abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 02:44 | Nová verze

    Emulátory Box86 a Box64 umožňující spouštět linuxové aplikace pro x86 a x86_64 na jiných než x86 a x86_64 architekturách, například ARM a ARM64, byly vydány v nových verzích: Box86 0.3.8 a Box64 0.3.2. Ukázka možností na YouTube.

    Ladislav Hagara | Komentářů: 0
    včera 20:55 | Nová verze

    Byla vydána nová verze 6.1 neměnné (immutable) distribuce openSUSE Leap Micro určené pro běh kontejneru a virtuálních strojů. S vydáním verze 6.1 byla ukončena podpora verze 5.5.

    Ladislav Hagara | Komentářů: 0
    včera 19:55 | IT novinky

    Poslanci dnes ve třetím čtení schválili návrh zákona o digitálních financích. Cílem zákona je implementace předpisů Evropské unie v oblasti digitálních financí, konkrétně nařízení DORA (Digital Operational Resilience Act) o digitální provozní odolnosti finančního sektoru a nařízení MiCA (Markets in Crypto Assets) o trzích kryptoaktiv. Zákon nyní míří k projednání do Senátu ČR. U kryptoměn bude příjem do 100 tisíc Kč za zdaňovací období osvobozen od daně, podobně jako u cenných papírů, a to za podmínky jejich držení po dobu alespoň 3 let.

    Ladislav Hagara | Komentářů: 7
    včera 19:11 | Komunita

    O víkendu (15:00 až 23:00) proběhne EmacsConf 2024, tj. online konference vývojářů a uživatelů editoru GNU Emacs. Sledovat ji bude možné na stránkách konference. Záznamy budou k dispozici přímo z programu.

    Ladislav Hagara | Komentářů: 0
    včera 10:22 | Nová verze

    Mozilla má nové logo a vizuální identitu. Profesionální. Vytvořeno u Jones Knowles Ritchie (JKR). Na dalších 25 let.

    Ladislav Hagara | Komentářů: 22
    5.12. 23:33 | Komunita

    Bylo rozhodnuto, že nejnovější Linux 6.12 je jádrem s prodlouženou upstream podporou (LTS). Ta je aktuálně plánována do prosince 2026. LTS jader je aktuálně šest: 5.4, 5.10, 5.15, 6.1, 6.6 a 6.12.

    Ladislav Hagara | Komentářů: 0
    5.12. 15:11 | Nová verze

    Byla vydána nová stabilní verze 3.21.0, tj. první z nové řady 3.21, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie) postavené na standardní knihovně jazyka C musl libc a BusyBoxu. Z novinek lze vypíchnou počáteční podporu architektury Loongson LoongArch64.

    Ladislav Hagara | Komentářů: 0
    5.12. 11:33 | IT novinky

    Mapy.cz Premium stojí 249 korun ročně. Premium verze je zaváděna postupně.

    Ladislav Hagara | Komentářů: 30
    5.12. 11:00 | IT novinky

    Hodnota Bitcoinu, decentralizované kryptoměny překonala 100 000 dolarů (2 390 000 korun).

    JZD | Komentářů: 16
    5.12. 05:11 | Zajímavý software

    Hurl byl vydán ve verzi 6.0.0. Hurl je nástroj běžící v příkazovém řádku, který spouští HTTP požadavky definované v textovém souboru.

    Ladislav Hagara | Komentářů: 0
    Rozcestník

    Dotaz: Žije v Česku GnuPG?

    26.8.2013 16:18 Dát smazat | skóre: 6 | blog: druhá kolej
    Žije v Česku GnuPG?
    Přečteno: 1862×
    Ahoj,

    snažím se splnit rest a začít podepisovat/šifrovat emaily. Četl jsem srovnání OpenPGP / GnuPG a S/MIME celkem chápu rozdíly a víc se mi pro osobní použití líbí systém GnuPG - tedy bez hierarchie.

    Jen jsem nenašel žádné signály toho, že by v česku žila nějaká větší komunita, která by organizovala podepisování (zahlédl jsem zbytky Thawte web-of-trust, startSSL WOT a CACert WOT)... je tu nějaké středisko, které jsem přehlédl?

    Nebo se mám vyprdnout na GPG a jí spíše cestou vlastní CA (kterou mám pro své servery stejně) a přikládat S/MIME?

    Co řeknou emailové klienti na S/MIME od non-trusted CA?

    Jak na to jdete vy?

    Díky za jakýkoli postřeh.

    Odpovědi

    beer avatar 26.8.2013 18:07 beer | skóre: 15
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?

    K čemu je mít databázi Gnu/PG podpisů od lidí, s kterými nekomunikuješ? Pokud se rozhodneš podpis a šifrování či podepisování používat, tak to používej, ale stranu, s kterou takto budeš komunikovat to budeš muset naučit používat a předat jí tvůj veřejný klíč.

     

    Co řeknou emailové klienti na S/MIME od non-trusted CA? Že má nedůvěryhodný podpis.

    Josef Kufner avatar 26.8.2013 21:41 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Pointa PGP je v tom, že tu komunitu ani autoritu nepotřebuješ. Prostě si bezpečnou cestou vyměníš klíče s lidmi, které znáš, a používáš to.
    Hello world ! Segmentation fault (core dumped)
    27.8.2013 01:11 d.c. | skóre: 30
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Ne tak docela. V PGP/GnuPG byla venovana vcelku velka energie hodnoceni duveryhodnosti klicu. A to se deje prave podepisovanim. Je to spise paralela na "lokalni politiku" (=kdyz tenhle podpis podepsal muj dobry znamy Linus, tak bude urcite pravy) oproti rizeni shora u PKI. Samozrejme je mozne tuto cast vynechat a nepouzivat, ale je to trochu jako mluvit jen s nejblizsimi.

    K puvodni otazce: byl jsem ponekud prekvapen, jak malo se GnuPG pouziva a to i mezi profesionaly na slovo vzatymi. Takze bych rekl, ze komunita spise udrzuje koma, stejne jako vsude jinde.
    Josef Kufner avatar 27.8.2013 09:51 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Jo, web of trust přidává pohodlí, jakmile se začne PGP/GnuPG používat ve větším měřítku. Co jsem si ale všimnul, nikdo maily nepodepisuje a ani ty s heslama mi nechodí šifrované (jakoukoliv technologií). Jediné praktické využití GnuPG, které potkávám, je v podepisování balíčků v Debianu, podepsování bezpečnostních zpráv na jednom mailing listu Debianu a podepisování mých mailů. Je to docela smutné. Asi největší úspěch je, když se někdo zeptá, co je to ten signature.asc v příloze.
    Hello world ! Segmentation fault (core dumped)
    27.8.2013 20:38 potato
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Tarbally se zdrojáky a balíčky podepisuji, a to je i vhodné použití. Maily ne -- jak bych pak popíral, že jsem je poslal?
    28.8.2013 00:11 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?

    A přesně to je naprd. S normálním x.509 certifikátem od solidní autority můžu napsat někomu, koho jsem nikdy v životě neviděl a koho ani nikdy neuvidím, a jakmile má (a ověří) můj certifikát, může mi už rovnou odpovědět nejen podepsaně, ale i šifrovaně. (Já si pak samozřejmě na základě obecně známé autority ověřím zase jeho certifikát.) Ne že by osobní setkávání lidí nebylo nějakým způsobem pozitivní a důležité, :-D to jistě je, ale nezbytné by taky být nemuselo, když je druhá strana třeba tisíce kilometrů daleko.

    Jendа avatar 27.8.2013 04:14 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Osobně jsem nikdy smysl WOT nepochopil. Koho znám, s tím jsem si klíče vyměnil, a koho neznám, tomu stejně nevěřím :-).

    OpenPGP používám aktivně bohužel jenom s asi 5 lidma. Dost škoda na to, že se pohybuji v komunitě technologických nadšenců.
    xkucf03 avatar 27.8.2013 10:34 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?

    Hodí se to ve chvíli, kdy někoho teprve poznáváš. Třeba narazíš na něčí web nebo článek a chceš mu poslat e-mail, nikdy před tím jsi ho neviděl. Pak se hodí mít aspoň trochu ověřený jeho veřejný klíč1 a můžeš mu poslat šifrovaný e-mail – jasně, není to bezpečné, možná to není on – a tak je potřeba k tomu přistupovat – ale pořád je to lepší než nic, protože alternativou je poslat mu nešifrovaný e-mail nebo mu nepsat vůbec.

    [1] alespoň na úrovni, že někdo známý o něm tvrdí, že je to on, nebo že nějaká služba mu poslala e-mailem kontrolní odkaz a on na něj kliknul

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    Jendа avatar 27.8.2013 12:03 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Proč nepřiloží fingerprint/klíč k článku jako to dělám já?
    Josef Kufner avatar 27.8.2013 19:09 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    To může. Taky na stránce s kontaktními údaji mám i fingerprint. Ale jakou máš záruku, že to je ten správný?

    Pokud ten klíč podepsal někdo, koho znáš, je důvěryhodný a s kým jsi si vyměnil klíč bezpečnou cestou, tak to máš celkem v suchu. A pokud těch podpisů tam je více, tak už by bylo potřeba velkého spiknutí.
    Hello world ! Segmentation fault (core dumped)
    Jendа avatar 27.8.2013 19:19 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Ale jakou máš záruku, že to je ten správný?
    Úplně stejnou, jako že ten článek psal ten správný člověk.
    Josef Kufner avatar 27.8.2013 19:36 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Tedy žádnou. Pak je potřeba podle toho tomu klíči nedůvěřovat. Leda bys znal někoho, komu důvěřuješ a kdo jeho identitu potvrdí.
    Hello world ! Segmentation fault (core dumped)
    Jendа avatar 27.8.2013 20:24 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Leda bys znal někoho, komu důvěřuješ a kdo jeho identitu potvrdí.
    Jako že se po WOT zeptám „napsal tento autor tento článek?“?
    Josef Kufner avatar 27.8.2013 20:41 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Pokud bude článek podepsaný, stačí se zeptat, komu patří ten klíč. Tedy kdo podepsal s jakým stupněm důvěry jeho klíč.
    Hello world ! Segmentation fault (core dumped)
    xkucf03 avatar 27.8.2013 20:53 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?

    A co když Jenda napíše článek a agent, který dělá MITM, ten článek podepíše svým klíčem (vydaným na Jendovo jméno a e-mail) a pak odchytí e-mail, o kterém si ty myslíš, že ho posíláš důvěrně autorovi článku?

    Kryptografie ti umožňuje přihlásit se k autorství něčeho, podepsat to, ale v podstatě není způsob, jak dokázat, že skutečně jsi tím autorem (můžeš podepsat cizí práci). Trochu se to dá řešit přes časová razítka – necháš si nějakou autoritou podepsat hash zprávy v dostatečném předstihu, třeba týden před prvním zveřejněním článku → pak se celkem dá předpokládat, že jsi autorem (nebo že k němu máš blízko).

    Jak WOT, tak vkládání otisku klíče do článků funguje podobně – je to indicie, která říká: asi to bude OK, snižuje to nejistotu (nebo zvyšuje jistotu, chceš-li), ale plně důvěryhodné to není.

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    Josef Kufner avatar 28.8.2013 00:47 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Právě že ne. Ty si s někým důvěryhodným navzájem podepíš klíče bezpečnou cestou. Tedy tak, aby MITM bylo vyloučeno, např. při osobním setkání. Takový klíč pak má u sebe napsáno, že je zcela důvěryhodný. Tenhle důvěryhodný člověk si pak obdobně podepíše klíče s dalšíma lidma, které zná. A protože ty tomu člověku důvěřuješ, můžeš důvěřovat i klíčům, které podepsal. Takže pokud je nějaký neznámý klíč podepsán několika lidma, kterým důvěřuješ, žádné MITM se nekoná a můžeš být klidný, že opravdu patří tomu správnému člověku.

    Rozhodně to je lepší než nějaké certifikační autority, které vydají certifikát kde komu.
    Hello world ! Segmentation fault (core dumped)
    Jendа avatar 28.8.2013 01:31 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    a můžeš být klidný, že opravdu patří tomu správnému člověku
    No můžu tím ověřit, že se ten člověk opravdu jmenuje Pepa Novák. Což mi přijde naprosto zbytečné. Nebo co jiného tím ověřím?
    Josef Kufner avatar 28.8.2013 02:48 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Ještě tam je jeho e-mail. S/MIME ti dá stejné množství dat, jen jinou cestou.
    Hello world ! Segmentation fault (core dumped)
    Jendа avatar 28.8.2013 03:16 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Ještě tam je jeho e-mail.
    Který uvedl k článku. Proč tam rovnou neuvedl i fingerprint, abych nemusel řešit WOT a hledat, jestli k němu vede nějaká cesta od lidí, kterým důvěřuji?
    S/MIME ti dá stejné množství dat, jen jinou cestou.
    Já vím, neříkám, že by mi S/MIME pomohlo.
    xkucf03 avatar 28.8.2013 09:54 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Který uvedl k článku. Proč tam rovnou neuvedl i fingerprint…
    Třeba by to šlo i nějak standardizovat:
    <a href="mailto:jenda@example.com?gpg=CD98544043720C6D164DA24DF0192F8E6527282E">mailto:jenda@example.com</a>
    :-)
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    AsciiWolf avatar 3.9.2013 13:31 AsciiWolf | skóre: 40 | blog: Blog
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Koho znám, s tím jsem si klíče vyměnil, a koho neznám, tomu stejně nevěřím :-).
    +1
    Nuphar avatar 27.8.2013 11:44 Nuphar | skóre: 19
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    GPG používám, ale mám pocit, že jsem široko daleko jeden z velmi mála, kdo tak činí. Nadšenci na GPG jsou, viz třeba http://michal.hrusecky.net/2012/11/gpg-key-signing-party/ Něco podobného bylo i na poslední openSUSE konferenci před ~2 měsíci. Ale je to jako kapka v moři...
    Per aspera, Asparagus et Aspergillus ad a/Astra!
    28.8.2013 00:07 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?

    Mám S/MIME certifikát od autority, jejíž kořenový certifikát je v každém mailovém klientu, každém browseru a obecně v základním balíku certifikátů většiny systémů. Kdokoliv na světě, komu napíšu (úplně první) zprávu si může ihned ověřit mou identitu a může mi rovnou odpovědět šifrovaně. (Po první zprávě už může být veškerá další komunikace šifrovaná.) Tohle u GnuPG nejde, protože ho téměř nikdo v praxi nepodporuje. Hodí se pro větší, leč stále uzavřené komunity, jako například kernel.org. Pro všeobecné podepisování a šifrování se nehodí. S/MIME ověří každý mailový klient. GnuPG neověří jen tak samo od sebe nic.

    Podle mě je nejlepší řešení vyprdnout se na GnuPG, ale rozhodně nepoužívat non-trusted CA. Není k tomu důvod. Dnes si může člověk prostě pořídit S/MIME certifikát od solidní autority (což vřele doporučuji) a pak na něj všichni E-mailoví klienti řeknou tak leda OK. Například StartSSL má roční subscription, během které si člověk může vygenerovat téměř libovolně certifikátů, jak osobních, tak i pro servery. Dokonce mají nějaký scheisse-certifikát beze jména, který vydávají zadarmo. Je ale rozumnější zaplatit si subscription a pak mít normálně důvěryhodné certifikáty pro všechny mailové adresy, pro své webové i jabberové servery atd.

    Josef Kufner avatar 28.8.2013 01:06 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Už se několikrát ukázalo, že certifikační autority nejsou až tak úplně důvěryhodné a jako koncový uživatel nemáš jak zjistit, zda ten certifikát není padělaný. To že máš certifikát od dobré autority ti je naprd, protože jakákoliv pochybná autorita, která je taky v každém mailovém klientu, si na tebe může hrát. A všichni uvidí jen zelenou ikonku, že je vše OK. Stejný problém je i s HTTPS a vším co na tomhle principu stojí.

    Oproti tomu GnuPG a SSH používají svoje klíče o kterých víš ty i ten druhý, co jsou zač a odkud se vzaly.
    Hello world ! Segmentation fault (core dumped)
    xkucf03 avatar 28.8.2013 10:24 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Oproti tomu GnuPG a SSH používají svoje klíče o kterých víš ty i ten druhý, co jsou zač a odkud se vzaly.

    To je trochu nefér srovnání. U X.509 taky vidíš, jaká CA ten certifikát podepsala, navíc je tam spousta zajímavých metadat (třeba lze omezit domény, pro které ta CA může vydávat certifikáty).

    U GPG můžeš mít taky mezi „kamarády“ v klíčence všelijaké pochybné osoby nebo roboty a pak se ti budou jako důvěryhodné jevit i nedůvěryhodné podpisy, uvidíš „zelenou ikonku“ a bez hlubšího zkoumání nic nepoznáš. Oboje to jsou prostě dobré a spolehlivé technologie, které pracují, jak mají – co ale může selhat, je lidský faktor – když si máš mezi důvěryhodnými nedůvěryhodné, tak tě žádná technologie nezachrání.

    Rozdíl je v tom, že v X.509 máš vždy jednu autoritu, která podepsala daný certifikát, kdežto u GPG těch autorit můžeš mít současně víc.

    Což je věc, která by se hodila i na webu (resp. obecně u klient-server aplikací). Např. bys mohl mít server nějakého českého úřadu a ten by měl certifikát podepsaný nějakou mezinárodní soukromou CA (takže by z toho cizinci nebyli zmatení a mohli by to celkem normálně používat) a zároveň by byl podepsaný nějakou českou státní CA, která by byla nainstalovaná mezi důvěryhodnými na počítačích úředníků (kde by zase třeba nebyla ta soukromá cizí, které stát nemusí tolik věřit). Nebo jiný příklad: server nějakého sdružení nebo klubu, který si nechce platit drahé certifikáty – pořídí si bezplatný certifikát od CAcertu, takže to pro ostatní bude „středně důvěryhodné“1 – lepší než nic – a vedle toho by byl certifikát podepsaný jejich vlastní CA, jejíž certifikát si členové bezpečně distribuují mezi sebou a můžou mu věřit daleko víc než CAcertu. A do třetice: při platbě za doménu bys mohl přiložit CSR a dostal bys hned od registrátora nějaký základní certifikát, pak bys mohl postupně sbírat podpisy/certifikáty od různých dalších subjektů a zvyšovat důvěryhodnost svého serveru (např. úřad by ti vydal potvrzení, že jsi podnikatel s určitým IČ/DIČ, pojišťovna by potvrdila, že jsi u nich pojištěný nebo auditorská firma by ti v rámci auditu přidala svůj podpis/certifikát)

    [1] resp. mělo by být – došlo k ověření e-mailu patřícího k dané doméně, ale žádné doklady nebo další věci nikdo nekontroloval

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    3.9.2013 15:41 Filip Jirsák
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    I v X.509 může být certifikát podepsán více autoritami, říká se tomu cross signing. Ale zatím jsem takový certifikát neviděl a nevím, jak by si s ním v praxi programy poradily.
    3.9.2013 19:42 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Asi moje google-fu je dnes malé, ale nemůžu nic najít. Kam vůbec by se těch více podpisů a tak dále ukládalo?
    3.9.2013 20:21 Filip Jirsák
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Spíš jsem špatně hledal já. Teď nacházím jenom zmínky o tom, že je to certifikát CA podepsaný jinou CA. Samozřejmě je možné jeden veřejný klíč si nechat podepsat více autoritami, ale z toho vznikne několik certifikátů.
    3.9.2013 21:34 d.c. | skóre: 30
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Treba nove korenove certifikaty thawte (prechod na 2048bit) jsou krizove podepsany (i) temi starymi, aby byly spokojeni i uzivatele starych certifikatu.
    28.8.2013 15:09 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?

    Ano, ale ta představa, že bych každý internetový e-shop musel napřed navštívit osobně, je trochu za hranicemi lidských možností. Nemluvě o jednotlivcích, s nimiž člověk běžně při práci komunikuje. Například u banky si umím představit osobní výměnu certifikátů a velmi bych ji uvítal, ale ve chvíli, kdy si chci vyhledat E-shop a něco objednat bez zvednutí prdele ze židle, mi GnuPG příliš nepomůže.

    Samozřejmě si každý, kdo získá soukromý klíč nějaké obecně uznávané autority (což už se nejednou stalo) může hrát na mě. Tak to prostě chodí. Ale většina výhod z GnuPG existuje i u S/MIME, protože stále existuje dobrá pojistka v podobě mého původního certifikátu uloženého u příjemce z minulé komunikace. Takže pokud by si někdo chtěl hrát na mě, musel by to zvládnout od prvního mailu mezi mnou a protistranou a navíc ještě trvale, tedy zachytit úplně všechny maily a pozměnit je. To by byl ovšem zásadní problém ze dvou důvodů: Zaprvé, nemohl by je dešifrovat, leda že by snad znal můj soukromý klíč nebo soukromý klíč příjemce. (Mohl by pouze zaměnit podpisy u plaintextových zpráv za svůj, ale šifrování by prostě napodobit ani přečíst nedokázal.) A zadruhé, stačila by jen jedna správně doručená zpráva mezi mnou a protistranou a problém by byl odhalen, protože v tu chvíli by mailový klient rozhodně nehlásil OK, naopak by tam byl obrovský červený warning.

    BTW, právě proto je například ve Firefoxu u nedůvěryhodných certifikátů implicitně (a trochu proti intuici) zaškrtnutá volba „Uložit tuto výjimku trvale“. Protože trvalé uložení výjimky je v konečném důsledku mnohem bezpečnější než její odkliknutí při každém přístupu na daný web. Změna certifikátu toho webu je totiž pak hned patrná. U elektronických podpisů to chodí stejně, certifikát protistrany se buď uloží naprosto automaticky, pochází-li od důvěryhodné autority, nebo se dá uložit při udělení „výjimky“. Rozhodně to není tak, že by byl uživatel beznadějně vystavený útočníkům a nespolehlivým autoritám.

    28.8.2013 15:45 potato
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    To, co prakticky potřebuješ vědět, není, že certifikát podepsala nějaká CA, ale že je v tom e-shopu bezpečné nakupovat. To spolu souvisí jen velmi volně.
    Josef Kufner avatar 28.8.2013 17:04 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Pokud ti e-shop doporučí kamarád, tak stačí aby jim podepsal klíč a je problém vyřešen. Pokud přijdeš ad-hoc přes Googla, tak stejnak víš o tom obchodu prd a důvěru jim nedodá ani kvalitní S/MIME od supr CA. S WOT bys mohl kouknout, kdo jim certifikát podepsal a získat tak alespoň nějaké reference. Pokud by se k samotnému podpisu daly doplnit i nějaká metadata, mohla by taková síť důvěry být velmi zajímavá. Úřad by obchodníkovi u klíče potvrdil např. IČO, registrátor domény by ti podepsal, že je tvoje, pronajímatel skladu by mohl potvrdit adresu, známý časopis by mohl podepsat vítězi testu. Ale toho se asi hned tak nedočkáme.
    Hello world ! Segmentation fault (core dumped)
    Jendа avatar 28.8.2013 17:46 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Úřad by obchodníkovi u klíče potvrdil např. IČO
    O to právě IMHO jde při tom podepisování, kdy CA vystaví certifikát na jméno (osoby nebo společnosti). Když tě pak v takovém eshopu okradou, víš, na koho si máš na lampárně stěžovat.
    xkucf03 avatar 28.8.2013 19:45 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?

    Ještě by to chtěli, aby ti poslali potvrzení objednávky a obchodní podmínky v podepsaném e-mailu. Rovněž by taky měli podepsat, že jsi jim nedal souhlas se zasíláním spamu (pokud jsi jim ho tedy nedal).

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    1.9.2013 15:30 jadd | skóre: 34 | blog: Greenhorn
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    +, doporučené dopisy budou ještě dlouhou dobu důvěryhodnější než e. komunikace..
    30.8.2013 01:36 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?

    Ano, ale problém je v systému vzdělávání, který někdy kolem roku 1998 Zemanova vláda senilních dědků předala celý Microsoftu, pokud jde o výpočetní techniku. Takže kdybych nějakému kamarádovi řekl, ať podepíše doporučenému E-shopu klíč, případně kdybych žádal v roli E-shopu své zákazníky, aby mi po doručení zboží podepsali klíč, asi bych nepochodil, protože tyto důležité dovednosti drtivá většina veřejnosti postrádá.

    Už si umím představit ty slevové kupóny na tisíce korun nabízené za pouhé podepsání klíče, které by se pak ukázaly jako fake, ostatně jako celý E-shop ... no, zkrátka by se musel vymyslet ještě lepší protokol než GnuPG, který by měl jasnější pravidla. Něco jako BitCoin. Když si někdo nakradl nějakých 400 mega bitcoinů (tj. asi dvacetkrát víc, než se jich kdy dá vyrýžovat), ostatní výpočetní kapacita jednoduše forkla řetězec potvrzování a podvodníka tím típla. Tohle zatím v oblasti asymetrické kryptografie (obecně použitelné) příliš snadno nefunguje. Když se vrátím zpět k tomu ověřování, šifrování a podepisování, například velmi citelně chybí distribuovaná kvalifikovaná časová razítka. (I ta centralizovaná citelně chybí!) Takové distribuované razítko by mohlo třeba představovat nějaký interval, tj. s určitou jistotou by patřilo do nějakého malého intervalu (milisekundy, dejme tomu) a s mnohem větší jistotou (po obdržení většího počtu potvrzení) by mohlo spadat třeba do intervalu jedné sekundy. To je rozumná granularita pro úkony typu prodej nemovitosti, ač pro mikrosekundové transkace by se to asi nehodilo. :-D Ale to už je off-topic.

    Lidem u moci se samozřejmě současný stav svým způsobem hodí, protože se na tom uživí velká spousta úřadů, úředníků a centrálních správců toho či onoho. Kdyby si takhle najednou samotná veřejnost mohla zajišťovat bezpečnou autentifikaci, to by se jim ani trochu nelíbilo. Proto mám tušení hraničící s jistotou, že se bezpečnost na Internetu ani základy kryptografie se v brzké době ve školních osnovách neobjeví.

    Jendа avatar 30.8.2013 10:06 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Ano, ale problém je v systému vzdělávání, který někdy kolem roku 1998 Zemanova vláda senilních dědků předala celý Microsoftu, pokud jde o výpočetní techniku.
    Nepřijde mi, že by na tom ostatní obory (matematika, fyzika, chemie) byly lépe. Opravdu za to může MS? Nemůže to být třeba nedostatkem schopných pedagogů nebo absolutním nezájmem studentů?

    Proč ti nestačí Bitcoin jako distribuovaná timestampovací autorita a barevní Satoshi (hledej řetězec Color) pro zabezpečení prodeje nemovitosti?

    Osobně vidím mnohem větší problém v současném zoufalém stavu počítačové bezpečnosti (a ne, nemluvím teď o Windows). Kryptoanarchie se v současnosti děsím, protože to určitě skončí tím, že mě někdo vyownuje.
    1.9.2013 01:43 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?

    Bitcoin mi nestačí, protože nemá dostatečnou oporu v zákonech. Kdyby ji měl, stačil by mi a timestampování by taky dokázal docela rozumně. Barevné bitcoiny jsou IMO vhodné především pro pronájem nemovitostí a jde podle mě o skvělý nápad. Jen ta legislativa je prostě pozadu. Potřeboval bych, abych je mohl používat s vědomím, že se dokážu domoci svých práv u soudu, kdyby mě někdo pořádně natáhl.

    S všeobecným vzděláváním to samozřejmě taky souvisí: Dokud aspoň nadpoloviční většina lidí není schopná tyto záležitosti aspoň na základní laické úrovni chápat a používat, je zbytečné o nich snít, protože se prostě do praxe ani do legislativy nedostanou.

    Současný stav počítačové bezpečnosti je katastrofální zejména proto, že se už prodávají kvantové počítače (ač jeden stojí kolem 15M$) a mají je velké instituce typu Google nebo (jaké to překvapení!) NSA. Nikdo tedy v tuto chvíli s jistotu neví, na jakých algoritmech příslušné instituce pracují a zda ještě vůbec existuje bezpečný protokol pro asymetrickou kryptografii. Kdykoliv může přijít den, který udělá z RSA hru pro děti. Jen nikdo přesně neví, kdy se to stane. Odpověď je někde mezi „teď hned“ a „nikdy“, což je příliš mnoho nejistoty.

    Z tohoto důvodu mě serou například řeči některých „odborníků“, že prý nikdy nebude nutné mít doma kvantový počítač. Opak je pravdou. Z hlediska bezpečnosti a soukromí to jednou bude otázka bytí a nebytí. Jenže veřejnost se ještě nedostala ani k pochopení významu RSA. A RSA může být už klidně třeba zítra zcela nevyhovující.

    Jendа avatar 1.9.2013 08:44 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Bitcoin mi nestačí, protože nemá dostatečnou oporu v zákonech.
    Aha, tak s tím ti bohužel nepomůžu, já jsem spíš přes tu technologickou stránku věci, do zákonů naštěstí nedělám :)
    Barevné bitcoiny jsou IMO vhodné především pro pronájem nemovitostí a jde podle mě o skvělý nápad.
    Přijde na to. Představ si, že by sis v bazaru/zastavárně mohl pomocí svého Bitcoin klienta ověřit, že dané zboží není kradené, ale že ho tam jeho původní vlastník skutečně dobrovolně dal a můžeš ho bez obav koupit. Proto se podle mě hodí i k prodeji.
    Jen ta legislativa je prostě pozadu. Potřeboval bych, abych je mohl používat s vědomím, že se dokážu domoci svých práv u soudu, kdyby mě někdo pořádně natáhl.
    Já si myslím, že pomocí soudních znalců už by se třeba i nějak dalo… Co třeba myslíš tím „pořádně natáhl“?
    Dokud aspoň nadpoloviční většina lidí není schopná tyto záležitosti aspoň na základní laické úrovni chápat a používat
    OK, nápad, jak to zlepšit? Já se snažím šířit osvětu a nikdo neposlouchá.
    Současný stav počítačové bezpečnosti je katastrofální zejména proto, že se už prodávají kvantové počítače (ač jeden stojí kolem 15M$)
    [citation needed]

    obtw. i pokud by ho měli, nemůžou ho používat moc často, protože by si toho prostě někdo všiml
    Nikdo tedy v tuto chvíli s jistotu neví, na jakých algoritmech příslušné instituce pracují a zda ještě vůbec existuje bezpečný protokol pro asymetrickou kryptografii.
    Eliptické kurvy?
    Kdykoliv může přijít den, který udělá z RSA hru pro děti.

    Opak je pravdou. Z hlediska bezpečnosti a soukromí to jednou bude otázka bytí a nebytí.
    Asi jsme se nepochopili, já jsem myslel něco mnohem přízemnějšího než nějaké high-end kryptografické útoky na AES a RSA. Měl jsem na mysli to, že na většině systémů není (a ani nejde) pořádně oddělit děravý prohlížeč od zbytku systému, že máš strašný problém ověřit SW, který si instaluješ, že nevíš, jestli nemáš v síťovce remote exploit, že nevíš, jestli nemáš v procesoru backdoor…
    1.9.2013 18:12 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?

    Citation needed? Je jich na výběr spousta. Třeba tohle vypadá důvěryhodně.

    Samotné vlastnictví kvantového počítače neznamená, že lze okamžitě prolomit RSA. Napřed je třeba mít správné algoritmy a jejich implementaci, která zrovna na daném počítači bude fungovat. To může být otázka let. (Nebo hodin? To nikdo neví.)

    Problémy s uzavřeným hardwarem a firmwarem jsou samozřejmě taky závažné. To je další (ortogonální) rozměr počítačové (ne)bezpečnosti.

    Nápad, jak zlepšit stav počítačové bezpečnosti, jsem tu už několikrát popisoval: školství. Informační technologie jsou součástí každodenního života. Měly by být i součástí každodenního vzdělávání už od první třídy. Náprava samozřejmě nepotrvá rok, ale celá desetiletí. Problémů je ovšem několik. Zaprvé, kde vzít tu první generaci dobrých učitelů, kteří nebudou učit Microsoft Shit, ale informační technologie? Fundovaných lidí je dostatek, ale platy ve školství pro ně nejsou příliš přesvědčivé. Zadruhé, jak se bránit proti vládnímu establishmentu, kterému špatné zabezpečení a lidská hloupost skvěle vyhovuje? Současní politici rozhodně nechtějí vzdělané občany, kteří si při komunikaci zachovají soukromí! Takže nelze než konstatovat, že zkrátka nevím, jak se z tohoto kruhu dá dostat ven.

    K té legislativě bych ještě poznamenal, že zaprvé soudních znalců schopných posuzovat bitcoiny příliš mnoho není a zadruhé musí mít napřed kryptoměny a podobné prostředky aspoň základní oporu v zákonech, aby s nimi soudy byly vůbec schopné pracovat. Momentálně by prostě skončily na „nedostatku důkazů“, protože vlastnictví té či oné bitcoinové peněženky naše justice jako důkaz neuznává. Stačí si vzpomenout, jak dlouho nebylo možné používat videozáznam jako důkaz! Člověk mohl mít klidně natočeno videokamerou, jak mu kradou auto, ale u soudu mu to bylo prd platné. To se už naštěstí dávno změnilo. Nicméně Bitcoin je přesně v té fázi, kdy se u soudu nedomůžeš ničeho.

    Co myslím tím, že mě někdo natáhne, to je docela jasné — podvádět (nekvalitním zbožím, záměrným nesplněním závazku atd.) se dá vždy, bez ohledu na podepisovací a platební protokoly. Je spousta protokolů, ve kterých si dvě strany můžou vzájemně podepsat doručenku tím, že si postupně posílají kousky podpisu na střídačku a kdyby jedna strana před posledním kouskem couvla, ta druhá si ho tak do týdne dovede dopočíst. To se dá. Ale jakmile jde o obchodování s něčím hmotným, tam se vždycky podvod vymyslet dá (a nemusí být včas patrný). V tu chvíli člověk potřebuje justici, která je schopná tohle nějak pochopit a řešit.

    1.9.2013 18:16 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?

    Ještě ke kvantovému počítání a NSA: Sice v odkazovaných článcích tahle vazba přímo není, ale není těžké vygooglit a najít na Wikipedii, že americké totalitní státní orgány se už cca od roku 1996 aktivně zajímají o možnosti kvantových počítačů a financují spoustu výzkumných projektů v tomto oboru. Velký podíl na tom má dnešní NSA a existuje dokonce podezření, že někde v Utahu už nějaký kvantový stroj existuje.

    Jendа avatar 2.9.2013 04:29 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Citation needed? Je jich na výběr spousta. Třeba tohle vypadá důvěryhodně.
    Já tomu prd rozumím, ale možná ne
    Nápad, jak zlepšit stav počítačové bezpečnosti, jsem tu už několikrát popisoval: školství. Zaprvé, kde vzít tu první generaci dobrých učitelů, kteří nebudou učit Microsoft Shit, ale informační technologie? Fundovaných lidí je dostatek, ale platy ve školství pro ně nejsou příliš přesvědčivé.
    Už jsem tu několikrát psal a naznačoval jsem to i v tomto threadu: Problémem je kromě učitelů i nezájem studentů. Mně osobně by platové ohodnocení učitele zas tak nevadilo a klidně bych šel za ty peníze fyziku nebo IT na pár let učit, mnohem větší důvod, proč nikdy nechci učit na střední je, že nedokážu učit někoho, kdo o to nemá zájem. Já si prostě myslím, že i kdyby ve třídě byl ajťák jako třeba ty nebo já nebo dokonce ajťák s pedagogickým vzděláním, moc toho do hlavy dětem nenatluče. Možná pár ze třídy, ale zbytku prostě ne; i když je bude podle toho známkovat, asi nějak projdou se 3-4 (a učitel bude „odejit“ pro „přílišnou náročnost“, stalo se).

    Jsem teď pár měsíců po střední (průměrný gympl), IT jsme měli naprosto mizerné, ale na M a Fy byli učitelé IMHO naprosto super. Většina třídy na to ale srala. Prostě „nezájem“. Pak mi ještě přijde, že jsou lidé (nejsem ale schopen odhadnout, jaký jich je podíl), kteří ani při nejlepší vůli v rozumném čase (ani při doučování) třeba SŠ ani ZŠ matiku prostě nedají (obdobně jako já měl šílené problémy vymyslet si témata na slohové práce v jakémkoli jazyce). Může něco podobného být i v IT? Kolik jich je? Co s tím?

    A i když je školství mizerné - proč vídáme tak málokdy, že se někdo klíčová témata IT doučí ve volném čase, jako jsme to třeba udělali my? Zdarma dostupných materiálů - dokumentace i softwaru - jsou tři prdele na internetu, počítač má doma každý nebo se dá za odvoz vykšeftovat Pentium III, stačí si jenom po večerech číst a hrát si.
    2.9.2013 13:15 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?

    Člověk si sám od sebe nevyhledá a nepřečte Lojzu Jiráska a sám od sebe si v té záplavě informací na webu nedovede vybrat to podstatné. Škola by měla na ty podstatné věci aspoň trochu upozorňovat. Co je podstatné a co ne — to je samozřejmě téma na dlouhou diskusi.

    Aby se zabezpečení v IT stalo opravdu běžnou a všeobecně známou věcí, muselo by být například pro přihlášení do školního informačního systému (toho, kde rodiče můžou sledovat známky žáků) možné pouze s osobním certifikátem nebo rovnou se SmartCardem a tak podobně. Zkrátka nemělo by jít o jeden jediný předmět typu IT, kterého jsou všeho všudy dvě hodiny týdně nebo méně, ale o nějaký systematický přístup, který by se týkal veškeré výuky a celého procesu vzdělávání.

    Podobně jako slušné chování se vyžaduje ve všech předmětech, nejen ve společenských (pa)vědách, mohlo by se taky zabezpečení vyžadovat všude.

    Když srovnám co do obtížnosti například integrování racionálních funkcí, které některým lidem zůstane i po absolvování oktávy záhadou, a podepisování a šifrování mailů či přihlášení k webu pomocí osobního certifikátu, řekl bych, že z pohledu uživatele je kryptografie nesrovnatelně jednodušší než počtářské nebo fyzikální úlohy všeho druhu. Jistě, najdou se jedinci, kteří něco takového nezvládnou. Ale najdou se taky jedinci, kteří nedovedou psát. To ale ještě není důvod rušit písmo nebo vůbec nezavádět výuku psaní.

    Právě psaní je něco, co prostupuje celým výukovým systémem. Člověk se učí psát rukou, pak na klávesnici. Učí se psát běžné písmo i různé matematické symboly. Píše strukturovaný text, poznámky, umělecký text, rovnice a výpočty... Informační technologie se zabezpečením by měly být stejně běžné jako psaní.

    xkucf03 avatar 2.9.2013 07:55 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Momentálně by prostě skončily na „nedostatku důkazů“, protože vlastnictví té či oné bitcoinové peněženky naše justice jako důkaz neuznává.

    Když pro soudy může být relevantní nějaká posloupnost bajtů na disku1 a můžou kvůli ní někoho zavřít nebo pokutovat, proč by neměli uznávat Bitcoin, což je podobně nemateriální hodnota?

    [1] např. software nebo film bez patřičné licence

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    2.9.2013 13:19 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?

    To je samozřejmě zcela správná úvaha. Když už soudy někoho buzerují za zdánlivě ilegální nehmotný obsah, měly by být bez problémů schopné pracovat s nehmotnými Bitcoiny. Nicméně v praxi by Bitcoin potřeboval buď pevnou oporu v zákoně, nebo nějaký hodně silný precedens. (To druhé by fungovalo spíš ve Spojených totalitních státech než v české justici, takže zbývá už jen ten zákon.) Obávám se, že v současné době by ani triviální podvod spočívající v nedodání zboží uhrazeného Bitcoinem nebyly naše soudy schopné efektivně vyřešit. Leda by si člověk najal Tomáše Sokola, který před pár lety pobíral 4 litry na hodinu a kolik pobírá dnes, to si ani netroufám představit. :-D

    xkucf03 avatar 30.8.2013 10:06 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Už si umím představit ty slevové kupóny na tisíce korun nabízené za pouhé podepsání klíče, které by se pak ukázaly jako fake, ostatně jako celý E-shop ...

    Podpis veřejného klíče (certifikát) by se měl týkat identity (např. je to podnikatel s určitým IČ) nebo nějakého důležitého faktu (např. je pojištěn u pojišťovny X nebo má účet u banky Y), ale neměl by obsahovat subjektivní hodnocení (např. v tomto obchodě se mi dobře nakupuje a byli na mě milí).

    Další věc je, že podpisy by pro tebe měly být relevantní pouze od autorit – tou může být např. stát, pojišťovna, banka nebo tvůj dobrý kamarád, kterého znáš osobně a o kterém víš, že nepodepíše kdejakou blbost na potkání. Že něco podepsalo tisíc anonymních joudů (kteří za to třeba dostali nějaký falešný kupón) tě nemusí vůbec trápit, je to irelevantní informace a dobrý software ti ji pomůže odfiltrovat (nemáš jejich klíče v klíčence a nemáš u nich nastavenou důvěryhodnost). To je ostatně princip sítě důvěry – musí to být skutečně síť propojená až k tobě (ty někoho znáš, on zná dalšího…) a ne nějaký ostrůvek pochybných identit, které nikdo z tvého okruhu nezná a který se vzal neznámo odkud.

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    1.9.2013 01:29 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?

    Ale já prostě potřebuju mít tool, který by dokázal ty podpisy nějak rozumně (polo)automaticky ověřovat. Nemůžu filtrovat tisíc joudů a manuálně se je snažit odlišit od důvěryhodných institucí. Takový tool podle mě zatím stále není. Například by mi mohl zobrazit seznam „nejvýznamnějších“ podepisovatelů daného certifikátu, ať už podle počtu podpisů, které sami mají, nebo podle mé předchozí komunikace s nimi (kamarádi atd.), ale navíc by se taky mělo zohlednit, jestli už někdo svůj podpis revokoval, jestli má daná entita taky hodně podpisů od nedůvěryhodných lidí (joudů, kteří všechno podepisují, podepisují něco za prachy, ztratili soukromý klíč a podobně). Tohle prostě není jednoduché a není to něco, co by člověk chtěl (nebo snad mohl/stíhal) dělat při každé příležitosti manuálně.

    Což bude jeden z důvodů, proč jsou stále tak populární placené centralizované autority. Rozhodně takový systém nehájím ani nepovažuji za ideální, ale momentálně si prostě použitelnou alternativu neumím příliš představit.

    1.9.2013 01:32 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?

    s/„nejvýznamnějších“ podepisovatelů daného certifikátu/„nejvýznamnějších“ podepisovatelů daného veřejného klíče/

    Protože každý podpis pod veřejným klíčem je samostatný certifikát. No jo, už tady fakt píšu zmatky.

    1.9.2013 09:47 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?

    Možná to není přehledné, ale gpg --list-sigs většinu údajů (úroveň kontroly certifikátu, zneplatnění klíče) zobrazuje. Nakonec při každém ověření podpisu gpg informuje, pokud klíč není (podle docela složitých politik nastavených v konfiguračním souboru) považován za důvěryhodný.

    Že nějaký klíč podepíše nedůvěryhodný člověk, nemůže mít vliv na důvěryhodnost klíče. Nedává to smysl a navíc by to otevřelo cestu k útokům odepření služby.

    Josef Kufner avatar 1.9.2013 10:03 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    gpg --list-sigs? To je jak kdyby ti na otázku „Cos měl včera k obědu?“ bylo nablito do klína.

    GPG na tohle neobsahuje dostatek metadat, ani nedisponuje přehledným a efektivně použitelným GUI. Technologický základ je dobrý, ale bylo by potřeba to hodně rozšířit. U podpisu by bylo potřeba uvádět i sémantický význam takto vytvořeného vztahu. Při ověřování pak přihlížet k uživatelem požadované informaci a podle toho prezentovat výsledek.
    Hello world ! Segmentation fault (core dumped)
    1.9.2013 12:41 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    gpg --list-sigs? To je jak kdyby ti na otázku „Cos měl včera k obědu?“ bylo nablito do klína.

    Ano. Proto při ověřování podpisu dat (což uživatel dělá rutině o proti správě klíčů) uživatel dostane jednoduchou hlášku:

    gpg: VAROVÁNÍ: Tento klíč není certifikován důvěryhodným podpisem!
    gpg:          Nic nenaznačuje tomu, že tento podpis patří vlastníkovi klíče.
    nedisponuje přehledným a efektivně použitelným GUI.

    GUI je opravdu mimo záběr GnuPG. Mám pocit, že se o něco takového snažila Kleopatra.

    U podpisu by bylo potřeba uvádět i sémantický význam takto vytvořeného vztahu.

    --cert-policy-url. Přílad:

    sig!2   P    3D8C222D 2011-02-07  Benedikt Trefzer <trefzer@a2x.ch>
       Podepisovací politika: http://www.a2x.ch/de/kontakt/pgp-policy.html

    Sémantický zápis politiky nemá vyřešený ani X.509 (nepočítáme-li pár hodnot pro keyUsage, které třeba PostSignum rozdává v rozporu s vlastní politikou). I když i to lze do určité míry obejít seznamy certifikátů. Příklad s rozpoznáváním kvalifikovaných:

    $ gpgsm --verify mail.sig 
    gpgsm: Podpis vytvořen 2013-09-01 09:53:42 pomocí certifikátu s ID 0x726FACF0
    dirmngr[9273.0]: trusted certificate `/home/petr/.gnupg/trusted-certs/postsignum_qca_root-2009.der' loaded
    dirmngr[9273.0]: trusted certificate `/home/petr/.gnupg/trusted-certs/postsignum_qca_sub-2009.der' loaded
    dirmngr[9273.0]: permanently loaded certificates: 2
    dirmngr[9273.0]:     runtime cached certificates: 0
    gpgsm: poznámka: nekritické certifikační politiky nejsou dovoleny
    gpgsm: poznámka: nekritické certifikační politiky nejsou dovoleny
    gpgsm: Dobrý podpis od "/CN=Petr Písař/OU=P283151/C=CZ/SerialNumber=P283151"
    gpgsm:           alias "petr.pisar@atlas.cz"
    gpgsm: Toto je kvalifikovaný podpis
    gpgsm: Vezměte na vědomí, že tento software není oficiálně schválený k vytváření nebo ověřování takových podpisů.

    Bohužel PostSignum uvádí certifikační politiku ve vydaných certifikátech jako nekritickou, takže gpg k ní nepříhlíží.

    Jendа avatar 28.8.2013 17:47 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Zaprvé, nemohl by je dešifrovat, leda že by snad znal můj soukromý klíč nebo soukromý klíč příjemce.
    Samozřejmě, že ho zná. Respektive, podvrhne ho. To je jaksi princip MITM.
    30.8.2013 01:24 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?

    Jak už jsem psal: MITM by musel podvrhnout úplně každou zprávu. Stačila by jedna zpráva, která by mu proklouzla, a podvod by byl odhalen. Kdyby měl kontrolu nad 100% veškeré komunikace, pak by samozřejmě vše potřebné (tedy svůj vlastní soukromý klíč) znal.

    4.9.2013 11:39 Foo Bar | skóre: 14
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    Trochu se obávám, že motáte více věcí dohromady. Zatímco u PGP/GPG WoT máte docela jistotu, pokud má rozumné MSD ve WoT, že člověk, se kterým si píšete, je ten člověk, který tvrdí, že je, tak u S/MIME tuto jistotu už moc nemáte, vzhledem ke způsobu, jakým se certifikáty od CA dneska vydávají.
    xkucf03 avatar 4.9.2013 14:06 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Žije v Česku GnuPG?
    vzhledem ke způsobu, jakým se certifikáty od CA dneska vydávají
    Já se např. musel osobně zastavit v jedné instituci a ukázat dva doklady. To mi přijde celkem důkladné ověření a certifikátům od takové CA docela dost věřím (že se za nimi skutečně skrývá ten člověk, jehož jméno a organizace je tam uvedené).

    Že má někdo mezi důvěryhodnými CA v klientovi i kdejaký hnůj, to je už ale jeho problém. Stejně tak může mít hnůj ve své síti důvěry - lidi, kteří podepíší kde co nebo kteří ani neexistují a jsou to podepisovací roboti nějakého záškodníka.
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.