Algum DSLR oferece criptografia de arquivos na câmera?

26

Estou imaginando um cenário em que o usuário pode definir uma senha através do menu DSLR e, em seguida, todos os arquivos no cartão de memória são criptografados por meio de um protocolo de criptografia reversível padrão, de modo que o conteúdo possa ser lido apenas se o espectador souber a chave.

Isso impediria a auto-incriminação, por exemplo, se sua câmera for capturada e as fotos contidas nela forem usadas como evidência contra você.

Algum DSLR possui essa funcionalidade?

photojournalism security Desenhou
fonte
7
De qualquer forma, embora possamos discutir a política, prefiro não fazê-lo aqui. Este é um site sobre fotografia e sobre câmeras. Embora a questão tenha implicações políticas inerentes, vamos manter as respostas voltadas para o lado técnico, por favor , e onde elas devem se aventurar além disso, tente ser equilibrado e objetivo. Se você deseja debater as virtudes de um estado policial e os méritos relativos de uma imprensa livre, há muitos outros fóruns on-line para isso.
mattdm
2
+1 enquanto eu concordo totalmente com o seu ponto de vista, vou ignorá-lo totalmente (desculpe) apenas para apontar o óbvio; se "eles" virem criptografia, há uma chance muito boa de mantê-lo sob custódia até você divulgar a senha, seja por força ou advogado (e não tenho certeza do que temo mais).
MAWG
Eu acho que está bem; está discutindo se isso é uma coisa boa ou ruim que eu quero evitar.
mattdm
Nesse tipo de situação, acho que seria melhor criar 'cartões de criptografia'. Estes seriam cartões de memória que são apenas para gravação. Eles podem ser lidos novamente com um leitor de cartão especial que tenha a chave. Em uma situação realmente delicada, a placa pode ser projetada para se apagar / se destruir se detectar violação (como uma leitura em lote ou tentar ler fora do diretório DCIM, como se você colocasse a placa em um PC. Esta solução também poderia torná-la para que o usuário não tenha acesso à chave, como se o cartão tivesse que ser enviado para uma instalação segura para descriptografar.
Phil
melhor ainda, o cartão (ou a câmera) não pode apenas criptografar, mas também ocultar as fotos secretas e ainda parecer um cartão inocente comum contendo conteúdo seguro; portanto, depois que os bandidos o tiverem, você não será torturado imediatamente para revelar sua identidade. chave secreta.
szulat

Respostas:

19

A Canon costumava vender um kit de verificação de dados que assinava imagens para verificação e que tinha um recurso de criptografia que funcionava com as EOS-1Ds Mark III e EOS-1D Mark III (apenas). No entanto, o aspecto de verificação foi desenvolvido de uma maneira muito ruim e foi comprometido . A resposta da Canon foi interromper o produto e emitir um aviso com palavras de doninha, admitindo que ele não funciona sem dizer isso.

Isso não significa necessariamente que o aspecto da criptografia esteja quebrado, porque, quando bem feito, esse é realmente um problema mais fácil do que a verificação (que tenta assinar algo enquanto oculta a capacidade de assinar coisas - intrinsecamente defeituosa). Discordo de outra resposta aqui, que diz que é impossível fazer de uma maneira prática, mas não estou encontrando uma boa documentação sobre como o sistema da Canon foi implementado (em geral, a boa segurança tem um design aberto) e, considerando o registro da Canon aqui, eu definitivamente não não confie nisto.

A Lexar vendeu um cartão CF que, em combinação com a Nikon D200, exigiria autenticação baseada em hash antes de permitir o acesso ao cartão. Às vezes, isso era representado como criptografia, mas não era. Para obter detalhes, leia esta postagem do blog do especialista em segurança Bruce Schneier e os comentários, mas resumindo, nenhuma criptografia real - e não está disponível para as câmeras atuais.

Mesmo que você possa criptografar corretamente na câmera, tenho certeza de que em qualquer situação em que você possa ser incriminado por fotos em um dispositivo criptografado em que você se recusa a entregar as chaves, elas encontrarão uma maneira de aprisionar ou punir você por não fazer isso. Esta é, por exemplo, a lei no Reino Unido . E nos EUA, se a promotoria "souber" da presença de arquivos incriminadores, os tribunais decidiram que não é uma violação da 5ª emenda fazer com que você os entregue. Em situações mais totalitárias, você pode nem obter tanto benefício. (Digamos, por exemplo, que você esteja localizado na China - é ilegal por si só possuir software de criptografia nos seus dispositivos de computação sem declará-lo.)

Você pode usar algo como um sistema de criptografia em camadas com palha e uma partição "segura" falsa, mas se o governo achar que você está tramando algo, isso provavelmente não ajudará.

Pode ser possível adicionar criptografia aos hacks de firmware CHDK ou mesmo Magic Lantern, mas acho que é complicado e grande o suficiente para que eu não conte com isso. Outra abordagem pode ser com um aplicativo Android, mas você deve ter muito cuidado para que os dados nunca atinjam o flash de forma não criptografada e não tenho certeza de como funcionam os elementos internos da API da câmera. Infelizmente, não conheço nenhum desses aplicativos.

Para que isso seja seguro, você precisa usar um algoritmo de chave pública, criptografando com a chave pública e com a chave privada em outro local - você não teria como revisar as imagens no dispositivo. Isso é um pouco inconveniente, mas não é mais do que o inconveniente de esperar até chegar a um laboratório para ver o que há em um rolo de filme.

Se você tem certeza da segurança do seu computador desktop ou laptop, pode manter a chave privada lá - se planeja editar ou manipular as fotos nesse dispositivo, ele já é um elo fraco, então não faz sentido fingir que não é. . Em algumas situações, isso pode não ser adequado e você pode deixar a chave privada em algum lugar completamente seguro. Se a chave for mantida em casa em outro país, isso pode ter outras vantagens, pois você pode dizer plausivelmente que nada do que pode fazer pode revelar o segredo. (Pode não funcionar bem para você , mas os dados permanecerão seguros.) Na prática, uma chave de tamanho médio fornecerá proteção para todos os ataques razoáveis, e uma chave maior durará até que todos os que estão vivos hoje estejam mortos, o NP seja igual a P ou os computadores quânticos se tornem realidade (o que certamente está a pelo menos um tempo)

No entanto, novamente, não conheço nenhuma câmera ou aplicativo que faça isso.

Portanto, sua melhor aposta pode ser manter apenas alguns arquivos nos cartões e destruir completamente os cartões após o uso. (Apenas apagar, mesmo com um aplicativo de exclusão segura, não será suficiente e, conforme sua pergunta anterior, morder e engolir o cartão também não será suficiente .) E, claro, isso não o protegerá de outros riscos não está diretamente relacionado à exposição de suas imagens.

mattdm
fonte
Na verdade, as questões legais por trás de forçar as pessoas a desistir de senhas não são claras, elas não foram revisadas em altos níveis, pelo menos nos EUA. Mas este não é um fórum legal. Existem muitas técnicas que podem ser usadas, mas geralmente é o contrário, você usa a esteganografia para ocultar uma mensagem secreta em uma foto, para não ocultar a foto, elas tendem a ser grandes.
Pat Farrell
2
Mais sobre o estado das principais leis de divulgação em todo o mundo na wikipedia . Você está certo de que não está estabelecido nos EUA, mas atualmente há ambiguidade suficiente para ser justo dizer que não há garantia de proteção à quinta alteração.
mattdm
Não é apenas a China, há uma década, que criptografia forte era ilegal na França. Não verifiquei recentemente. Existem muitas ditaduras e governos totalitários no mundo, então há muitos exemplos em que você pode ser preso ou coisa pior.
precisa saber é o seguinte
2
Menciono a China em particular porque é onde Andrew vive.
mattdm
Embora você deva destruir fisicamente o cartão se sua vida depender dele, formatá-lo e depois gravar dados aleatórios no cartão até ficar cheio também dificultam a recuperação de qualquer coisa.
Ninguém
6

Entendo que esta pergunta é sobre câmeras DSLR, portanto, essa resposta pode não ser do tópico, mas por uma questão de completude, se você também incluir câmeras point-and-shoot,

A Samsung Galaxy Camera (ou qualquer câmera futura com Android ) pode criptografar o meio de armazenamento. Além disso, também oferece opções de conectividade Wi-Fi e celular (GSM / 3G / LTE), caso você queira fazer o upload de dados confidenciais para um local externo em situações de pânico. Por estar na plataforma Android, você também tem acesso a aplicativos que podem lhe dar alguma negação plausível em investigações preliminares, ocultando / ocultando suas fotos (lembre-se de que você não pode confiar apenas na obscuridade, por segurança ).

Vikrant Chaudhary
fonte
5

O kit OSK-E3 da Canon também suporta criptografia. É compatível com EOS-1Ds Mark III, EOS-1D Mark III. Depois de inserir o cartão inicial especial na câmera registrada, todas as imagens capturadas serão criptografadas. Você pode descriptografar as imagens usando um utilitário especial chamado Original Data Security Utility.

A função de validação de originalidade desta ferramenta foi quebrada , por isso não confio muito neste kit.

asalamon74
fonte
Woah; Vou ter que revisar minha resposta. Analisarei mais os detalhes, mas a verificação é realmente mais difícil que a criptografia. O problema é que eles conseguiram extrair a chave de assinatura de uma câmera - tendo feito isso, você pode assinar (ou criptografar) imagens como se viessem dessa câmera, mas supondo que usem um esquema de criptografia de chave pública (e faça-o corretamente e use chaves grandes o suficiente), pois essa chave ainda não permitirá que você decifre as imagens.
mattdm
Parece que eles também usaram apenas uma chave de verificação por modelo, em vez da abordagem mais difícil, mas correta, de ter uma por câmera. Veja a apresentação completa sobre hack . Eles o misturam com um "ID da placa" por exclusividade, mas isso é obviamente inútil para criptografia.
mattdm
(Olhando agora para encontrar detalhes de como a criptografia funciona - se ela usa a mesma abordagem, não é bom.)
mattdm
11
Tanto quanto posso determinar, o kit foi projetado para proteger o valor temporário de "imagem" de uma imagem mais do que qualquer outra coisa. Toda criptografia é temporária no sentido mais amplo, é claro, mas há uma diferença significativa entre o nível "não vale a pena tentar roubar essas imagens" e o nível "essas imagens são evidências contra o fotógrafo" de diferir a disponibilidade de texto sem formatação.
Eu posso ver protegendo algo pelo tamanho de uma "concha", mas não o suficiente para mantê-lo fora da cadeia. O @stan está 100% certo, com tempo suficiente, toda a criptografia pode ser quebrada, o truque da engenharia é fazer com que o tempo para quebrá-la seja muito mais longo que o valor das informações. Qualquer plano que use um dongle, cartão inteligente ou "cartão de utilidade especial" é claramente tão fraco quanto o dongle. E como você insere sua forte senha no dongle?
Pat Farrell
2

A pergunta é bastante antiga, mas, no entanto, quero comentar.

Alguns de meus amigos começaram recentemente a despectacle.com oferecendo um adaptador de cartão microSD chamado "CryptSD", que faria praticamente o que você está procurando. Embora a criptografia não seja feita pela câmera, mas pelo próprio adaptador de cartão SD.

Não tenho muita certeza de quando será lançado oficialmente, mas acho que você não se importa em esperar um pouco mais, já que a pergunta tem quase dois anos.

Alex
fonte
Como isso é possível ? Claro, o cartão pode criptografar internamente os dados, mas a câmera precisa ver os dados descriptografados brutos, de modo que o cartão os descriptografa rapidamente quando acessados ​​... mas então, qual é o objetivo? Além disso, onde você digita a chave?
Pense que eles usarão uma combinação de criptografia de chave pública e chaves simétricas, permitindo que ainda veja suas fotos enquanto a câmera estiver ligada. Uma vez desligadas, suas fotos "desaparecem". Ou seja, a câmera não pode mais lê-los.
Alex
Sim, isso faz sentido, assim como a criptografia de disco completo (LUKS, por exemplo), mas o problema é como digito a chave pela primeira vez?
Não deve ser um problema. Essa é a beleza da criptografia de chave pública. Basta gerar uma "chave de sessão", criptografar com a tecla pub, armazenar em algum lugar e criptografar todas as imagens com a chave de sessão. Feito.
Alex
11
Na verdade é bem simples. Sempre que a câmera é ligada, uma nova chave de sessão é gerada para criptografar as imagens. Essa chave de sessão é mantida na memória e salva no cartão SD (criptografada, usando a chave pública). Enquanto o cartão SD ainda estiver ligado, você poderá criptografar e descriptografar as fotos que tirou. Depois que o cartão sd for desligado (também conhecido como câmera desligada), você não poderá mais ler as imagens que já armazenou no sd cad. Claro, você ainda pode acessá-los do seu computador digitando seu PW.
Alex
1

A resposta depende do que você deseja proteger, quem e por quanto tempo.

Existe (ou melhor, foi como não consigo encontrá-lo à venda) o Lexar LockTight (tm). Um cartão CF que não responderá até receber um handshake de autenticação (SHA1 de 160 bits para quem sabe o que isso significa).

A criptografia é bastante fraca pelos padrões modernos e requer suporte de câmera (como D200, D2H / X). Pararia um não-técnico de 'emprestar' o cartão e simplesmente copiá-lo / visualizá-lo.

No entanto, se a sua câmera foi tirada, não haveria nada impedindo-a de ver as imagens, pois ela conteria a chave e não resistiria a ataques prolongados com hardware ou técnicas modernas por muito tempo.

Você precisaria do seu próprio firmware para uma câmera ou hardware de código aberto, como o Stanford Frankencamera, e construiria isso com armazenamento seguro de chaves e grunhido computacional suficiente para poder criar criptografia forte o suficiente para fazer valer a pena.

James Snell
fonte
0

Se você adotar uma abordagem diferente, acho que tecnicamente poderá atingir seu objetivo declarado, mas ele falhará politicamente.

Não acredito que nenhuma "câmera" funcione, pois é necessário inserir uma chave / senha forte. Já é difícil fazer com que os humanos usem frases fortes quando possuem um teclado. Em uma câmera, você tem apenas meia dúzia a uma dúzia de botões e dois mostradores. Digitar uma senha forte será tão tedioso que falhará.

Mas, se você fizer uma pergunta um pouco diferente: É possível criar um smartphone para codificar suas fotos, a resposta é claramente sim. No Android, seria fácil portar o PGP / GPG para rodar, e você pode até criar um front end bastante amigável para ele. Isso permitiria ao usuário digitar uma senha forte. Os smartphones atuais tiram fotos muito boas.

Dito isto, acho que os problemas técnicos não são a fraqueza da abordagem. Se você tem um monte de arquivos grandes e criptografados (e as fotos são grandes) e o bandido os vê, essa será uma das principais causas para levantar suspeitas de que você tem fotos ilegais. Nos países repressivos, isso por si só provavelmente fará com que as mangueiras de borracha e os baldes de água saiam para forçá-lo a desistir da chave de criptografia.

Você pode usar uma versão da esteganografia que exibe uma foto de, digamos, gatinhos fofos quando alguém olha suas fotos da polícia secreta espancando manifestantes. Isso pode permitir que você passe do primeiro nível, a polícia local. Mas qualquer investigação séria verá rapidamente que a imagem dos gatinhos é muito menor que o tamanho real do arquivo e, em seguida, eles procurarão o que você está escondendo.

É correto dizer que uma chave adequada com 128 bits de entropia alimentando uma cifra moderna como a AES será forte o suficiente para manter até uma agência de segurança nacional afastada por alguns anos. Claro, você estará na prisão e provavelmente será torturado durante esses anos. E ninguém verá suas fotos da injustiça. No entanto, zero senhas e quase zero senhas têm 128 bits de entropia. Portanto, na prática, é muito mais provável que os ataques de dicionário sejam bem-sucedidos do que o pôster original dessa pergunta gostaria.

Pat Farrell
fonte
Plausivelmente, a câmera pode se comunicar com o smartphone ou outro dispositivo para tornar a entrada de uma chave / senha forte menos entediante.
Skaperen
Infelizmente não. Você não pode torná-lo menos tedioso, porque não pode confiar no link entre a câmera e o smartphone. Esse é um problema fundamental de design de segurança.
Pat Farrell
0

Eu acho que você pode querer considerar um método alternativo para criptografia. Uma coisa que podemos assumir é que uma pessoa que queira ver suas fotos geralmente abre a primeira da lista. Com essa suposição, você pode criar um script simples que limpará suas fotos quando for aberto. O script terá um ícone de imagem e será nomeado no mesmo formato que sua câmera nomeia imagens.

Portanto, quando o ladrão joe ou o oficial bob for para F: /dcim/01.jpg, o script será aberto e começará a formatar f: / drive. O motivo pelo qual você deseja formatar, em vez de um simples "selecionar todos os excluídos", é que, uma vez que você começa a formatar um cartão SD, é difícil parar. Se eles puxarem o cartão para fora do computador, o risco de corrupção é muito alto. Isso funcionará a seu favor.

Dependendo do sistema operacional, você também pode ter um script na execução automática rotulada sd. Isso iniciará o script assim que for conectado ao computador. Você pode fazer com que o script solicite nome de usuário e senha. Se um nome de usuário ou senha não for inserido ou se a janela for fechada ou se o nome de usuário e a senha forem inseridos incorretamente após x vezes, ele formatará o cartão.

TDLR: Em vez de procurar em uma câmera que oferece criptografia, você deve procurar várias maneiras de adicionar segurança ao cartão SD.

~ MrMangos

MrMangos
fonte
Como você faria para exibir esse arquivo acionar um script no sistema de outra pessoa ? (O truque autorun pode funcionar em alguns casos limitados.)
mattdm
Devo acrescentar que, se tudo o que você faz é formatar o cartão, as chances de recuperar dados são realmente muito altas.
mattdm
0

A idéia básica é usar um gravador externo.

Alguns caros podem até suportar criptografia, caso contrário, você precisará hackear algo um pouco "bricolage". Embora existam instruções, é provável que você precise se afastar delas e isso não é trivial.

Consumidor

Aqui está uma combinação de produtos prontos para o consumidor que devem funcionar:

Não consegui encontrar um único dispositivo que registrasse e criptografasse, mas não conheço esse mercado e só olhei para gravadores de duas empresas.

faça você mesmo

Existem HDMI relativamente baratos via extensores de rede. Eles consistem em uma parte que aceita HDMI e envia dados pela Ethernet e uma segunda parte que é idêntica, exceto ao contrário. Você pega o primeiro, conecta-o a um laptop / servidor portátil e criptografa os dados antes de salvá-los no disco.

Há um guia sobre como gravar não criptografado e é comparativamente fácil canalizar o arquivo de vídeo em um utilitário de criptografia padrão antes de gravá-lo no disco.

A qualidade da imagem será prejudicada porque esses extensores HDMI compactam suas entradas e não sei como eles funcionam com os formatos HDMI emitidos pelas câmeras. Nas situações em que as DSLRs geralmente ultrapassam os telefones com câmera, a saída ainda será melhor do que o que um telefone com câmera poderia fazer.

Ou apenas use um telefone

Ou talvez use um telefone depois de tudo. É muito mais fácil e, mesmo que você compre o telefone com câmera mais sofisticado possível, ele ainda será mais barato. A aplicação da lei notoriamente falhou ao desbloquear alguns iPhones, e o Android também possui criptografia segura. Lembre- se de desligar o telefone assim que houver algum perigo se aproximando, porque a superfície de ataque é muito maior enquanto o telefone está funcionando. Acho que a aplicação da lei provavelmente pode desbloquear todos os telefones em execução, mas muito poucos telefones criptografados que estão desativados.

Também existem aplicativos criados para fins específicos, que podem fornecer ainda mais segurança em cima da criptografia interna do telefone, mas provavelmente são inferiores em tirar fotos do que o aplicativo embutido na câmera.

Ninguém
fonte
-5

Isso simplesmente não vai funcionar. A criptografia funciona bem para proteger os dados em trânsito, diz um cabo diplomático ou planos de ataque das forças armadas. Não funciona bem contra dados estáticos. Não acredito que mesmo jornalistas dedicados o usem adequadamente para alcançar o objetivo desejado.

Depois que o "bandido" tiver seus dados, eles poderão demorar a decifrá-los. No seu exemplo, os bandidos teriam sua câmera e seus cartões SD / CF.

Se você usou uma criptografia forte e bem implementada com uma chave aleatória adequada, estará protegido contra bandidos casuais. Ignorando por um momento o fato de que é realmente muito difícil implementar corretamente uma criptografia forte, qual é a sua chave?

A maioria dos humanos é péssima em senhas e chaves. A maioria das pessoas escolhe senhas realmente fracas, começando com "senha" ou "qwerty". Qualquer PC moderno pode quebrar a segurança, simplesmente experimentando as 100.000 senhas comuns, geralmente em um pequeno número de minutos.

Se você estiver enfrentando um inimigo sério, digamos que uma agência de segurança nacional (FBI, MI-6, KGB, etc.) terá hardware especializado com muitas ordens de magnitude mais poderosas do que um PC simples.

Uma maneira mais sensata de evitar ser jogado na cadeia por suas fotos é não tirar fotos onde elas tendem a jogá-lo na cadeia.

Pat Farrell
fonte
7
Sou grato às legiões de bravos fotojornalistas que documentam atrocidades em todo o mundo não seguem seus conselhos.
Tirou
4
Eu não sugeriria cortar a criptografia por conta própria, mas os algoritmos de criptografia modernos bem conhecidos, com chaves grandes o suficiente (não senhas), poderão suportar muitos anos de poder computacional, mesmo de grandes agências de segurança governamentais . Concordo que realmente não vai funcionar, mas por razões humanas, não técnicas. Quanto a evitar tirar fotos de que os governos podem não gostar: o mundo não está livre do totalitarismo e as fotografias são uma arma poderosa para o bem.
mattdm
6
Os dados em repouso ainda podem se beneficiar substancialmente da criptografia, isso tem sido um truísmo desde o surgimento da criptografia da guerra do século XX. A idéia básica é que a criptografia tranca suficientemente a porta por tempo suficiente para que os dados sejam inúteis. Por exemplo, como eu vivo com o mundo do PA-DSS, os cartões de crédito devem ser criptografados em um banco de dados, se armazenados. Isso não é para impedir uma violação que revele os cartões, é para dar tempo para garantir que os números dos cartões sejam inúteis quando finalmente forem revelados.
John Cavan
5
Se você editar sua resposta para dizer "Se esse dispositivo existir, você precisará ter cuidado para usá-lo adequadamente para obter o benefício", mudarei meu voto. Eu acho que seria realmente fácil de implementar de uma maneira forte: a câmera possui uma chave pública GPG e criptografa todos os dados salvos com isso. O fotógrafo não possui a chave privada: que é mantida pela agência de notícias em casa. Difícil para o fotógrafo estragar, e muito difícil de quebrar. Tenho certeza de que existem muitas variantes e até esquemas completamente diferentes que seriam eficazes.
mattdm
2
Se você planeja usar o Lightroom, o Aperture ou etc., a chave privada pode residir nesse sistema. Você pode chamar isso de "sua" chave ou o que seja; Eu acho que é mais útil considerá-lo como a chave privada correspondente à câmera. Ele pode residir lá porque você precisará da imagem "texto sem formatação" para trabalhar em qualquer caso, portanto, a segurança da imagem é tão boa quanto a do seu laptop ou desktop. Para muitas situações, isso pode ser adequado. Para situações em que o risco é grande, ser completamente incapaz de exibir ou editar os arquivos porque você não possui a chave privada correspondente pode ser uma vantagem .
mattdm