Re: GPG в реальной жизни
Хмутро.
YR> >Или надо проверять
YR> >подпись и быть 100% уверенным в проверке, или не проверять вообще.
YR> >Ложная безопасность -- страшная вещь.
YR> Вот в этом вы абсолютно правы, "Trusted Web" это конечно хорошая
YR> задумка, но вся проблема что к этому нужно очень щепетильно относится
YR> если дело идёт о важной информации. Для Debian'а принцип PGP абсолютно
YR> достаточен, так как с одной стороны каждый из нас хочет быть уверен что
YR> информация идёт в оригинале, с другой стороны эта информация не имеет
YR> убийственной силы. Если же речь идёт о (особо) важной информации то PGP
YR> тут не достаточно, потому как я не имею никакого основания доверять тем
YR> ключам которые мною не подписанны, например дебиановскому. А так как я
YR> дебиановскому доверять не могу, то не могу доверять и ключам mainter'ов.
YR> Если среди этих mainter'ов замешается, какой-нибудь "вирусолог",
YR> "трояноведец" или просто "malware любитель", а это скажем абсолютно не
YR> трудно, то плакала вся ваша вера в дебиановский ключ, потому как его
YR> ключ теперь тоже будет по идее "trusted". Вся проблема в
YR> безответственности! Если какой-то mainter'нер вам трояна закатает и ваша
YR> фирма после этого пойдёт банкрот, то никакое сообщество дебианцев вам за
YR> это отвечать не будут.
YR> Но всё-таки идея "Trusted Web" заключается в том, чтобы вы могли
YR> доверять ключам которые Вы в первый раз видите! Это возможно, если найти
YR> козла отпущения, который ответственность несёт, например VeriSign. Но
YR> так как никто не хочет быть козлом на шару, то конечно же VeriSign берёт
YR> деньги за свою ответственность. Теперь Вы можете доверять ключам которые
YR> подписанны напрямую или через несколько ступеней VeriSign. Если Вас
YR> кто-то кинет, то теперь VeriSign в ответе и должен будет возместить
YR> ущерб, в границах которые были установленны по контракту. Да кстати,
YR> VeriSign подтверждает только личность и это значит что тот же
YR> "вирусолог" может иметь ключ, которому вы можете доверять, но доверять
YR> вы можете только тому что это действительно Пэдро из Мексики, а не кто
YR> нибудь другой. Если Пэдро нанесёт Вам ущерб, то конечно спрашивать надо
YR> с Пэдро, а не с VeriSign. Но если Пэдро был не Пэдро, то тогда отвечает
YR> VeriSign.
YR> Надеюсь что все ясности я смог устранить :)
Да, успешно. То, что "сообщество дебианцев" за подсаженного тебе мейнтейнером
трояна твоей фирме ущерба не выплатит, ты почему-то считаешь поводом не
доверять ключу Debian, а то, что точно так же тебе ничего не выплатит
VeriSign - почему-то не считаешь поводом не доверять его сертификату... В то
время как я ключу Debian в этом смысле доверюсь гораздо больше - после первой
же такой попытки гражданин загремит из официальных мейнтейнеров, и больше
никогда туда не попадет. В случае с VeriSign это отчетливо не так.
YR> 1. Простая переписка не должна быть шифрованной или подписанной, чтобы
YR> не создавать ложной безопасности
1. Давайте не выплескивать с водой ребенка. Ложная безопасность в данном
случае является следствием не наличия подписи, а неправильной интерпретации
результата ее проверки. Когда я получаю три письма, подписанных одним и тем
же ключом, я могу по меньшей мере быть уверен, что даже если их подписывали
разные люди, то это люди, знающие один и тот же секретный ключ. Если при
этом я имею некоторую дополнительную информацию о владельце ключа, у меня
может появиться дополнительная информация. Например, если я знаю, что таки
да, это ключ этого самого человека, и он за ним аккуратно следит, то шансы,
что я вижу письмо не от него, достаточно малы. Например, судя по тому, что
я тут от тебя прочел, твоей подписи я буду доверять очень ограниченно в
любом случае, даже если получу твой ключ непосредственно из твоих рук. И уж
точно не буду доверять твоей подписи на чужих ключах - ты явно плохо
разбираешься в материале.
YR> 3. Важная информация, тут надо держать глаз в остро, и иметь
YR> ответственного, если сбой идёт. Самое главное, чтобы это стоило денег,
YR> так как без денежной/уголовной ответственности никакого доверия в
YR> кем-то, даже соседом, подписанные письма быть не может. Кому нужны потом
YR> ничего не стоящие оправдания?
2. "Незнание закона не освобождает от ответственности. Зато знание -
запросто." Вот как раз упование на денежную или уголовную ответственность -
это и есть ложная безопасность. Предел моего доверия, если оно
обеспечивается денежным или правовым механизмом, всегда будет очень и
очень ограничен. Не больше 50%. Потому что если "он" знает законы лучше
меня, он, скорее всего, найдет способ меня обмануть. А если мое доверие
стоит исключительно денег, "он" этим способом непременно воспользуется.
Собственно, эти 50% - это как раз шанс, что я либо знаю законы не хуже,
либо у меня есть иные механизмы "ему" за обман отомстить, и "он" об этом в
курсе, и это - сдерживающий фактор. Большее доверие - это только личные или
откровенно бескорыстные отношения.
3. По поводу недостатка образования. Почитай сначала Шнайера, "Прикладная
криптография". У него там о протоколах применения криптографии много
хорошего рассказано.
--
Artem Chuprina
RFC2822: <ran@ran.pp.ru>, FIDO: 2:5020/122.256, ICQ: 13038757
Reply to: