On Tue, Oct 26, 2010 at 07:18:43PM +0800, Denis Feklushkin wrote: > On Tue, 26 Oct 2010 12:25:53 +0300 > Peter Pentchev <roam@ringlet.net> wrote: > > > > > > > > > Проблема может быть в том что при подписывании текст предварительно корёжится - добавляются такие штуки: > > > > > > > > - -----BEGIN PGP SIGNATURE----- > > > > > > > > добавлен "- " > > > > > > > > и квотинг в письмах вроде тоже меняется > > > > > > > > восстанавливать это назад может быть невозможно, вдруг изначально так и было написано? > > > > > > Да, секция 7 в RFC 4880 говорит, что "this framework is not intended to > > > be reversible", и Werner Koch (автор GnuPG) много раз писал о проблемах > > > с пробелами в конце строки и с комбинациями окончания строк (CR, CR/LF, > > > LF only). Но проблемы - только с whitespace; то, чего Вы видите с > > > "BEGIN PGP SIGNATURE" - dash-escaping, подробно описанный в RFC 4880 7.1 > > > (и в RFC 2440 секции 7 и 7.1). > > > > > > Так что восстановление возможно с точности до whitespace. > > > > Кстати, то и есть причина предпочти PGP/MIME и detached signatures > > перед clearsigned text. > > Это сделано чтобы печатный текст можно было распознать и проверить подпись? Если под "это" Вы имеете ввиду две идеи - PGP/MIME и detached signatures - тогда это сделано, чтобы всегда можно знать, что *точно* подписываем. При clearsigned text неясно какие пробелы и табуляции были удалены в конце строк и неясно какие комбинации CR и LF были обращены в CR/LF. Поэтому придумали detached signature - подпись в отдельном файле, только подпись, так что надо слать оба файла - оригинальний текст и подпись. Потом, для целях почты, придумали PGP/MIME - формат RFC822/2822 сообщения, при котором совершенно ясно какая часть писал человек, какие еще файлы человек attach-ил, и какая часть сгенерирована OpenPGP, чтоб подписать остальную. > > У Вас нету возможности делать detached > > signatures? > > Мне не для почты. Я на сайте делаю обоюдное подтверждение того, что > пользователь с информацией ознакомлен. > > То есть, пользователь получает некий текст с прозрачной подписью. > Копипастит его, подписывает и вставляет назад. Нажимает "отправить", > сайт проверяет подписи (свою и пользовательскую) и сохраняет подписанный > текст в архив > > Поэтому, мне clearsign для наглядности хочется - чтобы пользователи > видели что у них подписано а что - нет. Ну, в таком случае пользователь может сделать и detached signature на clearsigned тексте, а и сайт может делать detached signature, чтобы пользователю было точно ясно, что нету проблем с пробелями и т.д. Но, да, в этом случае можно обойтись и clearsigned текстом - только имейте ввиду, что пробели... да, может, Вам уже надоело о пробелях :) Всего лучшего, Петр -- Peter Pentchev roam@space.bg roam@ringlet.net roam@FreeBSD.org PGP key: http://people.FreeBSD.org/~roam/roam.key.asc Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553 This sentence claims to be an Epimenides paradox, but it is lying.
Attachment:
signature.asc
Description: Digital signature