Мне ссылку на руководство PGP/GnuPG привести?
Не нужно. Мне этого достаточно.
Какая информация здесь заверена при условии доверия Verisign-у
Verisign и Microsoft тогда отозвали сертификаты Realtek и JMicron.
Все таки прокололись Realtek и JMicron (уже понятно, к кому претензии выставлять), потому что их сертификатом подписали, а не Verisign.
Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?
Отсутствует
Не нужно. Мне этого достаточно.
Для чего? Для того чтобы сделать неверный вывод о том, что
Это изначально лишь ключи, созданные программой.
?
Все таки прокололись Realtek и JMicron (уже понятно, к кому претензии выставлять), потому что их сертификатом подписали, а не Verisign.
Я где-то утверждал обратное? Вы действительно не понимаете, в чём проблема? Что можно подтвердить доверяя Verisign? Только подлинность драйвера, но никак не его безопасность для установки без запроса.
Впрочем, возможность установки без страшного предупреждения пользователю - это ведь именно то, на чём CA и кормятся
к кому претензии выставлять
спасибо, посмеялся
Отредактировано sentaus (23-11-2010 22:23:01)
Отсутствует
Вы действительно не понимаете, в чём проблема?
Твою мысль ну совсем не понимать.
Всем уже давно ясно, что Stuxnet создали не "школьники".
Если бы подписали все pgp-ключом, а не Х.509, то вряд ли это что-то изменило.
Если пакет в Лине подписан, то он тоже ставится без особых вопросов.
PGP подписывают, кому приспичет.
X.509 выдают организации и дает возможность вручную получить инфу о владельце, поэтому его и выбрали вместо PGP.
Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?
Отсутствует
Сейчас придёт Rosenfeld и скажет, сколько раз он собирал из исходников свои клиенты с поддержкой шифрования.
Смейтесь-смейтесь над старым больным евреем...
Вы что, серьёзно этого не знаете?
Он серьезно этого не знает, поэтому и разговор идет в таком ключе.
Отредактировано Rosenfeld (23-11-2010 22:58:58)
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
Если пакет в Лине подписан, то он тоже ставится без особых вопросов.
Нет
В том-то и дело.
PGP подписывают, кому приспичет.
Вооот! А то "ничем не отличается, ни чем не отличается"
X.509 выдают организации и дает возможность вручную получить инфу о владельце,
Если вы доверяете этим организациям в этих вопросах. Вот навскидку: как можно доверять информации из сертификата, используемого провциальным провайдером в России на почтовом сервере и выданного дочкой Verisign-а из Солт-Лэйк-Сити? (Реальный случай 6-7-летней давности) Браузер/почтовый клиент признавали его как безоговорочно подлинный - там была длинная цепочка с делегированием доверия. Зоны ответственности у CA не разделены никак.
Но это всё ерунда, главное - безоговорочно верить сертификатам, выданным на "localhost"
Отредактировано sentaus (23-11-2010 23:16:40)
Отсутствует
Смейтесь-смейтесь над старым больным евреем...
А я не смеюсь, я абсолютно серьёзно. Разве надо в убунте что-то компилять для поддержки шифрования?
Ядрёная консоль делает меня сильней!
Отсутствует
Ничего там не надо. Ставите Ubuntu и пользуетесь.
Gnu PG стоит по умолчанию, связка персональных ключей создается сразу же.
Truecrypt ставится deb-пакетом (для незнакомых с Линуксом - это все равно что exe-файл в виндах запустить).
Пользовательский раздел шифруется ВЕСЬ сразу же - то есть при установке ОС.
OTR ставится вместе с Pidgin через Синаптик (просто отмечаете чекбокс, который затаскивает штук 20 плагинов для это клиента, среди них есть и поддержка OTR)...
У меня, кстати, сын, зарегистрированный на этом же форуме, текущую тему читает, смеется и спрашивает: "пап, они и в самом деле такие (...), что разобраться в шифровании не могут?"
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
krigstask
Al_H пишет«Знаешь, я прямо сейчас не хочу собирать еще что-нибудь из исходников.»
Прозреваю человека, зря выбравшего шлаку. Или не осилившего убунту. Потому что случай какой-то странный.
Сейчас придёт Rosenfeld и скажет, сколько раз он собирал из исходников свои клиенты с поддержкой шифрования.
Да ничего странного. Видимо, он, как и я, предпочитает клиент Psi. И, следовательно, налетел на те же грабли, а именно — нет для Psi модуля, добавляющего поддержку OTR, в природе! Есть только для Psi+ — но это уже другой продукт. Да и то, даже для Ubuntu пакетов нет — вот всё, что удалось найти. То есть — либо никак, либо собирать из исходников. Надо ли к этому добавлять, что в репозитории ALT'а его тоже нет, как, впрочем, и Psi+. Так что таки да, только из исходников.
Вы всё ещё верите, что шифрование и безопасность — это всегда просто, доступно, легко и удобно? Тогда мы летим к вам.
Отсутствует
нет для Psi модуля, добавляющего поддержку OTR, в природе
Для ванильной Psi вообще модулей нет.
Ядрёная консоль делает меня сильней!
Отсутствует
Видимо, он, как и я, предпочитает клиент Psi.
А вот и не угадали. После виндовой Миранды в Линуксе сразу перешел на Пиджин.
Psi попробовал буквально неделю назад - в ванильной нет шифрования, а Psi+ очень неприятно удивило обилием "всего-всего-всего" и в одном флаконе.
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
Rosenfeld
А вот и не угадали. После виндовой Миранды в Линуксе сразу перешел на Пиджин.
Ну, тут особо и гадать не требуется — Pidgin, пожалуй, самый удобный из известных мне клиентов, для которого в Ubuntu все пакеты уже собраны. Но я пытался прозревать другого человека:
Случай из жизни. Добавив контакт друга, подумал, и установил на него "Шифровать разговоры всегда". У меня клиент на libpurple (Адиум). Мысль была такая что у друга Линукс и он в нем долго ковырялся, что-то настраивая, уж наверняка у него одобренный Минздравом Жабр-клиент, который официально не может варить кофе. Дальше реплика:
«– Это чего такое?»
Объясняю.
«Знаешь, я прямо сейчас не хочу собирать еще что-нибудь из исходников.»
Вот даже интересно, насколько я (не)угадал?
Rosenfeld
Psi+ очень неприятно удивило обилием "всего-всего-всего" и в одном флаконе.
Так в этом как раз и есть его преимущество — то, что надо, для тех, кто пытается слезть с QIP. И, как и в случае с QIP, с поддержкой шифрования нормальным путём всё плохо.
Добавлено 24-11-2010 00:40:20
Интересный, по-моему, взгляд на миграцию со стороны сферического простого пользователя в вакууме, образовавшемся после отключения от ICQ:
За последними событиями от моего внимания как-то ускользнуло решение нынешних владельцев сервиса ICQ взимать плату с разработчиков альтернативных клиентов. Кстати, в "Джуйке" уже пишут о начале миграции. Правда, не на Jabber, а на Skype.
Что же это получается? Опять неразумный и инфантильный массовый потребитель предпочитает "проприетарщину" свободным решениям? И это несмотря на все усилия сообщества, направленные на доказательство одного простого факта - "собственнические решения" крайне неустойчивы, поскольку владелец может выкинуть любой фортель (как в случае с ICQ).
Но так ли это на самом деле? Действительно ли пользователи сервисов, основанных на СПО, больше защищены от непредсказуемых действий владельцев? Увы, это не так.
Что представляет собой главную потребительскую ценность любого коммуникационного сервиса? Очевидно, это аккаунт (UIN, логин, номер...). Иными словами - идентификатор. Только необходимость его замены может как-то обеспокоить пользователя, поскольку это связано с понятными и предсказуемыми проблемами - как минимум, надо оповестить всех корреспондентов об этом факте.
Так в чем же отличие свободных сервисов от проприетарных с этой точки зрения? Ответ очевиден - ни в чем.
Например, для интернет-пейджинга я использую сервис Jabber.ru. У него есть вполне конкретные владельцы, которые запросто могут решить, что пора брать с меня деньги. Я, конечно, могу уйти на Jabber.org или вообще поднять собственный сервер. Но идентификатор <имя>.jabber.ru я потеряю.
Точно так, как потеряли свои идентификаторы мигранты с "аськи". И расходы на переход в обоих случаях будут совершенно одинаковы.
Отсутствует
И расходы на переход в обоих случаях будут совершенно одинаковы.
Пёсья чушь.Человек переходит на jabber.org, авторизует те же контакты в той же сети и готово дело. Сравнивать с переходом в другую сеть просто смешно.
Ядрёная консоль делает меня сильней!
Отсутствует
http://smi2.ru/sathen/c447811/
http://symmetrica.net/archive/certs.htm
Web of Trust - "верю - не верю..."
Может эти статьи внесут ясность о предмете спора...
Так же надеюсь, что такого бреда:
... Если пользователь работает в виндах, которые, как мы все прекрасно понимаем, мало озабочены безопасностью пользователей...
От гика "зашифрованной реальности" мы больше читать не будем...
У меня, кстати, сын, зарегистрированный на этом же форуме, текущую тему читает, смеется и спрашивает: "пап, они и в самом деле такие (...), что разобраться в шифровании не могут?"
Ну ты же умный... Объясни сыну, что тут спор, не о шифровании, а о самих ключах и сертификатах.
Добавлено 24-11-2010 03:42:07
Интеграция с социальной сетью в разы увеличивает аудиторию протокола.
AIM интегрирован с Facebook (можно с его акком подключаться и общаться на нескольких "фронтах" из одного окна) и занимает первое место среди своих конкурентов в США.
http://www.aim.com/demo
У нас ВКонтахтеры скрестились с Jabber, но юзать такое (в сравнении с AIM+Facebook) мало кто хочет...
Skype мог бы завоевать еще большею аудиторию, если бы разрешили слать оф-лайн сообщения.
Отредактировано Keepun (24-11-2010 04:21:22)
Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?
Отсутствует
Пёсья чушь.Человек переходит на jabber.org, авторизует те же контакты в той же сети и готово дело.
простой пример: ты общаешься с vasya_pupkin@jabber.ru тут внезапно приходит запрос авторизации от vasya_pupkin123@jabber.org причём чел пишет что это мол я вася пупкин, типа мой акк на ру перестал существовать и я теперь тут. какая твоя реакция? как ты проверишь что это именно он,и опятьже при увеличении количества джабберюзеров активизируются спаммеры и теье придётся ставить защиту - кк вася через неё пробъётся чтоб сообщить тебе что он на новом адресе?
так что автор прав что переход это проблема. но не прав он в том что у джаббера в отличие от проприетарных протоколов есть возможность организовать свой личный сервак и тогда потеря аккаунта будет грозить только в том случае если прощёлкал домен.
я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
toxID:05AB9B827D896AACEE7FF4573A02FB8F025F46ADC856B98F65BC1BA9BD21A81DC98BA9C36CE3
Отсутствует
есть возможность организовать свой личный сервак
Правильно! Давай каждый из нас будет арендовать dedicated-сервак за 1000р/мес ради частного Jabber
Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?
Отсутствует
Правильно! Давай каждый из нас будет арендовать dedicated-сервак за 1000р/мес ради частного Jabber
ну глупость же сказал.
я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
toxID:05AB9B827D896AACEE7FF4573A02FB8F025F46ADC856B98F65BC1BA9BD21A81DC98BA9C36CE3
Отсутствует
Объясни сыну, что тут спор, не о шифровании, а о самих ключах и сертификатах.
А ему не надо ничего объяснять - он и так умнее меня. Сам он сегодня, едва проснувшись, сформулировал это так: "спор не из-за ключей, а из-за слепого доверия некоторых к средствам виндового крипто и централизованной схемы сертификации"... После чего пошел в школу, на уроки...
Может эти статьи внесут ясность о предмете спора...
Конечно внесут. Особенно такие перлы:
Но вернемся к нашим потребностям. Где взять эту самую программу, криптопровайдер? На наше счастье(!), операционная система Windows(!) не только поддерживает сам формат, но и содержит в себе набор криптопровайдеров, которые идут в комплекте с любой из версий системы абсолютно бесплатно, то есть даром(!!!). А значит, самое очевидное решение для данной ситуации — использовать именно их(!!!).
Чтобы избежать, по возможности, подобных трудностей, Microsoft выбрала несколько удостоверяющих центров и включила их сертификаты прямо в установку Windows (это Thawte, VeriSign и другие). Они уже есть у вас на компьютере и их не надо ниоткуда получать. А значит и подменить их можно только, если у вас на компьютере живет троян (или у нехорошего человека должен быть администраторский доступ к вашему компьютеру), а говорить об использовании цифровой подписи в таком случае несколько бессмысленно.
Здесь, пожалуй, стоит немного предостеречь тех, кто погонится за бесплатностью и открытостью кода. Большинство подобных приложений действительно работают и выполняют свои функции, но есть ряд проблем, характерных для всех них. И особенно весомо(!) звучит проблема недостаточного тестирования и проблема проработки пользовательских интерфейсов.
Обе эти проблемы коренные для свободного ПО по самой его сути: разработка ведется «всем миром» (или отдельной группой), а значит у проектов в большинстве случаев нету общего идеолога(!), нету общего конструктора, дизайнера и т.п. В итоге, зачастую получается ситуация «что выросло — то выросло», а это не всегда удобно чисто с функциональной точки зрения.
Тестирование тоже, как правило, ведется «всем миром», а не профессиональными тестировщиками, над которыми нависает злой руководитель, поэтому багов в итоговую версию попадает больше(!!!). Кроме того, если обнаружен баг, который может привести к потере вашей информации, спросить бывает некого: ПО-то бесплатное и открытое, и финансовой или юридической ответственности перед вами точно никто не несет, тогда как с платным софтом зачастую есть варианты.
Для создания подобных сертификатов можно использовать программу, входящую в состав средств Microsoft Office (Цифровой сертификат для проектов VBA), или же, для лучшей настройки назначения и прочих полей данного сертификата, программу стороннего производителя, например КриптоАрм, который даже в бесплатной своей версии позволяет такие сертификаты создавать.
(скажем, у замечательной во всех отношениях программы True Crypt являющейся де-факто стандартом в области шифрования данных, интерфейс ужасающ для человека, не очень глубоко разбирающегося в вопросе)
Чего я тут могу сказать?! Человек вылизал весь зад M$, попутно прорекламировал пару-тройку коммерческих продуктов, плюс, как водится, кинул камень в огород свободного ПО и остался весьма доволен собою...
Отредактировано Rosenfeld (24-11-2010 07:49:13)
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
простой пример: ты общаешься с vasya_pupkin@jabber.ru тут внезапно приходит запрос авторизации от vasya_pupkin123@jabber.org причём чел пишет что это мол я вася пупкин, типа мой акк на ру перестал существовать и я теперь тут. какая твоя реакция?
Яркий пример проблемы, элементарно решаемой средствами openPGP
Просто создаём новый UserID и отзываем старый. Не всё, к сожалению, здесь гладко, часть сети доверия можно порушить, но зато ОЧЕНЬ просто.
Добавлено 24-11-2010 12:13:12
"спор не из-за ключей, а из-за слепого доверия некоторых к средствам виндового крипто и централизованной схемы сертификации"
Проблема собственно в том, что доверие принудительно наследуется вниз по дереву. Пользователь никак не может заблокировать у себя валидный сертификат, не пиная CA.
http://www.f-secure.com/weblog/archives/00002017.html
I investigated the case with the help of the victim and Comodo, the Certification Authority that had signed the fraudulent certificate. I discovered that the certificate had been requested in name of an actual employee and that Comodo had used both phone call verification as well as e-mail.
И это сертификат для подписывания кода!
Отредактировано sentaus (24-11-2010 12:27:03)
Отсутствует
простой пример: ты общаешься с vasya_pupkin@jabber.ru тут внезапно приходит запрос авторизации от vasya_pupkin123@jabber.org причём чел пишет что это мол я вася пупкин, типа мой акк на ру перестал существовать и я теперь тут. какая твоя реакция? как ты проверишь что это именно он,и опятьже при увеличении количества джабберюзеров активизируются спаммеры и теье придётся ставить защиту - кк вася через неё пробъётся чтоб сообщить тебе что он на новом адресе?
При всём при этом это куда проще переезда в другую сеть. Опять же, кто мешает разослать оповещения со старого адреса? Какие-то проблемы из пальца высосанные.
Ядрёная консоль делает меня сильней!
Отсутствует
Чего я тут могу сказать?! Человек вылизал весь зад M$, попутно прорекламировал пару-тройку коммерческих продуктов, плюс, как водится, кинул камень в огород свободного ПО и остался весьма доволен собою...
Ну, в первых двух статьях, согласен, бреда много, но про X.509 разжевано.
Про PGP третья статья.
На SSL и TLS пашет весь Инет, поэтому печатать о том, что Х.509 - это прерогатива Виня... ну, не совсем верно...
Пользователь никак не может заблокировать у себя валидный сертификат, не пиная CA.
А на certmgr.msc (Сертификаты) что тогда по твоему делается?
Добавлено 24-11-2010 15:18:09
ну глупость же сказал.
А где еще тогда можно разместить eJabberd, что бы он был всегда он-лайн?
Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?
Отсутствует
А на certmgr.msc (Сертификаты) что тогда по твоему делается?
Не то, что нужно. Там можно заблокировать сертификаты CA(Verisign, Thawte...), а вот заблокировать сертификат отдельного поставщика(Realtek, JMicron...) невозможно - их там просто нет. Да и не "чёрный" список должен быть в данном случае, а "белый".
Блин, народ реально не понимает, в чём отличие подлинности от доверия.
Добавлено 24-11-2010 15:22:35
но про X.509 разжевано.
Далеко не всё, там никак не рассмотрены вопросы, о которых я тут говорю.
Отсутствует
а вот заблокировать сертификат отдельного поставщика(Realtek, JMicron...) невозможно - их там просто нет
Да шо ты!
А добавить не судьба? Если залезишь в свойства сертифицированной проги, то можешь этот сертификат импортировать в систему и заблокировать - это я уже на практике сделал
Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?
Отсутствует
А добавить не судьба?
Не судьба, я ж его заранее не знаю в общем случае, во многих сценариях установка будет запущена ДО того, как у меня будет возможность щёлкнуть правой кнопкой... Говорю же, здесь "белый" список должен быть, а не "чёрный", есть вполне ограниченный набор производителей софта, которому нужно разрешить установку, а остальных блокировать. Сейчас этот сценарий нереализуем.
Отредактировано sentaus (24-11-2010 16:16:45)
Отсутствует
во многих сценариях установка будет запущена ДО того, как у меня будет возможность щёлкнуть правой кнопкой...
При запуске с правами админа в сВисте и Севене тебе выдадут сначала окно с данными о сертификате и даже цветом подскажут, к какой категории относится сертификат.
Говорю же, здесь "белый" список должен быть, а не "чёрный", есть вполне ограниченный набор производителей софта, которому нужно разрешить установку, а остальных блокировать.
Ты вообще certmgr.msc запускал? Похоже что - нет...
Если бы запустил, то уже бы знал, что там не только разделение на "доверенные" и "нет доверия", но и можно по каждому сертификату указать, в какой области ему доверять, а где нет. Для PGP столько опций нет, потому что все нужно через призрачную "Сеть доверия" проверять.
Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?
Отсутствует
Если бы запустил, то уже бы знал, что там не только разделение на "доверенные" и "нет доверия", но и можно по каждому сертификату указать, в какой области ему доверять, а где нет.
Это опять не то, что нужно
Прочитайте ещё раз, о чём я говорю.
Для PGP столько опций нет
Вы мне снова делаете смешно, я сейчас про PGP вообще не говорю.
потому что все нужно через призрачную "Сеть доверия" проверять.
А вот это в контексте описанной задачи (белый список доверенных сертификатов производителей) тоже абсолютно неважно: сеть доверия или централизованная сертификация используется для подтверждения их подлинности. Хоть это, я надеюсь, понятно?
Добавлено 24-11-2010 18:46:54
При запуске с правами админа в сВисте и Севене тебе выдадут сначала окно с данными о сертификате
Это уже лучше. Правильная реализация должна содержать 4 кнопки: верить сейчас, верить всегда, поместить в белый список. Подчеркну, это для зелёного окна. И жёлтого, впрочем, тоже.
Отредактировано sentaus (24-11-2010 19:15:05)
Отсутствует