Полезная информация

Список ответов на каверзные вопросы можно получить в FAQ-разделе форума.

№175122-11-2010 03:11:16

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 3.6
Веб-сайт

Re: Jabber vs. ICQ vs. MSN

Rosenfeld пишет

Если пользователь работает в виндах, которые, как мы все прекрасно понимаем, мало озабочены безопасностью пользователей - то туда  GnuPG надо ставить специально.

Если в Виндах нет твоего любимого GnuPG - это еще не значит, что нет крипто вообще.

http://ru.wikipedia.org/wiki/CryptoAPI
Любой программист может юзать без дополнительного софта.


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№175222-11-2010 03:54:55

Erik
Рупор народной культуры
 
Группа: Members
Откуда: Бавария, Бюргерстан
Зарегистрирован: 25-09-2006
Сообщений: 1341
UA: Chrome 7.0

Re: Jabber vs. ICQ vs. MSN

Keepun, ну и как тут воздержаться от едкой иронии по поводу того, что любому пользователю Windows нужно быть программистом, в то время как в дистрибутивах линукс криптография из коробки, причём с дружественным к пользователю графическим интерфейсом...

Отредактировано Erik (22-11-2010 03:55:57)

Отсутствует

 

№175322-11-2010 04:16:04

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 3.6
Веб-сайт

Re: Jabber vs. ICQ vs. MSN

Erik пишет

в то время как в дистрибутивах линукс криптография из коробки

А CryptoAPI по твоему не "из коробки"?
На нем многие серьезные проги и пашут. Так же его юзают почтовый софт и Осел.

Тут больше немой вопрос к разработчикам самих IM и плагов для них: "Че не используете?"
Хотя в плаге QIP Crypto предлагали заюзать CryptoAPI, чтобы не вынуждать качать gpg.exe, но идея в 2009г осталась...

Добавлено 22-11-2010 04:26:41

Erik пишет

причём с дружественным к пользователю графическим интерфейсом...

Отдельного GUI для CryptoAPI много на просторах Инета. Взять бы хотябы простой пример из MSDN.
Но зачем юзару вообще сам GUI для CryptoAPI или того же GnuPG, если прога для передачи данных с шифровкой не работает?


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№175422-11-2010 11:56:19

sentaus
Участник
 
Группа: Members
Зарегистрирован: 03-06-2005
Сообщений: 759
UA: Firefox 3.6

Re: Jabber vs. ICQ vs. MSN

Тут больше немой вопрос к разработчикам самих IM и плагов для них: "Че не используете?"

Не доверяют, не считают качественной реализацией, ибо примеры детских ошибок в реализации крипто программимтами MS уже есть, и неднократные :(
Взять хотя бы известную ошибку в rc4 в WinNT syskey.
http://marc.info/?l=bugtraq&m=94537756429898&w=2

Отредактировано sentaus (22-11-2010 11:59:51)

Отсутствует

 

№175522-11-2010 13:17:24

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 3.6
Веб-сайт

Re: Jabber vs. ICQ vs. MSN

sentaus пишет

Взять хотя бы известную ошибку в rc4 в WinNT syskey.

Вспомнил про древние баги...
Может еще баги OpenSSL копнем?

sentaus пишет

Не доверяют, не считают качественной реализацией

Тут больше подходит вариант: не заморачиваются с шифрованием вообще!
Ибо, при желании, CryptoAPI - не единственный вариант.


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№175622-11-2010 13:39:46

sentaus
Участник
 
Группа: Members
Зарегистрирован: 03-06-2005
Сообщений: 759
UA: Firefox 3.6

Re: Jabber vs. ICQ vs. MSN

Вспомнил про древние баги...

Это фундаментально-криптографический баг, а не просто ошибка кодирования. Такое можно допустить только будучи незнакомым с криптографией вообще.

Может еще баги OpenSSL копнем?

Лучше GnuPG, OpenSSL сам считаю не самым лучшим продуктом, хотя до фундаментальных ошибок они не доходили. :)

Тут больше подходит вариант: не заморачиваются с шифрованием вообще!
Ибо, при желании, CryptoAPI - не единственный вариант.

Тоже верно.

Отредактировано sentaus (22-11-2010 13:40:03)

Отсутствует

 

№175722-11-2010 13:49:35

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 3.6
Веб-сайт

Re: Jabber vs. ICQ vs. MSN

sentaus пишет

Лучше GnuPG, OpenSSL сам считаю не самым лучшим продуктом

Это вообще-то разные вещи.
С SSL часть Инета шифруется, а GnuPG в основном для подписания пакетов в Лине.

Отредактировано Keepun (22-11-2010 13:52:39)


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№175822-11-2010 13:57:39

Al_H
Away
 
Группа: Members
Откуда: SPb
Зарегистрирован: 10-06-2005
Сообщений: 5508
UA: Firefox 4.0

Re: Jabber vs. ICQ vs. MSN

Rosenfeld пишет

Причем джаббер у них был "вконтахтный" или гугловско-яндексовский, :)

Угадал на 67%.

Rosenfeld пишет

а E-mail - "ящик на одноклассниках"! :) ... Угадал? :)

Не угадал.
Бесплатные серверы всея. Вроде Яндекса.

Keepun пишет

SecureIM.dll у меня новую Миранду валил при генерации ключа.
Сейчас наконец-то поддержку UTF в него пихнули.

А, понял. В бытность мою на Винде такого не наблюдал.

Случай из жизни. Добавив контакт друга, подумал, и установил на него "Шифровать разговоры всегда". У меня клиент на libpurple (Адиум). Мысль была такая что у друга Линукс и он в нем долго ковырялся, что-то настраивая, уж наверняка у него одобренный Минздравом Жабр-клиент, который официально не может варить кофе. Дальше реплика:
«– Это чего такое?»
Объясняю.
«Знаешь, я прямо сейчас не хочу собирать еще что-нибудь из исходников.»

Отредактировано Al_H (22-11-2010 13:58:27)

Отсутствует

 

№175922-11-2010 15:44:30

sentaus
Участник
 
Группа: Members
Зарегистрирован: 03-06-2005
Сообщений: 759
UA: Firefox 3.6

Re: Jabber vs. ICQ vs. MSN

GnuPG в основном для подписания пакетов в Лине.

Для шифрования почты, IM, а также для подписания пакетов. :)
Но разные форматы, да. Под сравнением я подразумевал сравнение истории "провалов" у разработчиков.

Отредактировано sentaus (22-11-2010 15:45:28)

Отсутствует

 

№176022-11-2010 16:08:30

krigstask
друг народа
 
Группа: Members
Откуда: Rampova, Inkerimaa
Зарегистрирован: 13-09-2005
Сообщений: 4593
UA: Opera 11.0
Веб-сайт

Re: Jabber vs. ICQ vs. MSN

Al_H пишет

«Знаешь, я прямо сейчас не хочу собирать еще что-нибудь из исходников.»

Прозреваю человека, зря выбравшего шлаку. Или не осилившего убунту. Потому что случай какой-то странный.


Ядрёная консоль делает меня сильней!

Отсутствует

 

№176122-11-2010 18:19:29

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
UA: Firefox 3.6
Веб-сайт

Re: Jabber vs. ICQ vs. MSN

GnuPG в основном для подписания пакетов в Лине.

Глубина познаний просто поражает! :)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№176222-11-2010 18:33:38

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 3.6
Веб-сайт

Re: Jabber vs. ICQ vs. MSN

Rosenfeld пишет

Глубина познаний просто поражает! :)

Конечно ты можешь GnuPG шифровать все, что попадется,
но для мыла человеки S/MIME юзают.


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№176322-11-2010 18:41:22

sentaus
Участник
 
Группа: Members
Зарегистрирован: 03-06-2005
Сообщений: 759
UA: Firefox 3.6

Re: Jabber vs. ICQ vs. MSN

но для мыла человеки S/MIME юзают.

И у обоих сертификаты от верисигна? :)

Отсутствует

 

№176422-11-2010 18:55:39

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 3.6
Веб-сайт

Re: Jabber vs. ICQ vs. MSN

sentaus пишет

И у обоих сертификаты от верисигна? :)

Ну могут и свои сгенерировать...


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№176522-11-2010 20:23:54

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
UA: Firefox 3.6
Веб-сайт

Re: Jabber vs. ICQ vs. MSN

Ну могут и свои сгенерировать...

А их-то кто заверит?! И, самое главное - на основании "достоверности"  каких данных о пользователе? :)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№176622-11-2010 22:19:18

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 3.6
Веб-сайт

Re: Jabber vs. ICQ vs. MSN

Rosenfeld пишет

А их-то кто заверит?! И, самое главное - на основании "достоверности"  каких данных о пользователе? :)

А ты свой ключ на http://www.pgp.com/ заверил? У них тоже что-то наподобие CA есть.
На твоем любимом http://www.pgpru.com/ об CA для PGP инфа проскакивала, так что их пытай, где официально PGP-ключ заверяют.

Так что самопальный сертификат = самопальному PGP-ключу.

X.509 зато и ценят в организациях, что подпись можно только при предоставлении документов, удостоверяющих личность, выдают.


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№176722-11-2010 22:59:48

sentaus
Участник
 
Группа: Members
Зарегистрирован: 03-06-2005
Сообщений: 759
UA: Rekonq 0.6

Re: Jabber vs. ICQ vs. MSN

Так что самопальный сертификат = самопальному PGP-ключу.

Только вот подписать X.509 серитфикат уже после этого никто не может. Просто невозможно подписать один и тот же сертификат разными CA.

X.509 зато и ценят в организациях, что подпись можно только при предоставлении документов, удостоверяющих личность, выдают.

Вы понимаете, что тут дело в не формате, а в процедуре? И откуда вы взяли, что подпись выдают только при предъявлении документов? Тот же Thawte для сертификатов частных лиц просто email проверял, а имя подтверждал(внимание!) с помощью сети доверия, идентичной PGP-шной. Только из-за ограничений X.509 приходилось дичайшие костыли  расставлять.


Добавлено 22-11-2010 23:01:35

CA для PGP инфа проскакивала

PGP Global Directory, она всего лишь адреса почты проверяет.

Отредактировано sentaus (22-11-2010 23:07:01)

Отсутствует

 

№176823-11-2010 00:00:42

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 3.6
Веб-сайт

Re: Jabber vs. ICQ vs. MSN

sentaus пишет

Только вот подписать X.509 серитфикат уже после этого никто не может. Просто невозможно подписать один и тот же сертификат разными CA.

ну да
А это плохо по вашему? umnik2.gif

sentaus пишет

И откуда вы взяли, что подпись выдают только при предъявлении документов?

http://habrahabr.ru/blogs/infosecurity/51315/
http://ssl.ru/ru/info/instruction/

6. Проверка данных

Производитель SSL-сертификатов производит обязательную проверку корректности CSR и предоставленных документов, а также осуществляет контрольный звонок в организацию, получающую сертификат. Обычно эта процедура занимает 3-5 рабочих дней. Если домен, на который оформляется сертификат, не принадлежит организации-заказчику, от владельца домена понадобится письменное разрешение (шаблон будет предоставлен при необходимости).

проГуглись...

SSL давно уже является не просто протоколом шифрования трафика.


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№176923-11-2010 12:17:20

sentaus
Участник
 
Группа: Members
Зарегистрирован: 03-06-2005
Сообщений: 759
UA: Firefox 3.6

Re: Jabber vs. ICQ vs. MSN

А это плохо по вашему?

Это отличие openPGP от X.509, что как бы опровергает тезис об идентичности PGP-ключа и самоподписанного X.509 сертификата. И да, это плохо, это устраняет вообще возможность подтверждения данного сертификата каким-либо способом, отличным от прямого доверия.


проГуглись...

Это пример одного CA, вы из этого делаете вывод, что все так работают? Кстати, какие гарантии надёжности они предоставляют?
И ещё. вы намеренно сравниваете ключи частных лиц с сертификатами доменов или просто по незнанию отличий? Вроде ж с почты начинали :)

Даже в рамках одного CA бывают разные сертификаты с разными процедурами проверки и разными гарантиями надёжности.

А ещё ряд CA понавыдавали сертификатов на имя "localhost" (Comodo , Go Daddy, GlobalSign, Starfield, Equifax, Digicert, Entrust, Cybertrust, Microsoft, and Verisign)
http://www.eff.org/files/DefconSSLiverse.pdf
Конечно, все верят, что они надёжно проверили все документы. :lol:

Добавлено 23-11-2010 12:26:00

SSL давно уже является не просто протоколом шифрования трафика.

А что ещё? Программы подписывать можно? А вот как вы думаете, возможен ли такой сценарий? Программа подписана сертификатом производителя X, заверенным Verisign или Thawte. После пары лет эксплуатации в программе вдруг обнаруживается троян. Подписи подлинные. Кто будет виноват?

Добавлено 23-11-2010 12:29:04
Кстати, по вашей же ссылке:

Типы сертификатов:

Esential SSL — самый не дорогой и быстро оформляемый сертификат. Доступен как для юридических, так и для физических лиц. Проверяется только право владения доменным именем, личные данные или регистрация компании не проверяются. Выдается на 1 домен.

Как говорится, ржунимагу.

Отредактировано sentaus (23-11-2010 13:05:36)

Отсутствует

 

№177023-11-2010 15:57:57

Al_H
Away
 
Группа: Members
Откуда: SPb
Зарегистрирован: 10-06-2005
Сообщений: 5508
UA: Firefox 4.0

Re: Jabber vs. ICQ vs. MSN

sentaus пишет

Думать только своей головой и критически осмысливать ведь входящий поток информации, обращать особое внимание на противеречия.

При таком подходе Вы не будете знать ничего. Кэп не дремлет.

krigstask пишет

Прозреваю человека, зря выбравшего шлаку. Или не осилившего убунту. Потому что случай какой-то странный.

Убунту. А прозревать человека очень не советую.

Отсутствует

 

№177123-11-2010 16:38:21

krigstask
друг народа
 
Группа: Members
Откуда: Rampova, Inkerimaa
Зарегистрирован: 13-09-2005
Сообщений: 4593
UA: Opera 11.0
Веб-сайт

Re: Jabber vs. ICQ vs. MSN

Сейчас придёт Rosenfeld и скажет, сколько раз он собирал из исходников свои клиенты с поддержкой шифрования.


Ядрёная консоль делает меня сильней!

Отсутствует

 

№177223-11-2010 18:16:45

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 3.6
Веб-сайт

Re: Jabber vs. ICQ vs. MSN

sentaus пишет

Это отличие openPGP от X.509, что как бы опровергает тезис об идентичности PGP-ключа и самоподписанного X.509 сертификата. И да, это плохо, это устраняет вообще возможность подтверждения данного сертификата каким-либо способом, отличным от прямого доверия.

Сам-то понимаешь этот абзац?
Как опровергает? Как ты владельца PGP-ключа проверишь "способом, отличным от прямого доверия." ? С X.509 возможно: запросом в CA.

sentaus пишет

Это пример одного CA, вы из этого делаете вывод, что все так работают?

Там целая иерархия. Все зависит, какой уровень подтверждаемости X.509 нужен.

sentaus пишет

И ещё. вы намеренно сравниваете ключи частных лиц с сертификатами доменов или просто по незнанию отличий? Вроде ж с почты начинали :)

Это зависит от запрашиваемого сертификата. Для почты тоже, при желании и денег, можно запросить более надежный сертификат.

sentaus пишет

Программа подписана сертификатом производителя X, заверенным Verisign или Thawte. После пары лет эксплуатации в программе вдруг обнаруживается троян. Подписи подлинные. Кто будет виноват?

По сертификату и ищи козла-отпущения.

sentaus пишет

Как говорится, ржунимагу.

Ну и в самом сертификате есть инфа, что сертификат - фуфло...


sentaus, ты сам, что хочешь доказать?
Что для PGP нет CA нормального, поэтому подтвердить личность по ключу нельзя - и это круто?


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№177323-11-2010 19:06:15

sentaus
Участник
 
Группа: Members
Зарегистрирован: 03-06-2005
Сообщений: 759
UA: Firefox 3.6

Re: Jabber vs. ICQ vs. MSN

Как ты владельца PGP-ключа проверишь "способом, отличным от прямого доверия." ?

man "web of trust", или таким же CA, Thawte раньше ключи тоже заверял, сейчас - не знаю.

С X.509 возможно: запросом в CA.

С самоподписанным это без шансов. А вот PGP-ключи как минимум самоподписанные, т.е. дополнительно к этому могут быть сертифицированы и CA, и другими пользователями.

По сертификату и ищи козла-отпущения.

А подробнее? Чему/кому мне нужно доверять, чтобы быть уверенным, что трояна нет?

Кстати, антивирусы никак не проверяют код программы эвристическими методами, пока сертификат валиден, это позволяет трояну оставаться незамеченным вплоть до срока истечения сертификата. Является ли это корректным поведением в рамках X.509?

ты сам, что хочешь доказать?

Я ничего не хочу доказать. Я всего лишь указываю, что валидный X.509 сертификат далеко не всегда даёт 100% гарантий надёжности данных, которые нужно подтвердить пользователю. Скажем так, часть данных он подтверждает, а подтверждение многих других в большинстве случаев есть только в фантазиях пользователя и авторов программ, эти сертификаты использующих.


Или вот ещё дикий недостаток X.509: невозможность отмены делегирования доверия пользователем. Пусть я доверяю некоторому CA X, но не доверяю CA Y. CA X может выпустить сертификат для CA Y, которым тот сможет заверять другие сертификаты, и эти сертификаты у меня будут признаваться подлинными, и заблокировать это безобразие я никак не могу. А всё потому, что доверие в X.509 вообще не отделено от подлинности.

Отредактировано sentaus (23-11-2010 19:30:28)

Отсутствует

 

№177423-11-2010 19:43:06

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 3.6
Веб-сайт

Re: Jabber vs. ICQ vs. MSN

sentaus пишет

Кстати, антивирусы никак не проверяют код программы эвристическими методами, пока сертификат валиден, это позволяет трояну оставаться незамеченным вплоть до срока истечения сертификата

пруфлинк плиз...

sentaus пишет

А вот PGP-ключи как минимум самоподписанные, т.е. дополнительно к этому могут быть сертифицированы и CA, и другими пользователями.

пруфлинк плиз...
Это изначально лишь ключи, созданные программой.


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№177523-11-2010 19:55:08

sentaus
Участник
 
Группа: Members
Зарегистрирован: 03-06-2005
Сообщений: 759
UA: Firefox 3.6

Re: Jabber vs. ICQ vs. MSN

пруфлинк плиз...

На позапрошлой странице я не случайно спрашивал, кто помнит недавние провалы компаний JMicron и Realtek - я уже тогда понимал, что разговор в этом направлении дальше пойдёт. Скандальный червь Stuxnet содержал в себе руткит, подписанный легальным сертификатом компании Realtek, заверенным Verisign. С JMicron - аналогичная история, в другой версии их ключиком подписано оказалось. Легальные подписи позволяли модулям устанавливаться в систему без запросов. Вот я и спрашиваю, какая принципиальная ошибка в X.509 позволяет допустить такое безобразие? Какая информация здесь заверена при условии доверия Verisign-у, а достоверность какой есть на самом деле только в мечтах?

пруфлинк плиз...
Это изначально лишь ключи, созданные программой.

Хм. Мне ссылку на руководство PGP/GnuPG привести? :)
При добавлении сертификата на ключ сертификат подписывается самим ключом. Один сертификат обязательно создаётся при генерации. После этого этот сертификат также может быть подписан другими ключами - это и есть сертификация. Вы что, серьёзно этого не знаете?

Отредактировано sentaus (23-11-2010 20:14:43)

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]