Ничего. Но это не то, о чём я говорю
Вы лучше помогите мне мою задачу решить. Есть некий список сертификатов производителей, который считается доверенным (5-10 штук). Нужно чтобы установка подписанного ими софта была разрешена. Установка софта, подписанного любым другим сертификатом должна быть запрещена или сопровождаться кучей варнингов. Не забывайте, что эти любые сертификаты тоже могут быть подлинными (подписанными Verisign-oм или Thawte-ом)
Сертификаты CA также должны оставаться нетронутыми.

Добавлено 24-11-2010 19:27:39

Вроде зафиксили

Отредактировано sentaus (24-11-2010 19:25:57)

Спасибо за подтверждение (пусть и косвенное) моего тезиса о невозможности решения задачи разделения подлинности и доверия средствами X.509

Отредактировано sentaus (24-11-2010 19:39:48)

Вот когда это будет в каждом приложении, использующим X.509, можно будет сказать, что эта фундаментальная проблема решена.
Впрочем, запуск - это только один аспект, как быть с передоверием "Cert. signing", пока всё равно непонятно.

Отредактировано sentaus (24-11-2010 20:14:52)

Нет. Опять путаете доверие к сертификату и доверие к его владельцу.
В идеале нужно:
1) Установить подлинность сертификата издателя, проверив подпись CA или с каким-либо другим способом (WoT).
2) Занести это сертификат в список доверенных.
3) Установить подлинность програмы, проверив подпись издателя.

Не получится. Вон сотовый оператор Etisalat в Эмиратах, имевшый "code signing" сертификат, заверил им троянский апдейт для Blackberry - и установил его своим абонентам. Цепочка сертификации шла мимо блэкберриевских CA. А всё потому, что пункт 2) в X.509 не требуется.

Вообще не выглядит нормальным, что в рамках X.509 браузер признаёт подлинным сертификат, например, с такой цепочкой:
1) Root CA (e.g. Verisign или Thawte)
2) ОАО "рога и копыта" Global (с битом "Cert. sign")
3) ОАО "рога и копыта" филиал (с битом "Cert. sign")
4) google.com

Понятно, что "рога и копыта" теоретически можно прижать за такое безобразие, но это ж ещё заметить надо. Много ли людей вообще знает, что такое цепочки?

Отредактировано sentaus (24-11-2010 21:48:35)

sentaus, когда же перейдем к практике на PGP? А то надоело уже на твои необоснованные закидоны по Х.509 отвечать.

Сертификат - это просто ключ, но ты этого видно не понимаешь и продолжаешь ему приписывать "программные" свойства. Не надоело?
Пункт 2) есть во многих нормальных реализациях проверки. TheBat! не будет использовать криво подписанный сертификат, пока ты сам не разрешишь ему. Так же и Лиса выдаст предупреждение, если усомнится в сертификате. Качество проверки от программиста зависит. Блэкберриевские просто не допилили проверку в своих аппаратах.

Сертификат будет уже на другую фирму создан.
Автор может аннулировать сертификат подопечного, если тот че-то натворит.

Ты его сам видел?

http://www.inssl.com/x509-open-key-specifications.html - может тут ты свой ответ найдешь.

скрытый текст

А кто мне -10 налепил?
Впрочем это уже не узнать, потому что на этом форуме рейтинг анонимный и мало что значит.
Вот в IPB классная реализация рейтинга

Раз уж тут заговорили про сертификацию и цифровые подписи, то спрошу я про шифрование, вроде тут знающие люди.
Вот настроил я жабер клиент, настроил GPG шифрование, но терзает меня один вопрос.
Я правильно понимаю, что зная исходный текст и его зашифрованный вид, профессионал может достаточно легко узнать ключ?

Спасибо, теперь стало чуть понятнее.

Подскажите клиенты Jabber, удовлетворяющие таким параметрам:
1. Windows. Поддержка звука и видео связи.
2. FreeBSD. Просто нормальный удобный неперегруженный клиент.

Redisych
1. Psi
2. Psi

А угадайте что?

P.S. Работает на Adobe Air
Так что установите его прежде чем нажать скачать

Отредактировано Леска (24-05-2011 18:38:13)

А Psi+ случайно не умеет ещё и icq пользоваться?