički detalji

I ja tebi, sve po spisku.

KRALJMAJMUNA KRALJMAJMUNA 14:32 24.10.2010

Re: 3 od 9: tehnički detalji

BebaOdLonchara
I ja tebi, sve po spisku.

Goran Vučković Goran Vučković 16:15 24.10.2010

Re: 3 od 9: tehnički detalji


Da li ovaj tvoj grdan trud koji ulažeš da bi edukovao čitaoce dopire do nekog. npr, Ministarstva? Jedno Ministarstvo mi je na pameti ali se od njih ne nadam.
Don Kihote, da li imaš bilo kakav odziv na tvoje prethodne slične tekstove od nekog državnog organa ili nezavisnog paradržavnog tela?

Za sada je doprelo "samo" do Republičkog zavoda za informatiku i Internet, Ministarstva za telekomunikacije i informaciono društvo, Ministarstva unutrašnjih poslova i (preko ekipe iz MTID) Ministarstva za državnu upravu i lokalnu samoupravu - u ove prve dve institucije praktično do vrha.

MUP radi na korekcijama problema sa karticom (ekipa iz RZII je inicirala celu stvar), a grakic i ja smo uključeni u radnu/savetodavnu grupu u kojoj su ljudi iz MTID, RZII i MUP i njihovog dobavljača NetSet koji radi tehnički deo implementacije.

Iskreno, za sad je odziv daleko bolji nego što sam očekivao - a ljudi iz RZII i MTID su za mene apsolutno iznenađenje po pitanju sluha za celu stvar i inicijative koju pokazuju.
KRALJMAJMUNA KRALJMAJMUNA 16:27 24.10.2010

Re: 3 od 9: tehnički detalji

Goran Vučković
Da li ovaj tvoj grdan trud koji ulažeš da bi edukovao čitaoce dopire do nekog. npr, Ministarstva? Jedno Ministarstvo mi je na pameti ali se od njih ne nadam.Don Kihote, da li imaš bilo kakav odziv na tvoje prethodne slične tekstove od nekog državnog organa ili nezavisnog paradržavnog tela? Za sada je doprelo "samo" do Republičkog zavoda za informatiku i Internet, Ministarstva za telekomunikacije i informaciono društvo, Ministarstva unutrašnjih poslova i (preko ekipe iz MTID) Ministarstva za državnu upravu i lokalnu samoupravu - u ove prve dve institucije praktično do vrha.MUP radi na korekcijama problema sa karticom (ekipa iz RZII je inicirala celu stvar), a grakic i ja smo uključeni u radnu/savetodavnu grupu u kojoj su ljudi iz MTID, RZII i MUP i njihovog dobavljača NetSet koji radi tehnički deo implementacije.Iskreno, za sad je odziv daleko bolji nego što sam očekivao - a ljudi iz RZII i MTID su za mene apsolutno iznenađenje po pitanju sluha za celu stvar i inicijative koju pokazuju.

I za mene je ovo neocekivano. Neocekivano dobro.
Goran Vučković Goran Vučković 16:49 24.10.2010

Re: 3 od 9: tehnički detalji

- Kreiranje infrastrukture za zaštitu whistleblower-a nije u interesu ni jednoj pa ni našoj državnoj birokratiji pa od ovoga nema ništa.

Ovo sam rekao da je trošenje vremena pominjati.
Veliki broj ljudi uključenih u 3 grupe iz kojih je neophodno dobiti info da bi se sastavio decryption key povećava verovatnoću da će se pronaći dovoljan broj ljudi koji će iz svojih ličnih interesa (cijena ? prava sitnica.) dati svoj deo ključa na korišćenje neovlašćenoj osobi.

Predlog je da bude 9 visoko postavljenih ljudi, po 3 iz svake grane vlasti - na primer, tri sudije vrhovnog kasacionog suda, ministar unutrašnjih poslova i dva lica sa nivoa ispod i tri narodna poslanika npr. iz nekog odgovarajućeg skupštinskog odbora (gde protokol može npr. da zahteva da budu iz stranaka koje nisu na vlasti). Treba naći po jednog voljnog iz te tri grupe i još prejahati ceo kontrolni sistem institucije koja drži sistem na kome su šifrovani podaci.
- Poziv građanima da uzimaju vaučere kako bi u masi uzetih vaučera sakrili whistleblowera neće uspeti - pa gomila ljudi se plaši smart kartice a još kad im kažeš zašto bi trebalo da urade ovo....

Ja bih uzeo, pošto znam šta je. I objasnio bih i drugima koje znam čemu to služi. Da li bi ti uzeo ili bi se plašio?
- Cela priča može služiti da se whistleblower-ov identitet tehnički zaštiti - ali verovatno u dobrom broju slučajeva neće biti teško pretpostaviti ko je whistleblower - neko ko je radio u instituciji iz koje potiče dokument, ko je imao pristup dokumentu, i ko je mogao imati lične razloge da ga objavi.

Naravno, ali nekada je izbor širi a nekada uži, a kada se zna ko može biti - i uzbunjivač je obično toga svestan.
- Whistleblowerov identitet, jednom asociran sa dokumentom više nije pod kontrolom samog whistleblowera.

Nije, on toga mora da bude svestan na samom početku i obavešten na samom sajtu - tj. pod kojim uslovima se njegov identitet otkriva i kome - i na kakvu zaštitu onda ima pravo (delimično pomenuto u tekstu gore). Mislim da nema smisla da se omogući uzbunjivaču da ne da identitet - onda cela stvar malo gubi smisao.
Goran Vučković Goran Vučković 17:09 24.10.2010

Re: 3 od 9: tehnički detalji

Da li ovaj tvoj grdan trud koji ulažeš

E da - trud nije nimalo grdan - ovo je jedna od stvari koje radim iz čistog zadovoljstva
jedan.kub jedan.kub 19:05 24.10.2010

Re: 3 od 9: tehnički detalji

,,Iskreno, za sad je odziv daleko bolji nego što sam očekivao - a ljudi iz RZII i MTID su za mene apsolutno iznenađenje po pitanju sluha za celu stvar i inicijative koju pokazuju.,,

Ne seumnjam da je tehnički izvodljivo, ali kad dođe do lokalne uprave seve pada u vodu. Imam iskusetva u tome: dva puta sam se obraćala ministarstvima i Kancelariji predsednika i doživela pretnje. Neprijatnoseti doživljavam i danas .
. Sve ovo ukazuje da država ne kontroliše svoje selužbenike, naročito u provinciji.
Najviše nepravilnosti doživljavaju osobe koje su na marginama ovog društva i nemaju kompjutere. Mnogima od njih ni ombdusman ne može da pomogne.
Razumem da je sve što si zamislio za suptilnije i stručne kriminalne radnje, ali ni oni, koji bi ih prijavili ne bi mogli da zaobiđu lokalnu upravu. Možda je tu najveći problem?
Goran Vučković Goran Vučković 19:53 24.10.2010

Re: 3 od 9: tehnički detalji


Razumem da je sve što si zamislio za suptilnije i stručne kriminalne radnje, ali ni oni, koji bi ih prijavili ne bi mogli da zaobiđu lokalnu upravu. Možda je tu najveći problem?

Gore sam nekom odgovorio da bi lokalci dobijali predmete od službe sa nivoa republike - a organizovati tehniku praćenja stanja predmeta i izveštavanja po predmetima ne vidim da je poseban problem. Uzbunjivač nema ništa sa lokalcima - on svoju prijavu predaje u centralni registar.
KRALJMAJMUNA KRALJMAJMUNA 06:08 25.10.2010

Re: 3 od 9: tehnički detalji

Goran Vučković
Da li ovaj tvoj grdan trud koji ulažeš E da - trud nije nimalo grdan - ovo je jedna od stvari koje radim iz čistog zadovoljstva

Bukvalisto! Grdan - u značenju veliki.
Goran Vučković Goran Vučković 07:48 25.10.2010

Re: 3 od 9: tehnički detalji

Onda se generišu 84 (kombinacije trećeg reda od 9 elemenata) para 128-bitnih slučajnih brojeva

Zaboravih da kažem (opet tehnički detalj): u slučaju da je potrebno da iz svake od tri grupe neko učestvuje u otvaranju (kao što sam predložio u tekstu gore), onda to nisu 84 nego 27 kombinacija - 3 na treći stepen (u slučaju da svaka od tri grupe ima 5 članova, to bi bilo 125 kombinacija - 5 na treći stepen). Ovo znači da svaki paket ključeva ima 9 umesto 28 vrednosti (po jedna ABC kombinacija za svaku kombinaciju članova druga dva tima, tj. 3*3) - odnosno 1152 bita.
Goran Vučković Goran Vučković 07:49 25.10.2010

Re: 3 od 9: tehnički detalji

Bukvalisto! Grdan - u značenju veliki.

"Grdan" je bio samo šlagvort
Dragan Pleskonjic Dragan Pleskonjic 22:13 25.10.2010

Re: 3 od 9: tehnički detalji

Meni ne ulivaju poverenje ljudi na tim funkcijama kojima će uzbunjivač javljati šta je nezakonito otkrio.

Većinom su to ljudi postavljeni od strane vlasti, (podobni), a njihov najveći kvalitet je vernost vlastima koja itekako zna šta se kriminalno radi u državi.

Identitet treba zaštiti i ako stručnjak ( D. Pleskonjic) kaže da ste to dobro zamislili, onda ok.


Izgleda da je matematiku i tehniku lakše rešiti nego ljudski faktor. To je tako tipično. Ima cela knjiga na tu temu.
Dragan Pleskonjic Dragan Pleskonjic 22:40 25.10.2010

Re: 3 od 9: tehnički detalji

- Veliki broj ljudi uključenih u 3 grupe iz kojih je neophodno dobiti info da bi se sastavio decryption key povećava verovatnoću da će se pronaći dovoljan broj ljudi koji će iz svojih ličnih interesa (cijena ? prava sitnica.) dati svoj deo ključa na korišćenje neovlašćenoj osobi.


Mislim da je suština Vučkove ideje upravo obrnuta. Potrebno je doći do ljudi iz svih grana vlasti (zakonodavne, izvršne i sudske), plus prevazići sve elemente zaštite institucije koja drži kontrolni sistem da bi se stvar zloupotrebila. Obzirom da bi, u takvom scenariju, nekoliko ljudi iz različitih stubova vlasti, prekršilo svesno mnoge članove zakona, onda je "barijera visoka" i mogućnost spremnosti na zloupotrebu vrlo mala.
zljk zljk 19:55 29.10.2010

Re: 3 od 9: tehnički detalji

Bio sam malo bolestan pa kasnim sa riplajevima ....

Moguće al' volim da se igram đavoljeg advokata Ipak - ako grupa ima 3 čoveka neko ko želi da podmićivanjem ili zastrašivanjem dođe do dela ključa može da izabere najslabijeg iz svake. Ako svaka grupa ima jednog - to mu je jedini izbor. Slažem se da je mala verovatnoća da se to desi ako su u grupama ministri, sudije vrhovnog suda itd, naravno :)

Ipak - najveća primedba koju imam je da je moguće doneti pretpostavku o grupi ljudi u kojoj se nalazi whistleblower na osnovu poznatih informacija. Ljudima koji donose takve pretpostavke nije potreban dokaz o identitetu u vidu elektronskog potpisa whistleblower-a.... Mogu svakom od njih da pošalju konjsku glavu u krevet ... Ili nešto manje dramatično - npr da ga proglase tehnološkim viškom... Ili šta god.



Goran Vučković Goran Vučković 22:10 29.10.2010

Re: 3 od 9: tehnički detalji

Ipak - najveća primedba koju imam je da je moguće doneti pretpostavku o grupi ljudi u kojoj se nalazi whistleblower na osnovu poznatih informacija. Ljudima koji donose takve pretpostavke nije potreban dokaz o identitetu u vidu elektronskog potpisa whistleblower-a.... Mogu svakom od njih da pošalju konjsku glavu u krevet ... Ili nešto manje dramatično - npr da ga proglase tehnološkim viškom... Ili šta god.

Time se bavi ova preporuka EU gore (zaštita od otpuštanja itd). Inače to sa pretpostavkama naravno stoji - ali nekad je jasnije a nekad manje jasno - a nekad ne mora uopšte da bude lako pogoditi.
vishnja92 vishnja92 19:55 24.10.2010

Vucko,

samo da mahnem i podrzim, kad vec ne umem drugo na zadatu temu

Goran Vučković Goran Vučković 19:59 24.10.2010

Re: Vucko,

samo da mahnem i podrzim, kad vec ne umem drugo na zadatu temu

Hvala na podršci
mirelarado mirelarado 18:36 25.10.2010

Re: Vucko,

Goran Vučković
samo da mahnem i podrzim, kad vec ne umem drugo na zadatu temu

Hvala na podršci


Стална подршка и од мене.
Goran Vučković Goran Vučković 21:50 25.10.2010

Re: Vucko,

Стална подршка и од мене.

Arhiva

   

Kategorije aktivne u poslednjih 7 dana