Właśnie coś fajnego wyczytałem. O tym, że konsul honorowy Rosjii kieruje firmą Unizeto.
Ciekawe jest to, że ta firemka od paru dobrych lat 'w branży' jest znana jako ci, co robią systemy dla wojska, rządu. Generalnie - 'tajne'. Do tego mówiło się, że 'mają wtyki' i potrafią załatwić sobie kontrakty (to co napisałem, to relacja z plotek).
Fakty są takie, że programiści, by tam pracować przy pewnych projektach byli bardzo dokładnie sprawdzani. Wywiad środowiskowy nawet dzielnicowy prowadził ;) Bo dostęp do tajnych informacji mieli.
A tu się okazuje, że za jedynego słusznego cesarza IV RP dostali dostęp do informacji niejawnej. Pamiętam, jakich ludzi wtedy szukali. Co potrafiących. I dopiero za wrednego pachołka Rosjii - Tuska - ten dostęp im zabrali. Czy to głupota, czy zdrada ? ;)
Teraz tak na poważnie - poza systemami łączności dla tych, co to muszą tajnie się komunikować (jeżeli takie robili, tak sobie zgaduję) nadal oferują swoje usługi jako centrum certyfikacji PKI (podpisy cyfrowe), sprzedają certyfikaty SSL oraz produkty 'dookoła' tego.
Znam troszkę matematykę (i nie tylko) związaną z zabezpieczeniami, i wiem jedno - gdybym pracował w tej firmie, i chciał mieć możliwość obejścia zabezpieczeń, które sprzedaję, to przy mniej kumatych klientach byłoby to bardzo proste. Miałbym wszystkie klucze prywatne klientów. Tutaj bardzo dużo zależy od zaufania. Bo jak klient nie chce/nie stać go na sprzętowe dobre rozwiązania (klucz prywatny generowany w chipie niepodatnym na 'power analysis' zewnętrznym do kompa, nigdy go nie opuszcza), to nawet jak kumaty, to całe jego bezpieczeństwo opiera się na zaufaniu do firmy. A jak klient kupuje rozwiązania chipowe podatne na analizę poboru mocy (albo na inny rodzaj ataku sprzętowego), a certyfikaty są generowane w sprzęcie kontrolowanym - to klient myśli 'mam chipa, jestem bezpieczny', a tu kupa. Albo - ma chipa niepodatnego, ale odpowiednio go przygotuje, tak, by móc przewidzieć pewne pseudolosowe liczby. A jakiejest bezpieczne rozwiązanie ? oddzielny dostawca chipa, oprogramowania tych kart (najlepiej nie ujawniać, jaka to karta twórcy oprogramowania, opierać się na standardach, chociaż te nie zawsze są dobrze zaimplementowane)oraz czytników smartcardowych. Żeby było jasne - nie twierdzę, że tak robią, mówię o technicznych możliwościach.
Jako, że jest to firma, która całą masę certyfikatów na rynek wypuściła, to naprawdę jest się czego bać. Konsul honorowy Rosjii zarządza firmą, która zapewnia bezpieczeństwo informacji w kraju należącym do NATO. Nieźle.
Ja się tylko pytam, co robili dziennikarze, gdy to się działo.
P.S. Właśnie sprawdziłem sobie kilka chipów, które oferują. Mam już jeden podatny na Differential Power Analysis. I inny - który podatny nie jest, a przynajmniej producent tak twierdzi - tak gwoli ścisłości. Pytanie, kto jaki kupił ;)
