ksi
Пусть ты загеристрировал сертификат с твоим адресом. Как происходило подтверждение владения адресом e-mail при регистрации сертификата? Наверняка было тестовое письмо, на которое нужно было ответить или нажать какую-нибудь ссылку.
Перехватывая эти тестовые письма злоумышленник может зарегистрировать ещё один сертификат с таким-же адресом e-mail. В результате имеем два сертификата с одним адресом, подлинные с точки зрения Thawte.
Отсутствует
ksi
Пусть ты загеристрировал сертификат с твоим адресом. Как происходило подтверждение владения адресом e-mail при регистрации сертификата? Наверняка было тестовое письмо, на которое нужно было ответить или нажать какую-нибудь ссылку.
Перехватывая эти тестовые письма злоумышленник может зарегистрировать ещё один сертификат с таким-же адресом e-mail. В результате имеем два разных сертификата с одним адресом, подлинные с точки зрения Thawte - один у тебя, другой у злоумышленника.
Отсутствует
конкретно на thawte заводится учетка, для управления сертификатами. через шифрованую вебу я могу заказывать и отзывать свои сертификаты, добавлять адреса электронной почты. Перехвать письма ничего не даст по одной простой причине. они нажмут на ссылку, но не смогут скачать сертификат, тк не смогут войти в этот "личный кабинет". А вот я уже увижу, что кто-то его без меня активировал и просто отзову, заказав новый.
Короче структура PKI на основе сертификатов лично для меня удобней, тк поддерживается TB в базовой поставке, понимается абсолютным большинством почтовиков, не требует установки дополнительного по, сертификаты доступны из любой точки мира (через тот самый личный кабинет).
Отсутствует
2 gyn:
А не кинете ссылочку на описание где и как можно подписать GPG ключи? И как это можно сделать через Enigmail?
1) gpg --help
2) в KDE правой кнопкой мыши -> подписать
3) любой утилитой, работающей с GPG
2 FUBAr:
А вот я купил сертификат платный и терь хоть снифферы лопнут но меня не склонируют
Этот сертификаг генерировали не вы, так ли? Если да, то теперь и не надо его клонировать он уже всенародное достояние, тем более, если вы его через инет получали
Linux stranger 2.6.11.4-21.7-default #1 Tue Mar 29 09:27:43 UTC 2005 x86_64 x86_64 x86_64 GNU/Linux
Mozilla/5.0 (X11; U; Linux x86_64; ru-RU; rv:1.7.8) Gecko/20050511 Firefox/1.0.5 SUSE/x86_64/1.0.4-0.1
Отсутствует
Добрый день.
Сегодня хотел отправить подписанное письмо, подписывал с помощью PGP через буфер обмена. После того как вставил содержимое буфера в тело письма, текст превратился в каракули. Скажите, в чем может быть дело?
ASP Linux
Отсутствует
А вот я купил сертификат платный и терь хоть снифферы лопнут но меня не склонируют
Все верно. Если Вы купили сертификат в серьезном сертификационном центре, то никаких копий им не оставили. Закрытая часть сертификата сгенерировалась в Вашей машине.
С форума pgpru.com
Когда Вы проходите процедуру зачисления в PKI удостоверяющего центра, Ваш браузер (т.е. MS Crypto API) генерирует пару ключей, формирует пакет запроса, куда включаются все записи создаваемого сертификата -- Ваше имя, мэйл и прочее -- подписывает запрос закрытым ключом и вместе с открытым отправляет его в центр сертификации. Тот проводит проверку достоверности представленных данных и, если всё в порядке, издаёт сертификат в формате Х.509, заверяет его собственным закрытым ключом и передаёт сертификат Вам. Закрытый ключ не покидает системное хранилище сертификатов Windows Вашего компьютера.
Копию присылают такие центры к услугам которых лучше не прибегать.
Бесплатные сертификационные центры, выдающие сертификаты на расстоянии без проверки Вашей личности, никому и ничего не гарантируют, ну может быть действительно от части сам почтовый ящик. Ну это как Вы бы паспорт получали не приходя в паспортный стол милиции, я бы например влдадельцу такого паспорта не верил. Паспорт дают не человеку, а местоположению, которое может измениться, хотя бы уже потому.
Назначение сертификата можно посмотреть в его свойствах, там не отмечено галочкой «проверка подлинности клиента», (но галочкапочему то ставится??? сертификат у меня бесплатный, никто мою личность не проверял)
Насчет доверия к ключам PGP, помимо сетевых механизмов (хотя и бесплатных, но в то же время очень эффективных) при желании они позволяют заверить ключи и с помощью сертификационного центра, это делается добавлением к ключу сертификата X.509.
Ну и потом, что меня всегда не устраивало в S/MIME – сертификат можно использовать только с одним ящиком. И к тому же ограничение (хотя возможно я ошибаюсь) на длину ключа в 1024 бит, а в моей версии еще и хеш-функция md5.
И еще вопрос если можно - как в thunderbird добавить сертификат X.509? Зашел в хзранилище сертификатов, а там кнопки добавить нет. Хотя в системе (панель управления - содержание - сертификаты) сертификат установлен.
PS последняя версия PGP работает на уровне протоколов и как я понимаю шифрует все включая вложения одним нажатие кнопки.
Отредактировано Вий (15-05-2005 19:32:23)
ASP Linux
Отсутствует
Ориентируясь на данную тему решил я вставить свой сертификат в Thunderbird. Не получается. При указании на имя файла сертификата программа просит
"Введите мастер-пароль для программное устр."
Ввожу пароль к сертификату, и ничего, опять просит то же самое. Подскажите кто знает, что это значит.
PS пароль у меня при генерации сертификата по ошибке был введен кириллицей, может это быть причиной?
ASP Linux
Отсутствует
Это похоже на мастер-пароль из Инструменты|Настройки...|Дополнительно группа Сохранённые пароли|Мастер-пароль, при помощи которого защищаются личные данные. В том числе пароли учётных записей и сертификатов.
Благодарю алфавит за любезно предоставленные буквы.
Отсутствует
Спасибо. Получилось преодолеть этот барьер. Но далее опять загвоздка. Теперь нужно ввести пароль, использованный для шифрования резервной копии сертификата. Что за пароль? У меня один пароль на сертификат. С внедрением этого сертификата в Outlook Express или MS Outlook никаких проблем. Ввожу этот единственный пароль и все! А тут еще какой-то нужен. Не подскажете, что ему нужно, что за пароль?
ASP Linux
Отсутствует
Здравствуйте!
Не подскажете в чем дело? Я хочу зашифровать сообщение с помощью s/mime, даю команду требовать шифрования. Программа дает сообщение, что нужно установить один или более личных сертификатов. Сертификат получателя у меня установлен. Почему я не могу отправить зашифрованное сообщение? Или в Thunderbird отправка с помощью s/mime осуществляется с обязательным подписыванием, для чего нужен личный сертификат?
Кстати личный сертификат я так и не сумел вставить в хранилище (как писал в прежнем сообщении), то же вопрос.
Заранее спасибо.
ASP Linux
Отсутствует
Отсутствует
Подскажите. А почему при прытке установки SHA256 и больше Енигмайл ругается, что длина ключа не должн превышать 160 бит? Установлен: Thunderbird 1.5 Beta2, Enigmail 0.93.0, ключ Elgamal 4096.
И ещё. Какой алгоритм шифрования Енигмейл использует по умолчанию? А то перелазил все настройки, но не нашёл ни одного пункта где можно явно указать используемый алгоритм шифрования.
Заранее спасибо.
Отсутствует
Подскажите. А почему при прытке установки SHA256 и больше Енигмайл ругается, что длина ключа не должн превышать 160 бит? Установлен: Thunderbird 1.5 Beta2, Enigmail 0.93.0, ключ Elgamal 4096.
Elgamal — это подключ, сам ключ (скорее всего) — 1024D (DSA).
Для DSA нельзя использовать более чем 160-битные хэш-функции (SHA256, SHA384, SHA512), для них требуется RSA ключ.
И ещё. Какой алгоритм шифрования Енигмейл использует по умолчанию? А то перелазил все настройки, но не нашёл ни одного пункта где можно явно указать используемый алгоритм шифрования.
Если речь идёт о асимметричном, используется соответствующий типу ключа получателя (Elgamal или RSA).
Если же о симметричном, это зависит от параметров самого открытого ключа. Если не указывается --cipher-algo [name], то используется тот алгоритм, что стоит по умолчанию в настройках (их можно изменять, равно как и выставлять --cipher-algo [name]).
Если возможно, укажите открытый ключ получателя (которым шифруете), в нём можно найти используемые шифры. Если он был создан стандартным способом и не редактировался впоследствии, то скорее всего по умолчанию используется AES256 (Rijndael). Для разных ключей могут быть разные настройки.
Отредактировано Lustermaf (22-10-2005 17:54:01)
Отсутствует
Спасибо за ответ.
Просто в PGP в Менеджере Ключей явно указывалось какой алгоритм шифрования используется на каждый ключ (в частности, я про симметричные типа AES256). А нсколько дней назад поставил на Тундер расширение Енигмейл и сгенерировал новую пару ключей, но ни в процессе создания, генерации ключей у меня не спрашивало какой симетричный алгоритм шифрования применить к моей паре. Также нет информации о симметричном алгоритме и в Менеджере Ключей Енигмейл.
А вчера попробовал поставить PGP Desktop 9. Симпатичный, но пришлось снести его, т.к. комп в спящий режим стал уходить раза в 3 дольше, и при включении странное поведение наблюдалось.
Отредактировано evvua (23-10-2005 12:27:03)
Отсутствует
А вчера попробовал поставить PGP Desktop 9. Симпатичный, но пришлось снести его, т.к. комп в спящий режим стал уходить раза в 3 дольше, и при включении странное поведение наблюдалось.
Данная версия пока не отточена до совершенства. Желательно подождать хотя бы до версии 9.1. А пока можно с полной отдачей использовать PGP 8.1, она полегче, "кривых" мест не замечено, за исключением какого-то одного, не слишком принципиального.
ASP Linux
Отсутствует
PGP позволяет выбрать алгоритм в котором генерируется ключ, но при расшифровке письма имеет проблемы с кирилицей отличной от кодировки Windows-1251. Поэтому ключики лучше генерировать в PGP, а использовать в GPG.
Отсутствует
PGP позволяет выбрать алгоритм в котором генерируется ключ,
Это Вы про симметричный алгоритм? GPG тоже это позволяет, более того, можно изменить симметричный алгоритм на уже генерированном ключе.
Отсутствует
Поэтому ключики лучше генерировать в PGP, а использовать в GPG.
Ничего подобного. У GnuPG гораздо больше возможностей в области генерации ключей, там такое можно создать, что PGP Desktop и в страшном сне не приснится.
Я вообще сейчас PGP не использую — GnuPG гораздо функциональнее.
PGP позволяет выбрать алгоритм в котором генерируется ключ,
Это Вы про симметричный алгоритм? GPG тоже это позволяет, более того, можно изменить симметричный алгоритм на уже генерированном ключе.
Верно. А делается это так:
gpg --version
— выводит доступные алгоритмы
gpg --edit-key [Key ID]
setpref [предпочтительные алгоритмы]
— вписать алгоритмы, перечисленные выше (шифрования, хэширования, сжатия), одной строкой, первые в строке — наиболее приоритетные
save
Отредактировано Lustermaf (24-10-2005 23:15:27)
Отсутствует