Можно ли чисто теоретически обеспечить электронной подписью из белого списка каждый передаваемый сетевой пакет?
Т.е. если пакет неизвестно от кого, чтобы сетевое оборудование его не передавало?

У России есть собственные процессоры и компьютеры, шифры тоже (ГОСТ какой-то там),
ну вот, сделать, чтобы принципиально не работали всякие оверлейные сети типа retroshare,
где абоненты пытаются что-то пересылать через провайдеров-юридических лиц.

Здравствуйте, Эйнсток Файр, Вы писали:

ЭФ>Можно ли чисто теоретически обеспечить электронной подписью из белого списка каждый передаваемый сетевой пакет?
ЭФ>Т.е. если пакет неизвестно от кого, чтобы сетевое оборудование его не передавало?
Можно но зачем? Вы хотите что бы можно было человека посадить по подписи сетевого пакета? (Ключ конечно же в TPM2.0 хранить)

ЭФ>У России есть собственные процессоры и компьютеры, шифры тоже (ГОСТ какой-то там),
ЭФ>ну вот, сделать, чтобы принципиально не работали всякие оверлейные сети типа retroshare,
ЭФ>где абоненты пытаются что-то пересылать через провайдеров-юридических лиц.
В России пока семимильными шагами развивается только штрафадобывающая отрасль. Вы хотите принять участие в этом процессе?

_> Вы хотите что бы можно было человека посадить по подписи сетевого пакета?

Я глубоко возмущён тем, что программы тип Retroshare, ejabberd, synapse (matrix server)
и другие подобного рода (например Telegram) не соответствуют российскому законодательству.

Согласно нему, каждый пользователь системы мгновенных сообщений должен быть идентифицирован
по номеру сотового телефона.

_> развивается только штрафадобывающая отрасль

Был бы человек. И подписи каждого пакета помогут его идентифицировать.

Здравствуйте, Эйнсток Файр, Вы писали:

ЭФ>Можно ли чисто теоретически обеспечить электронной подписью из белого списка каждый передаваемый сетевой пакет?
ЭФ>Т.е. если пакет неизвестно от кого, чтобы сетевое оборудование его не передавало?

В TCP/IP это не возможно, у тебя MTU обычно не больше 1500 байт, куда там подпись запихнуть? Да и рассчитывать подпись для каждого пакета в реальном времени очень накладно.

Но идея цензуры на подобном уровне есть, и кое где над ней даже работают. Думаю что вполне очевидно, что в ближайшее будущее для предпосылок для перехода TCP/IP -> New IP за пределами Китая нет.

Дядя, а ты точно программист? Ну, это же как бы совсем уж очевидно.

KP> 1500 байт, куда там подпись запихнуть?

72 байта говорят под подпись достаточно.
Это 5% длины — практически незаметно.

KP> предпосылок для перехода ... нет

Есть. Империалистические и капиталистические противоречия — вот предпосылки. Проявляются в форме ковида.

Здравствуйте, Эйнсток Файр, Вы писали:

KP>> 1500 байт, куда там подпись запихнуть?

ЭФ>72 байта говорят под подпись достаточно.
ЭФ>Это 5% длины — практически незаметно.

Это почти в 4 раза больше стандартного IP заголовка, что всё же очень дохрена для совершено нелепого функионала. Так же ты почему-то выкинул часть комментария про сложность расчётов в асимметричной криптографии.

ЭФ>Есть. Империалистические и капиталистические противоречия — вот предпосылки. Проявляются в форме ковида.

Если Китаю удастся эксперимент с New IP, возможно страны типа РФ у себя тоже его внедрят. Изменить TCP/IP подобным образом не выйдет просто технически.

KP> ты почему-то выкинул часть комментария про сложность расчётов в асимметричной криптографии

Потому что она ассиметричая как раз потому, что зашифровывать и подписывать менее сложно, чем ломать.
То есть, да, конечно какие-то вычисления потребуются, и надо будет потратить немного больше песка,
чтобы сделать дополнительный чип для сетевой карты. Но это совершенно непринципиальный вопрос, а политический,
если надо — значит надо.

Здравствуйте, Эйнсток Файр, Вы писали:

ЭФ>Потому что она ассиметричая как раз потому, что зашифровывать и подписывать менее сложно, чем ломать.

Иди читать как TLS работает

Здравствуйте, Эйнсток Файр, Вы писали:

ЭФ>Можно ли чисто теоретически обеспечить электронной подписью из белого списка каждый передаваемый сетевой пакет?
Вполне. WireGuard и инфраструктура CA.

Здравствуйте, kaa.python, Вы писали:

KP>В TCP/IP это не возможно, у тебя MTU обычно не больше 1500 байт, куда там подпись запихнуть? Да и рассчитывать подпись для каждого пакета в реальном времени очень накладно.
Так а подписи много и не надо. В сотню байт Ed25519 вполне укладывается.

Здравствуйте, Эйнсток Файр, Вы писали:

ЭФ> Можно ли чисто теоретически обеспечить электронной подписью из белого списка каждый передаваемый сетевой пакет?

А что в твоем представлении "сетевой пакет"? Но в общем случае — да, можно аутентифицировать (например, IPSec).

ЭФ> ну вот, сделать, чтобы принципиально не работали всякие оверлейные сети типа retroshare,

Нет, нельзя. Ну т.е. теоретически-то конечно все можно, но в текущих реалиях к счастью пока нельзя.

AB> в текущих реалиях к счастью пока нельзя.

Вот я тоже раньше находился под гипнозом уверенности псевдоспециалистов, таких как kaa.python,
знания которых устарели 20 лет назад.

Алгоритм ECDSA в 1999 г. был принят как стандарт ANSI, в 2000 г. — как стандарт IEEE и NIST

2021-1999=22

AB> т.е. теоретически-то конечно все можно

А тут меня "пробило".

Дальше нужно чётко сформулировать, какие именно реалии мешают.
Я так понимаю, что дело в том, что нет производства оборудования в достаточных объёмах,
но ведь если очень захотеть...

Здравствуйте, Эйнсток Файр, Вы писали:

ЭФ> Алгоритм ECDSA в 1999 г. был принят как стандарт ANSI, в 2000 г. — как стандарт IEEE и NIST
ЭФ> 2021-1999=22

Эм. А к чему ты привел ECDSA?

ЭФ> Я так понимаю, что дело в том, что нет производства оборудования в достаточных объёмах,
ЭФ> но ведь если очень захотеть...

Оборудование ни при чем. Начни с понимания модели OSI. Сначала ты говоришь про подпись пакетов на уровне L3 (если я тебя правильно понял), а потом перепрыгиваешь на уровень L7 (retroshare). Эти уровни никак между собой не связаны — на L7 ты можешь передавать данные через любой доступный низлежащий транспорт (хоть голубинной почтой), а на L3 ты ничего не знаешь о том, какое приложение генерирует данные (можешь лишь предполагать по косвенным признакам, но не более того).

Теоретически ничто не запрещает тебе сделать свою личную сеть, которая на L7 будет пропускать только разрешенный тобой трафик и запрещать любой другой, но в масштабах интернета это будет очень ресурсозатратно и такой сетью никто не захочет пользоваться по своей воле.

AB> очень ресурсозатратно

Абстрактные слова

AB> по своей воле.

Воля есть только у правительства. Прочие люди недоговороспособны
(иначе бы они могли сменить одно авторитарное правительство на другое, но они не могут).

Здравствуйте, Эйнсток Файр, Вы писали:

ЭФ> AB> очень ресурсозатратно
ЭФ> Абстрактные слова

А какую конкретику ты хочешь услышать? Анализ трафика на L7 требует в сотни-тысячи раз больше вычислительных ресурсов, нежели сейчас тратится на его передачу. Для реализации твоего плана тотального контроля нужно заменить все без исключения медиа (т.е. изъять все имеющиеся, разработать и наладить производство новых, оснастить все новыми).

ЭФ> AB> по своей воле.
ЭФ> Воля есть только у правительства. Прочие люди недоговороспособны

Но даже в этом случае, воли правительства недостаточно, чтобы запретить энтропию. А как только у нас появляется энтропия, появляется старый добрый дядька Шеннон и возможность передачи абсолютно любой информации.

Здравствуйте, Эйнсток Файр, Вы писали:

ЭФ>Можно ли чисто теоретически обеспечить электронной подписью из белого списка каждый передаваемый сетевой пакет?
ЭФ>Т.е. если пакет неизвестно от кого, чтобы сетевое оборудование его не передавало?

ЭФ>У России есть собственные процессоры и компьютеры, шифры тоже (ГОСТ какой-то там),
ЭФ>ну вот, сделать, чтобы принципиально не работали всякие оверлейные сети типа retroshare,
ЭФ>где абоненты пытаются что-то пересылать через провайдеров-юридических лиц.

Каким образом электронная подпись связана с трафиком оверлейной сети? Что мешает внутри подписанных пакетов передавать зашифрованные пакеты оверлейной сети?

BFE> Что мешает внутри подписанных пакетов передавать зашифрованные пакеты оверлейной сети?

Процедура выявления всех участников организованной преступной группы.
Передал зашифрованные пакеты со своей подписью — знал что делал.

Напоминаю, что пакеты будут ходить по белому списку.

Здравствуйте, Эйнсток Файр, Вы писали:

BFE>> Что мешает внутри подписанных пакетов передавать зашифрованные пакеты оверлейной сети?
ЭФ>Процедура выявления всех участников организованной преступной группы.
Каким образом? Что за группа и почему она преступная?

ЭФ>Передал зашифрованные пакеты со своей подписью — знал что делал.
Передавать зашифрованные пакеты запрещено?

ЭФ>Напоминаю, что пакеты будут ходить по белому списку.
Что вы под этим подразумеваете?

Здравствуйте, Cyberax, Вы писали:

C>Так а подписи много и не надо. В сотню байт Ed25519 вполне укладывается.

Всё верно. При этом сотня это не мало в процентном соотношении к величине пакета, плюс ещё эту подпись надо посчитать. Тот же DTLS на который ты ниже ссылаешься (WireGuard на нём, верно?) после установки сессии вполне себе переходит на симметричные потоковые/блочные шифры. Разве нет?

Здравствуйте, Эйнсток Файр, Вы писали:


ЭФ>Я глубоко возмущён тем, что программы тип Retroshare, ejabberd, synapse (matrix server)
ЭФ>и другие подобного рода (например Telegram) не соответствуют российскому законодательству.

Не пользуйся этими приложениями?

ЭФ>Согласно нему, каждый пользователь системы мгновенных сообщений должен быть идентифицирован
ЭФ>по номеру сотового телефона.

А за чем?