加密和反监听工具本身是NSA倒钩的可能性有多大?
本帖最后由 AraTurambar 于 2019-1-30 11:31 编辑最近在捣鼓各种加密和反监听工具,基本上都是开源自由软件,照着之前有人推荐的EFF的列表一个个查下来的。
然而,我一直在纠结一个问题,有些工具本身就是NSA倒钩的可能性,应该是不小的吧?
Debian这种有着巨大开发团体和道德传统的东西,相对而言,可靠性应该比较高?但是那种活跃开发者本身就不超过20人的工具,真的能得到及时的、有效的审阅吗?
我不是说Debian之类的大型的、历史悠久的项目没有危险,NSA手里肯定有若干个针对Debian的0-day,但是应该不至于出现整个系统都是倒钩这种情况。
网络安全这块我是门外汉啦,纯粹是一点个人想法,还请大家多多指教了。多谢。
楼主你是要干什么,加密从来就是一个经济学问题,至少对nsa来说是。
涉秘不上网。 真重要的东西不接触网络就好。
说来我听说比特币玩家有一种“冷钱包”的玩意儿,大概是说在一台断网的电脑上生成一个钱包地址的对应的私钥,然后把私钥抄写到纸上藏进抽屉里,电脑彻底格式化并覆写硬盘粉碎数据。之后就可以把不打算长期保存不到万不得已不会动用的比特币转进这个钱包,动用这个钱包所需要的私钥完全没有和网络发生接触的机会不怕泄露。 nsa的倒钩跟你们也不会有什么关系,抓不到你们这里。何况真要倒钩抓人了,抓进去也要审的,也不太会无故消失。不知道你怕什么。 starrin 发表于 2019-1-30 19:49
真重要的东西不接触网络就好。
说来我听说比特币玩家有一种“冷钱包”的玩意儿,大概是说在一台断网的电脑 ...
冷钱包是一个硬件设备 你可以理解为特种u盘 不是写纸条上塞抽屉里那么原始的
—— 来自 Sony F8332, Android 8.0.0上的 S1Next-鹅版 v2.1.0-play NeverwinterN 发表于 2019-1-30 12:28
楼主你是要干什么,加密从来就是一个经济学问题,至少对nsa来说是。
涉秘不上网。 ...
呃,其实没有什么很机密的东西,也不涉及违法内容。
我没有要完全防御NSA啦... Truecrypt 不就是离奇死亡,Audit 过后反而说没有大的问题。 活跃开发者本身就不超过20人的工具?
活跃开发者有20个已经很了不得了好不好。
如果看不上您大可自己开个项目去找20个活跃开发者。 win8 发表于 2019-2-4 09:28
活跃开发者本身就不超过20人的工具?
活跃开发者有20个已经很了不得了好不好。
如果看不上您大可自己开个项 ...
我知道活跃开发者20个已经是很热门的项目了,我这个标准不是评价开源项目的标准。
而是基于这样的假设:非常大的开发者团体(>20)能最小化未经发现的后门的风险。
如果有所冒犯非常抱歉。 selinux就是nsa出品。几乎所有linux和安卓都在用。你要不要放弃。
—— 来自 HUAWEI LYA-AL10, Android 9上的 S1Next-鹅版 v2.1.0-play 同意楼上的。。。这么怕后门那你自己写一个呗。。。
或者用之前花个一两星期把代码全部滚一边,没问题了定版本有更新你也不管就是了
—— 来自 vivo NEX S, Android 8.1.0上的 S1Next-鹅版 v2.0.4-play
页:
[1]