Re: lug-bg: keyserver
- Subject: Re: lug-bg: keyserver
- From: vlk@xxxxxxxxxxxxxxxxx (Vesselin Kolev)
- Date: Thu, 31 Oct 2002 20:35:17 +0200
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Pone az imah predvid neshto syvsem razlichno:)) Tova za koeto
ti govorish se izpolzva tuk pod edna ili druga forma ot firma
Informacionno obsluzhvane i e vyzmozhno nai-podatlivia na
vyzniknali probivi viariant.
Neka obiasnia niakoi principni neshta za da stane iasno za kakvo
govorim i da ne obyrkvame neshtata...
Govorim za open keyserver sistemi, za managirane na publichni
bazi ot danni s publichni kliuchove i udostoveriavane na izvyshen
ot pritezhatelite im elektronen podpis.
Ako edna principna shema e zashtitena sys steni, bunkeri
i ohrana, tova znachi, che sistemata e PRINCIPNO nenadezhdna i
se krepi edinstveno na strogata ohrana, na koiato e podlozhena...
Za zhalost VeriSign plasirat imenno takiva reshenia. Popitai gi za
open source:))) .. shte vidish samo usmivki:)) mozhe i tova da ne
vidish.
Istinskata i ustoichiva i universalna po svoia harakter cryptosystema
e razrabotena sys syzdavaneto na PGP v MIT. Shte obiasnia zashto
tazi sistema e ustoichiva, universalna i nadezhdna.
Sistemata se bazira na izpozvaneto na mrezha ot publichni key-serveri
na koito vseki da mozhe da postavia svoite publichni kliuchove.
Ideologiata e te da bydat lesno otkrivaemi ot drugite. Lesnata im
otkrivaemost e garancia za tiahnata nadezhdnost, zashtoto kogato
edno neshto lesno se namira, to lesno i mozhe da se proveri. Tuk
vseki bi kazal.. dobre, ako serverite sa publichni i vseki mozhe da
postavia svoia kliuch tam, ne mozhe li niakoi da postavi falshiv
kliuch i da go predstavi za chuzh s cel da chete kodiranata do
drugo lice informacia?
Na pryv pogled tova mozhe i da izglezhda taka, no na praktika ne e.
Neka da obiasnim kakvo shte napravi syobrazitelnia potrebitel.. Liceto
A reshava da si pishe s liceto B posredstvom kodirane. Iasno e, che za tova
e nuzhno A i B da obmeniat kliuchove i tova te mogat da napraviat chrez
namirane na kliuchivete varhu key-serverite. Pita se kak da sa sigurni,
che naistina tova sa tehnite kliuchove? Mnogo prosto.. togava te se nuzhdaiat
ot udostoveritel. Tozi udostoveritel traibva da kazhe, che tezi kliuchove
sa naistina tezi, za koito sa prestaveni. Tova mozhe da sa obshti poznati,
kliuchovete na koito i dvamata imat. Obshtia poznat pravi pri sebe si
kopie na kliuchovete na A i B. Pravi elektronen podpis vyrhu tiah i
kachva elektronnia si podpis kym dvata kliucha varhu key-servera.
Tam ima i kliucha na udosotveritelia. A i B znaiat negovia otpechatyk,
nai-chesto napraven s SHA1 ili MD5 algoritmi, i mogat da proveriat
negovia kliuch i sled tova da proveriat avtentichnostta na elektronnia
podpis vyrhu tyrsenia ot tiah kliuch. A i B imat otpechatyka na
udostoveritelia ot treti iztochnik.. primerno kazal im go e v telefonen
razgovor, publikuval go e vyv vestnik i t.n.. i taka mogat da proveriat
avtentichnostta na kliucha mu varhu key-servera i sledovatelno
validnostta na elektronnia mu podpis varhu publichnite kliuchove.
Tochno tazi rabota ne im e iasna na mnogo hora, firmi i organizacii ili
ne iskat da ia razberat! Shte vi kazha i kakav e cirkovia nomer ot
glavnata cirkova programa na povecheto firmi-udostoveriteli...
Te razchitat na malogramotnia potrebitel. Predlagat da mu izdadat
certificate (popitaite gi kakvo e tova i shte poluchite mygliv otgovor).
Razbira se sreshtu zaplashtane, kato tova se vodi high-tech usluga
i struva dosta (koe i e high... az pone ne go vizhdam). Certificate se
izdava za period ot vreme.. sled iztichaneto mu za da se podnovi toi
e nuzhno da se plati pak... Tova sa pari... mnogo pari! DADENI na
viatyra! V Bulgaria sega e v hod takiva parichno sybiratelstvo. I prichinata
e komersializaciata vyv vsichko!
Prostite neshta, kato shema i princip se prodavat v cherni kutii na
krainite potrebiteli, kato prodazhbite sa navyrzani... t.e. izdava ti se
certificate, pravi se sistema za negovata poddryzhka i udostoveriavane,
koiato se prodava na tezi, pred koito traibva da se udostoverish...
T.e. tova e porochna shema!
Nuzhen e nekomersialen "trust introducer", koito sreshtu minimalno
zaplashtane da podpisva publichnite kliuchove na vseki zhelaesh,
nezavisimo ot tiahnata validnost.
Systemata ot key-servers e neveroiatno ustoichiva i e pokazala tova
prez dylgite godini v koito syshtestvuva. Vytre shte vidite kliuchove na
pochite vsichki vodeshti kompanii! PGP kato technologia ima oshte
mnogo bydeshte v sebe si! Cryptoalgoritmite s publichen kliuch sa
nadezhdni i ustoichivi! Vsichki obiasnenia ot strana na prodavachite
na comersialni uslugi (certificates) che te vi garantirat sugurnost sa
pylni vnushenia, zashtoto sigurnostta na cryptoalgotitmite e v
tiahnata matematicheska realizacia!!!! Neka niakoi da mi obiasni s kakvo
moia publichen kliuch e po-nesiguren ot tozi, izdaden ot niakoi
comersialen dostavchik na cryptouslugi? Kakvo e napravil toi!???
Izmislil e novi teoremi!?? Reshil e nova matematicheska zadacha???
Sigurnostta tuk pochiva na matematicheski zakoni, a ne na trikove
v napravata na edin ili drug software.
Kraino vreme e... da se poiavi nekomersialen trust introducer v BG!
On Thursday 31 Oct 2002 19:36, Valentin Tzankov wrote:
> Az sym se zanimaval s Netscape Certificate Server i
> (Cryptix)http://anoncvs.cryptix.org, ne sym mnogo siguren kakva e tochno
> razlikata m/u certificate server i key server, na men mi izglejdat mnogo
> shodni.
> Vyv Merrill Lynch se polzvahme Netscape Certificate Server
> kato vsichki analyst-i rabotjat zad "Chinese Wall" (filelove mogat da se
> otvorjat samo ot hora zad stenata) i vseki ot tjah si ima sobstven
> certificate(zapisan na magnitna carta kojato se pyha v keyboard-a i sluji
> za 'patch' za otvarjane na vrati), Vsichki certificate sa chast ot
> erarhichno dyrvo(certificate chain tree) koeto copira erarhijata na ML i
> navyrha zavyrssva s VeriSign Class 3 Root Certificate kojto e neobhodimo da
> se importne v servera, kojto ot svoja strana e integriran s LDAP server,
> kojto syhranjava vsichkite ti paroli i userId-ta, taka kato napusnish samo
> s natiskane na edin button ti otrjazvat vsjakakyv dostyp do sgradata i
> mrejite. V momenta polzvame Cryptix za VoIP zastita toj e java open-source
> keyserver, prost e ima njakoj bugove no ni vyrshi chudesna rabota.
>
> Todor Belev wrote:
> > Vesselin:
> > ako ne i predstavliava trudnost, dai malko poveche info naistina za
> > elektronen podpis, RFC-ta ili niakakvo gotovo info nasybrano..
> > todorin
> >
> > >-------- íÏÕÖÕÌÞÊÌÍ ÎÕßËÍ --------
> > >íÐ: "Petko Boukov" ochinko@xxxxxxxxxxxx
> > >íÐÌÍßÌÍ: Re: lug-bg: keyserver
> > >äÍ: lug-bg@xxxxxxxxxxxxxxxxxx
> > >õÃÎÏÞÐÅÌÍ ÌÞ: 2002-10-31 14:35:38.0
> > >----------------------------------
> > >Meri mnogo za otgovora. Az imam zhelanie da se vkljucha v pisaneto na
> > > podobna broshura, no tepyrva zapochvam i pyrvo shte trqbva da izqm
> > > edna-dve duzini RFC-ta po vyprosa :)
> > >
> > >Ako ne vyzrazqvash, shte ti pisha i lichno po syshtiq vypros.
> > >
> > >Petko
> > >
> > >----- Original Message -----
> > >From: Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>
> > >Date: Thu, 31 Oct 2002 13:09:57 +0200
> > >To: lug-bg@xxxxxxxxxxxxxxxxxx
> > >Subject: Re: lug-bg: keyserver
> > >
> > >> -----BEGIN PGP SIGNED MESSAGE-----
> > >> Hash: SHA1
> > >>
> > >> Dam, nai-nakraia niakoi da zadade i tozi vypros...
> > >>
> > >> Pyrvo, az sym puskal keyserer, no beshe otdavna (1998). Veche
> > >> neshtata sa se primenili i softuera sigurno e nov, no predpolagam,
> > >> che principite sa syshtite. Ako vsashnost niakoi se navie az shte
> > >> pusna i priyutia takyv server...
> > >>
> > >> Znachi, kakva e celta na keyserverite izobshto. Celta e te da bydat
> > >> v roliata na hranilishte za publichni kliuchove. Za celta te mozhe da
> > >> se obediniavat v mrezhi ili da sa otdelni i avtonomni (split mode).
> > >> Po princip obache celta e da sa publichni za da mozhe niakoi (koito i
> > >> da e toi) da nameri publichnia kliuch na niakogo za da izprati kym
> > >> nego kodiran fail ili elektronna poshta ili da proveri
> > >> avtentichnostta na izvyrshen veche elektronen podpis.
> > >>
> > >> Udobstvoto na key-serverite e, che mogat da bydat izpolzvani za
> > >> third party introducer, t.e. da ne se nalaga vseki pyt pri
> > >> udostoveriavane ili pri zhelanie za osyshtestviavane na kodirana
> > >> komunikacia da se nalaga da se prashta publichnia kliuch chrez
> > >> e-mail, naprimer i taka cyptosystemata s publichen kliyuch da byde
> > >> podatliva na "Proxy-attack" ("Man in The Middle).
> > >>
> > >> Predi da se napravi key-server e nuzhno da se utochni dali tova
> > >> shte e chast ot goliama mrezha s key-serveri ili shte e
> > >> samostoiatelen server (poslednoto pochti ne se pravi veche).
> > >>
> > >> Za da mozhe edin publichen kliuch, postaven varhu keyserver da
> > >> byde vyzprieman na seriozno i da mozhe da mu se viarva, toi traibva
> > >> da e podpisan ot drugi sobstvenici na publichni kliyuchove ili ot
> > >> organizacii, koito se zanimavat s tova. Elektronnite podpisi se
> > >> prikrepiat kym publichnia kliuch i se postaviat varhu key-servera.
> > >> Ako niakoi drug iska da podpishe tozi kliuch toi prosto izprashta
> > >> elektronnia podpis kym keyservera i toi se prikrepva kym publicnia
> > >> kliuch.
> > >>
> > >> V Bulgaria tova e tema tabu, makar i che se prie zakona za
> > >> elektronnia podpis. Biah na Bait Expo, koeto zavyrshi predi sedmica,
> > >> posetih shtanda na firma "Informacionno obsluzhvane" i se sblyskah
> > >> s neznanieto, koeto cari po vyprosa izobshto. Az prosto iskah te da
> > >> mi podpishat moia, proizveden s PGP, publichen kliuch, da
> > >> udostoveriat, che moia kliuch e veren, i taka poluchenia chrez tiah
> > >> elektronen podpis na kliucha da se prati po key-serverite na koito az
> > >> veche sym postavil publichnia si kliuch.... Okaza se, che v BG
> > >> elektronni sertificati se izdavat ot operatori (zvuchi mi kato
> > >> operatori na mini-samosvali) na programi, koito ne znaiat nishto! Na
> > >> tiah nishto ne im govoriat termini kato RSA, Diffie-Helmann, DSA,
> > >> nishto!!!!!! Bil postroen BUNKER (napravo pripadnah) kydeto se pazi
> > >> baza ot danni sys sertifikatite... Tia hora deto gi praviat tezi
> > >> neshta... sigurno stradat ot psihicheski otklonenia...
> > >>
> > >> Drugo neshto, nikoi tuk ne ti kazva s kakyv algoritym se proizvezhda
> > >> tvoia sertifikat, nikoi ne ti garantira, che v nego niama additional
> > >> decryption key, koito mozhe da se polzva ot niakoi drug za prochitane
> > >> na kodiranata informacia... i t.n.. i .t.n reki, vodopadi ot
> > >> gluposti, prostotii, seliania i nechoveshko nerazbirane....
> > >>
> > >> Ako niakoi ima zhelanie shte napravim edin project za napravata na
> > >> neshto kato broshura po vyprosa.. da se obiasni na horata kakvo e
> > >> tova elektronen podpis i da sa naiasno s vyrposa koi i za kakvo im
> > >> vzima parite! A za key-server... ima dosta mezhdunarodni.. primer e
> > >> http://www.keyservers.net . Tuk mozhem da napravim edin no da e
> > >> samo za celite na Bylgarsko Linux Obshtestvo ili za trenazhor...
> > >>
> > >> Ako iskate mozhe i da se napravi seminar po vypros... iska se samo
> > >> zhelaeshti da ima
> > >>
> > >> Pozdravi
> > >> Vesselin Kolev
> > >>
> > >> On Wednesday 30 Oct 2002 21:38, Petko Boukov wrote:
> > >> > Puskal li e nqkoj keyserver? Izobshto kakvi syveti mozhete da mi
> > >> > dadete za eksperimenti s elektronen podpis? Dokolkoto sym vidql,
> > >> > klientskata chast se izcherpva s gpg, no ako chovek iska da si
> > >> > poigrae i otkym server-a?
> > >> >
> > >> > Drug vypros. Mrezhata ot svobodni serveri (keyring) ima li prestizh
> > >> > vyv finansoviq i upravlenskiq svqt, v smisyl, polzva li se ot
> > >> > golqma firma ili organizaciq?
> > >> >
> > >> > Petko
> > >>
> > >> -----BEGIN PGP SIGNATURE-----
> > >> Version: GnuPG v1.0.7 (GNU/Linux)
> > >>
> > >> iD8DBQE9wQ+M+48lZPXaa+MRAmBxAKCaMGN9mHkHuxQ049EBUsz6e94OwgCgwHP9
> > >> Eleyksr/52VXT+WvZdzfmEE=
> > >> =YYLX
> > >> -----END PGP SIGNATURE-----
> > >
> > >--
> > >_______________________________________________
> > >Get your free email from http://www.graffiti.net
> > >
> > >Powered by Outblaze
> > >=======================================================================
> > >===== A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
> > > http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara
> > > Zagora To unsubscribe:
> > > http://www.linux-bulgaria.org/public/mail_list.html
> > > ======================================================================
> > >======
> >
> > -----------------------------------------------------------------
> > http://Kinomania.GBG.bg - ÿÞËÍ ÐÑÉ! áßÕÂÉÍ ÃÞ éÕÌÍËÞÌÕÚ 2002
> > =========================================================================
> >=== A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
> > http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara
> > Zagora To unsubscribe:
> > http://www.linux-bulgaria.org/public/mail_list.html
> > =========================================================================
> >===
>
> ===========================================================================
>= A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
> http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara
> Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
> ===========================================================================
>=
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)
iD8DBQE9wXfs+48lZPXaa+MRAoSpAJ9azPn9Mfxef2ee+ddbFVOfPjbnrgCglx3z
dmKEI7bIbXGo6prJeWu8IXY=
=MHOV
-----END PGP SIGNATURE-----
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|