[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: GPG в реальной жизни

Хмутро.

YR> >Или надо проверять
YR> >подпись и быть 100% уверенным в проверке, или не проверять вообще.
YR> >Ложная безопасность -- страшная вещь.

YR> Вот в этом вы абсолютно правы, "Trusted Web" это конечно хорошая 
YR> задумка, но вся проблема что к этому нужно очень щепетильно относится 
YR> если дело идёт о важной информации. Для Debian'а принцип PGP абсолютно 
YR> достаточен, так как с одной стороны каждый из нас хочет быть уверен что 
YR> информация идёт в оригинале, с другой стороны эта информация не имеет 
YR> убийственной силы. Если же речь идёт о (особо) важной информации то PGP 
YR> тут не достаточно, потому как я не имею никакого основания доверять тем 
YR> ключам которые мною не подписанны, например дебиановскому. А так как я 
YR> дебиановскому доверять не могу, то не могу доверять и ключам mainter'ов. 
YR> Если среди этих mainter'ов замешается, какой-нибудь "вирусолог", 
YR> "трояноведец" или просто "malware любитель", а это скажем абсолютно не 
YR> трудно, то плакала вся ваша вера в дебиановский ключ, потому как его 
YR> ключ теперь тоже будет по идее "trusted". Вся проблема в 
YR> безответственности! Если какой-то mainter'нер вам трояна закатает и ваша 
YR> фирма после этого пойдёт банкрот, то никакое сообщество дебианцев вам за 
YR> это отвечать не будут.

YR> Но всё-таки идея "Trusted Web" заключается в том, чтобы вы могли 
YR> доверять ключам которые Вы в первый раз видите! Это возможно, если найти 
YR> козла отпущения, который ответственность несёт, например VeriSign. Но 
YR> так как никто не хочет быть козлом на шару, то конечно же VeriSign берёт 
YR> деньги за свою ответственность. Теперь Вы можете доверять ключам которые 
YR> подписанны напрямую  или через несколько ступеней VeriSign. Если Вас 
YR> кто-то кинет, то теперь VeriSign в ответе и должен будет возместить 
YR> ущерб, в границах которые были установленны по контракту. Да кстати, 
YR> VeriSign подтверждает только личность и это значит что тот же 
YR> "вирусолог" может иметь ключ, которому вы можете доверять, но доверять 
YR> вы можете только тому что это действительно Пэдро из Мексики, а не кто 
YR> нибудь другой. Если Пэдро нанесёт Вам ущерб, то конечно спрашивать надо 
YR> с Пэдро, а не с VeriSign. Но если Пэдро был не Пэдро, то тогда отвечает 
YR> VeriSign.

YR> Надеюсь что все ясности я смог устранить :)

Да, успешно. То, что "сообщество дебианцев" за подсаженного тебе мейнтейнером
трояна твоей фирме ущерба не выплатит, ты почему-то считаешь поводом не
доверять ключу Debian, а то, что точно так же тебе ничего не выплатит
VeriSign - почему-то не считаешь поводом не доверять его сертификату... В то
время как я ключу Debian в этом смысле доверюсь гораздо больше - после первой
же такой попытки гражданин загремит из официальных мейнтейнеров, и больше
никогда туда не попадет. В случае с VeriSign это отчетливо не так.

YR> 1. Простая переписка не должна быть шифрованной или подписанной, чтобы 
YR> не создавать ложной безопасности

1. Давайте не выплескивать с водой ребенка. Ложная безопасность в данном
   случае является следствием не наличия подписи, а неправильной интерпретации
   результата ее проверки. Когда я получаю три письма, подписанных одним и тем
   же ключом, я могу по меньшей мере быть уверен, что даже если их подписывали
   разные люди, то это люди, знающие один и тот же секретный ключ. Если при
   этом я имею некоторую дополнительную информацию о владельце ключа, у меня
   может появиться дополнительная информация. Например, если я знаю, что таки
   да, это ключ этого самого человека, и он за ним аккуратно следит, то шансы,
   что я вижу письмо не от него, достаточно малы. Например, судя по тому, что
   я тут от тебя прочел, твоей подписи я буду доверять очень ограниченно в
   любом случае, даже если получу твой ключ непосредственно из твоих рук. И уж
   точно не буду доверять твоей подписи на чужих ключах - ты явно плохо
   разбираешься в материале.

YR> 3. Важная информация, тут надо держать глаз в остро, и иметь 
YR> ответственного, если сбой идёт. Самое главное, чтобы это стоило денег, 
YR> так как без денежной/уголовной ответственности никакого доверия в 
YR> кем-то, даже соседом, подписанные письма быть не может. Кому нужны потом 
YR> ничего не стоящие оправдания?

2. "Незнание закона не освобождает от ответственности. Зато знание -
   запросто." Вот как раз упование на денежную или уголовную ответственность -
   это и есть ложная безопасность. Предел моего доверия, если оно
   обеспечивается денежным или правовым механизмом, всегда будет очень и
   очень ограничен. Не больше 50%. Потому что если "он" знает законы лучше
   меня, он, скорее всего, найдет способ меня обмануть. А если мое доверие
   стоит исключительно денег, "он" этим способом непременно воспользуется.
   Собственно, эти 50% - это как раз шанс, что я либо знаю законы не хуже,
   либо у меня есть иные механизмы "ему" за обман отомстить, и "он" об этом в
   курсе, и это - сдерживающий фактор. Большее доверие - это только личные или
   откровенно бескорыстные отношения.

3. По поводу недостатка образования. Почитай сначала Шнайера, "Прикладная
   криптография". У него там о протоколах применения криптографии много
   хорошего рассказано.

-- 
Artem Chuprina
RFC2822: <ran@ran.pp.ru>, FIDO: 2:5020/122.256, ICQ: 13038757
Reply to: