Полезная информация

Будьте в курсе последних изменений в мире Mozilla, следя за нашим микроблогом в Twitter.

№102-05-2005 16:10:33

gyn
Участник
 
Группа: Members
Откуда: Каменец-Подольский
Зарегистрирован: 05-12-2004
Сообщений: 162

Enigmail vs S/MIME

Господа
Не хотелось бы начинать флеймоопасную тему, но помогите разобраться чем лучше пользоваться для электронной подписи: Enigmail или S/MIME.
Попробывал и то и другое.
Enigmail: если не включать "Использовать для этого сообщения PGP/MIME", то уродуется внешний вид письма. Если включить то письмо кодируется в quote-printable что не есть хорошо (не все его смогут прочитать).
S/MIME. Вроде всё хорошо но при этом письмо "толстеет" на 4K.
Не знаю на чём остановиться. :(


Чудес не бывает - бывают только глюки.

Отсутствует

 

№203-05-2005 02:49:14

arab
Участник
 
Группа: Members
Зарегистрирован: 25-04-2005
Сообщений: 741

Re: Enigmail vs S/MIME

gyn пишет

...Вроде всё хорошо но при этом письмо "толстеет" на 4K.
Не знаю на чём остановиться. :(

А что 4 Кб так страшно?

Отсутствует

 

№303-05-2005 11:56:13

gyn
Участник
 
Группа: Members
Откуда: Каменец-Подольский
Зарегистрирован: 05-12-2004
Сообщений: 162

Re: Enigmail vs S/MIME

arab пишет

А что 4 Кб так страшно?

Не страшно, но и не приятно. Особенно в рассылках.

А как насчёт юзабельности обоих методов в разных почтовиках?


Чудес не бывает - бывают только глюки.

Отсутствует

 

№403-05-2005 12:51:12

arab
Участник
 
Группа: Members
Зарегистрирован: 25-04-2005
Сообщений: 741

Re: Enigmail vs S/MIME

Я испокон веков пользовался и до сих пор пользуюсь S/MIME. А PGP только лишь при случае. Скорее всего из-за того что не у всех пользователей имеется PGP, а S/MIME имеется почти во всех почтовых программах. Хотя PGP хорош, ничего плохого о нём сказать не могу.

Отредактировано arab (03-05-2005 12:53:33)

Отсутствует

 

№503-05-2005 13:12:57

gyn
Участник
 
Группа: Members
Откуда: Каменец-Подольский
Зарегистрирован: 05-12-2004
Сообщений: 162

Re: Enigmail vs S/MIME

2 arab

А если не секрет, где брали сертификат? Я для тренировки взял шаровой на http://www.thawte.com/email/ но со временем хотелось бы получить настоящий, но чтобы не очень дорого. :rolleyes:


Чудес не бывает - бывают только глюки.

Отсутствует

 

№603-05-2005 13:28:23

arab
Участник
 
Группа: Members
Зарегистрирован: 25-04-2005
Сообщений: 741

Re: Enigmail vs S/MIME

Сертификат Thawte и есть самый настоящий :) не игрушка :) Просто они не могут удостовериться как Вас зовут вот и пишут "Free e-mail member"
А для моих получателей не важно что там написано, для них важно откуда (с какого ящика) пришло письмо, а это сертификат от Thawte отлично подтверждает. Кстати где-то там у них на сайте описан процесс как доказать им своё "Я" и ввести имя в сертификат.

Отсутствует

 

№706-05-2005 00:31:15

Vlad2000Plus
Участник
 
Группа: Extensions
Откуда: Ростов-на-Дону
Зарегистрирован: 09-01-2005
Сообщений: 413

Re: Enigmail vs S/MIME

Здесь можно получить бесплатно сертификат на своё имя.

Отсутствует

 

№806-05-2005 10:38:12

gyn
Участник
 
Группа: Members
Откуда: Каменец-Подольский
Зарегистрирован: 05-12-2004
Сообщений: 162

Re: Enigmail vs S/MIME

Vlad2000Plus пишет

Здесь можно получить бесплатно сертификат на своё имя.

Спасибо, получил. Оказался один маленький подвох. Сертификат подписан "TC TrustCenter Class 1 CA" в то время как в почтовиках прописаны "TC TrustCenter Class 2 CA" и "TC TrustCenter Class 3 CA". Получается что всем кто захочет проверить мою подпись необходимо дополнительно устанавливать "TC TrustCenter Class 1 CA" :(


Чудес не бывает - бывают только глюки.

Отсутствует

 

№907-05-2005 17:41:27

StrangerTeam
Участник
 
Группа: Members
Зарегистрирован: 15-03-2005
Сообщений: 10

Re: Enigmail vs S/MIME

GPG однозначно лучше, потому, что позволяет самому манипулировать сертификатом, создавать его, подписывать, отзывать.

Все открытые ключи хранятся на внешних key-серверах, так что ни у кого не возникает проблем с проверкой подписи от нового/неизвестного получателя. Поддерживается всеми нормальными почтовиками.

Так же, он более прозрачен, что позволяет использовать его практически везде.

Более того, GPG уже является стандартом дэфакто для шифрования на уровне самой ОС, во многих оболочких, типа KDE, шифровка/дешифровка производиться одной кнопкой мыши.

И наконец - ни разу в жизни не видел ни одного письма подписанного S/MIME, вряд ли его вообще кто-то пользует. :D


Linux stranger 2.6.11.4-21.7-default #1 Tue Mar 29 09:27:43 UTC 2005 x86_64 x86_64 x86_64 GNU/Linux
Mozilla/5.0 (X11; U; Linux x86_64; ru-RU; rv:1.7.8) Gecko/20050511 Firefox/1.0.5 SUSE/x86_64/1.0.4-0.1

Отсутствует

 

№1007-05-2005 18:57:40

gyn
Участник
 
Группа: Members
Откуда: Каменец-Подольский
Зарегистрирован: 05-12-2004
Сообщений: 162

Re: Enigmail vs S/MIME

2 StrangerTeam

А не кинете ссылочку на описание где и как можно подписать GPG ключи? И как это можно сделать через Enigmail?


Чудес не бывает - бывают только глюки.

Отсутствует

 

№1107-05-2005 19:58:31

Vbym
Участник
 
Группа: Members
Откуда: Sochi
Зарегистрирован: 23-03-2005
Сообщений: 112

Re: Enigmail vs S/MIME

Я думаю всем искренне интересующимся будет полезно сходить сюда: http://www.pgpru.com/

Отредактировано Vbym (07-05-2005 20:04:34)


А что будет, если....

Отсутствует

 

№1207-05-2005 21:40:44

Stas_S
Участник
 
Группа: Members
Зарегистрирован: 23-02-2005
Сообщений: 11

Re: Enigmail vs S/MIME

А не кинете ссылочку на описание где и как можно подписать GPG ключи?

Вы имеете ввиду как обеспечить подтверждение подлинности ключа?
http://pgpru.com/manuals/wot/

Отсутствует

 

№1307-05-2005 22:49:28

ksi
Участник
 
Группа: Members
Откуда: Москва, Зеленоград
Зарегистрирован: 11-11-2004
Сообщений: 100

Re: Enigmail vs S/MIME

под виндой S/MIME поддерживается любым клиентом в базовой комплектации.
проблем с проверкой сертификата нету, а вероятность подмены практически нулевая, что нельзя сказать о PGP ключах, свободно генерируемых на машине клиента. И еще, если я не ошибаюсь, хранилище ключей не позволяет сделать многоуровневую структуру PKI?

Отсутствует

 

№1407-05-2005 23:13:22

ksi
Участник
 
Группа: Members
Откуда: Москва, Зеленоград
Зарегистрирован: 11-11-2004
Сообщений: 100

Re: Enigmail vs S/MIME

Оказался один маленький подвох. Сертификат подписан "TC TrustCenter Class 1 CA" в то время как в почтовиках прописаны "TC TrustCenter Class 2 CA" и "TC TrustCenter Class 3 CA". Получается что всем кто захочет проверить мою подпись необходимо дополнительно устанавливать "TC TrustCenter Class 1 CA" :(

Попробуй на www.thawte.com c ними вроде все ок

Отсутствует

 

№1508-05-2005 08:19:31

Stas_S
Участник
 
Группа: Members
Зарегистрирован: 23-02-2005
Сообщений: 11

Re: Enigmail vs S/MIME

ksi

проблем с проверкой сертификата нету, а вероятность подмены практически нулевая,

Это верно при выполнении двух условий:
1) У Вас есть подлинные ключи удостоверяющих центров.
2) Вы доверяете этим удостоверяющим центрам.

свободно генерируемых на машине клиента.

Стоп! А закрытые ключи для X.509 сертификатов разве генерируются центром? Если да, то, получается, что Вы оставляете копию своего закрытого ключа в удостоверяющем центре. Со всеми вытекающими...

Отсутствует

 

№1608-05-2005 08:24:29

Stas_S
Участник
 
Группа: Members
Зарегистрирован: 23-02-2005
Сообщений: 11

Re: Enigmail vs S/MIME

И еще, если я не ошибаюсь, хранилище ключей не позволяет сделать многоуровневую структуру PKI?

В OpenPGP используется не иерархическая (многоуровневая) модель, а распределённая (сетевая).  Она более общая, и использовать её как иерархическую вполне реально. В корпоративных PKI так и делают.

Отсутствует

 

№1708-05-2005 13:09:37

ksi
Участник
 
Группа: Members
Откуда: Москва, Зеленоград
Зарегистрирован: 11-11-2004
Сообщений: 100

Re: Enigmail vs S/MIME

Это верно при выполнении двух условий:
1) У Вас есть подлинные ключи удостоверяющих центров.
2) Вы доверяете этим удостоверяющим центрам.

ну речь идет о бесплатных сертификатах от thawte.com или других корневых СЦ. Так что эти условая выполняются по умолчанию.

Стоп! А закрытые ключи для X.509 сертификатов разве генерируются центром? Если да, то, получается, что Вы оставляете копию своего закрытого ключа в удостоверяющем центре. Со всеми вытекающими...

я ничего не говорил о закрытых ключах :) Просто открытые ключи в сертификате сразу же подписываются СЦ, а вот открытые ключи PGP надо еще передать в хранилище.

Отсутствует

 

№1808-05-2005 13:14:39

FUBAr
Участник
 
Группа: Members
Откуда: В тундре, на кимберлите сидит.
Зарегистрирован: 27-10-2004
Сообщений: 868
Веб-сайт

Re: Enigmail vs S/MIME

А вот я купил сертификат платный и терь хоть снифферы лопнут но меня не склонируют=D


Сноси несвободное, отрубай от матриц

Отсутствует

 

№1908-05-2005 14:21:32

Stas_S
Участник
 
Группа: Members
Зарегистрирован: 23-02-2005
Сообщений: 11

Re: Enigmail vs S/MIME

ksi

Так что эти условая выполняются по умолчанию.

Со вторым условием я бы не торопился. Как проверяется правильность имени и e-mail?

Отсутствует

 

№2008-05-2005 19:19:18

ksi
Участник
 
Группа: Members
Откуда: Москва, Зеленоград
Зарегистрирован: 11-11-2004
Сообщений: 100

Re: Enigmail vs S/MIME

бесплатный сертификат удостоверяет только e-mail, не имя . ибо у СЦ нет возможности проверить подленность имени. хотя если найдется поручитель - можно и имя
а вот мыло вполне твое, раз ты смог получить на него сертификат. в большинстве случаев достаточно подтверждения подлинности адреса

Отредактировано ksi (08-05-2005 19:20:25)

Отсутствует

 

№2108-05-2005 20:06:07

Stas_S
Участник
 
Группа: Members
Зарегистрирован: 23-02-2005
Сообщений: 11

Re: Enigmail vs S/MIME

ksi
Всё, разобрался как Thawte работает.
Аналогичная службы есть для ключей OpenPGP - Robot CA, PGP Global Directory.
Но сертификат и тут подделать можно - письмо может быть перехвачено на промежуточном маршрутизаторе или администратором почтовой службы. После этого зарегистрировать сертификат с Вашим адресом труда не составит.
Поэтому, я бы не полагался на подпись Thawte.

Отсутствует

 

№2208-05-2005 20:52:14

gyn
Участник
 
Группа: Members
Откуда: Каменец-Подольский
Зарегистрирован: 05-12-2004
Сообщений: 162

Re: Enigmail vs S/MIME

Кстати, обнаружил на сервере ключей несколько своих старых GPG-ключей, которые естественно у меня не сохранились. Есть какая-либо возможность их удалить оттуда? Сервер ключей penguin.de если это существенно.


Чудес не бывает - бывают только глюки.

Отсутствует

 

№2308-05-2005 21:08:25

Почесал
Участник
 
Группа: Members
Зарегистрирован: 24-02-2005
Сообщений: 3957

Re: Enigmail vs S/MIME

http://weblog.infoworld.com/udell/2004/03/23.html#a952

Посмотрите, хорошая статейка на тему как подделать S/MIME подпись.

Отсутствует

 

№2408-05-2005 21:52:26

gyn
Участник
 
Группа: Members
Откуда: Каменец-Подольский
Зарегистрирован: 05-12-2004
Сообщений: 162

Re: Enigmail vs S/MIME

gass512 пишет

http://weblog.infoworld.com/udell/2004/03/23.html#a952

Посмотрите, хорошая статейка на тему как подделать S/MIME подпись.

Так ведь по картинке http://weblog.infoworld.com/udell/gems/gotchaOutlook2.jpg видно подмену ;) Автор сам признается что обман строится на социальной инженерии.


Чудес не бывает - бывают только глюки.

Отсутствует

 

№2508-05-2005 23:53:43

ksi
Участник
 
Группа: Members
Откуда: Москва, Зеленоград
Зарегистрирован: 11-11-2004
Сообщений: 100

Re: Enigmail vs S/MIME

письмо может быть перехвачено на промежуточном маршрутизаторе или администратором почтовой службы. После этого зарегистрировать сертификат с Вашим адресом труда не составит.

сертификат удостоверяет лишь то, что письмо было отправлено именно с этого адреса. в этом случае перехваченное письмо ничего не даст. только если я могу отправлять письма с этого ящика. в таком случае это не есть компрометация сертификата, ибо свою цель - удостоверения адреса он выполнит.

или я тебя не понял :)

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]