Re: lug-bg: keyserver
- Subject: Re: lug-bg: keyserver
- From: vtzankov@xxxxxxxxxxx (Valentin Tzankov)
- Date: Thu, 31 Oct 2002 16:08:44 -0500
Vesselin,
Az sym chastichno syglasesn sys tebe.
Na men ne mi haresva che edno CHISLO se prodava ot firmi kato VeriSign ili Thawte
za po 400-500$ tolkova struva class 3 certificate, no tjahnata rabota e da
proverjat
firmata i litzeto na koeto davat certificate dali sa legitimni, a osven tova
tjahnite root certificate
sa v brawser-ite, tam njama MIT root certificate.
Prosto takava e igrata i dokato MS-IE e vodestija browser ste ostane takava.
Osven tova 500$ za goljama firma s 12 Miliarda $ obrot sa nisto, vse pak se
nujdaesh samo
ot edin root certificate, a s nego moje da si generirash kolkoto si iskash sled
tova.
Vesselin Kolev wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Pone az imah predvid neshto syvsem razlichno:)) Tova za koeto
> ti govorish se izpolzva tuk pod edna ili druga forma ot firma
> Informacionno obsluzhvane i e vyzmozhno nai-podatlivia na
> vyzniknali probivi viariant.
>
> Neka obiasnia niakoi principni neshta za da stane iasno za kakvo
> govorim i da ne obyrkvame neshtata...
>
> Govorim za open keyserver sistemi, za managirane na publichni
> bazi ot danni s publichni kliuchove i udostoveriavane na izvyshen
> ot pritezhatelite im elektronen podpis.
>
> Ako edna principna shema e zashtitena sys steni, bunkeri
> i ohrana, tova znachi, che sistemata e PRINCIPNO nenadezhdna i
> se krepi edinstveno na strogata ohrana, na koiato e podlozhena...
> Za zhalost VeriSign plasirat imenno takiva reshenia. Popitai gi za
> open source:))) .. shte vidish samo usmivki:)) mozhe i tova da ne
> vidish.
>
> Istinskata i ustoichiva i universalna po svoia harakter cryptosystema
> e razrabotena sys syzdavaneto na PGP v MIT. Shte obiasnia zashto
> tazi sistema e ustoichiva, universalna i nadezhdna.
>
> Sistemata se bazira na izpozvaneto na mrezha ot publichni key-serveri
> na koito vseki da mozhe da postavia svoite publichni kliuchove.
> Ideologiata e te da bydat lesno otkrivaemi ot drugite. Lesnata im
> otkrivaemost e garancia za tiahnata nadezhdnost, zashtoto kogato
> edno neshto lesno se namira, to lesno i mozhe da se proveri. Tuk
> vseki bi kazal.. dobre, ako serverite sa publichni i vseki mozhe da
> postavia svoia kliuch tam, ne mozhe li niakoi da postavi falshiv
> kliuch i da go predstavi za chuzh s cel da chete kodiranata do
> drugo lice informacia?
>
> Na pryv pogled tova mozhe i da izglezhda taka, no na praktika ne e.
> Neka da obiasnim kakvo shte napravi syobrazitelnia potrebitel.. Liceto
> A reshava da si pishe s liceto B posredstvom kodirane. Iasno e, che za tova
> e nuzhno A i B da obmeniat kliuchove i tova te mogat da napraviat chrez
> namirane na kliuchivete varhu key-serverite. Pita se kak da sa sigurni,
> che naistina tova sa tehnite kliuchove? Mnogo prosto.. togava te se nuzhdaiat
> ot udostoveritel. Tozi udostoveritel traibva da kazhe, che tezi kliuchove
> sa naistina tezi, za koito sa prestaveni. Tova mozhe da sa obshti poznati,
> kliuchovete na koito i dvamata imat. Obshtia poznat pravi pri sebe si
> kopie na kliuchovete na A i B. Pravi elektronen podpis vyrhu tiah i
> kachva elektronnia si podpis kym dvata kliucha varhu key-servera.
> Tam ima i kliucha na udosotveritelia. A i B znaiat negovia otpechatyk,
> nai-chesto napraven s SHA1 ili MD5 algoritmi, i mogat da proveriat
> negovia kliuch i sled tova da proveriat avtentichnostta na elektronnia
> podpis vyrhu tyrsenia ot tiah kliuch. A i B imat otpechatyka na
> udostoveritelia ot treti iztochnik.. primerno kazal im go e v telefonen
> razgovor, publikuval go e vyv vestnik i t.n.. i taka mogat da proveriat
> avtentichnostta na kliucha mu varhu key-servera i sledovatelno
> validnostta na elektronnia mu podpis varhu publichnite kliuchove.
>
> Tochno tazi rabota ne im e iasna na mnogo hora, firmi i organizacii ili
> ne iskat da ia razberat! Shte vi kazha i kakav e cirkovia nomer ot
> glavnata cirkova programa na povecheto firmi-udostoveriteli...
> Te razchitat na malogramotnia potrebitel. Predlagat da mu izdadat
> certificate (popitaite gi kakvo e tova i shte poluchite mygliv otgovor).
> Razbira se sreshtu zaplashtane, kato tova se vodi high-tech usluga
> i struva dosta (koe i e high... az pone ne go vizhdam). Certificate se
> izdava za period ot vreme.. sled iztichaneto mu za da se podnovi toi
> e nuzhno da se plati pak... Tova sa pari... mnogo pari! DADENI na
> viatyra! V Bulgaria sega e v hod takiva parichno sybiratelstvo. I prichinata
> e komersializaciata vyv vsichko!
>
> Prostite neshta, kato shema i princip se prodavat v cherni kutii na
> krainite potrebiteli, kato prodazhbite sa navyrzani... t.e. izdava ti se
> certificate, pravi se sistema za negovata poddryzhka i udostoveriavane,
> koiato se prodava na tezi, pred koito traibva da se udostoverish...
> T.e. tova e porochna shema!
>
> Nuzhen e nekomersialen "trust introducer", koito sreshtu minimalno
> zaplashtane da podpisva publichnite kliuchove na vseki zhelaesh,
> nezavisimo ot tiahnata validnost.
>
> Systemata ot key-servers e neveroiatno ustoichiva i e pokazala tova
> prez dylgite godini v koito syshtestvuva. Vytre shte vidite kliuchove na
> pochite vsichki vodeshti kompanii! PGP kato technologia ima oshte
> mnogo bydeshte v sebe si! Cryptoalgoritmite s publichen kliuch sa
> nadezhdni i ustoichivi! Vsichki obiasnenia ot strana na prodavachite
> na comersialni uslugi (certificates) che te vi garantirat sugurnost sa
> pylni vnushenia, zashtoto sigurnostta na cryptoalgotitmite e v
> tiahnata matematicheska realizacia!!!! Neka niakoi da mi obiasni s kakvo
> moia publichen kliuch e po-nesiguren ot tozi, izdaden ot niakoi
> comersialen dostavchik na cryptouslugi? Kakvo e napravil toi!???
> Izmislil e novi teoremi!?? Reshil e nova matematicheska zadacha???
> Sigurnostta tuk pochiva na matematicheski zakoni, a ne na trikove
> v napravata na edin ili drug software.
>
> Kraino vreme e... da se poiavi nekomersialen trust introducer v BG!
>
> On Thursday 31 Oct 2002 19:36, Valentin Tzankov wrote:
> > Az sym se zanimaval s Netscape Certificate Server i
> > (Cryptix)http://anoncvs.cryptix.org, ne sym mnogo siguren kakva e tochno
> > razlikata m/u certificate server i key server, na men mi izglejdat mnogo
> > shodni.
> > Vyv Merrill Lynch se polzvahme Netscape Certificate Server
> > kato vsichki analyst-i rabotjat zad "Chinese Wall" (filelove mogat da se
> > otvorjat samo ot hora zad stenata) i vseki ot tjah si ima sobstven
> > certificate(zapisan na magnitna carta kojato se pyha v keyboard-a i sluji
> > za 'patch' za otvarjane na vrati), Vsichki certificate sa chast ot
> > erarhichno dyrvo(certificate chain tree) koeto copira erarhijata na ML i
> > navyrha zavyrssva s VeriSign Class 3 Root Certificate kojto e neobhodimo da
> > se importne v servera, kojto ot svoja strana e integriran s LDAP server,
> > kojto syhranjava vsichkite ti paroli i userId-ta, taka kato napusnish samo
> > s natiskane na edin button ti otrjazvat vsjakakyv dostyp do sgradata i
> > mrejite. V momenta polzvame Cryptix za VoIP zastita toj e java open-source
> > keyserver, prost e ima njakoj bugove no ni vyrshi chudesna rabota.
> >
> > Todor Belev wrote:
> > > Vesselin:
> > > ako ne i predstavliava trudnost, dai malko poveche info naistina za
> > > elektronen podpis, RFC-ta ili niakakvo gotovo info nasybrano..
> > > todorin
> > >
> > > >-------- Ìîóæóë÷éëì íóúêì --------
> > > >Ìï: "Petko Boukov" ochinko@xxxxxxxxxxxx
> > > >Ìïëìúëì: Re: lug-bg: keyserver
> > > >Äì: lug-bg@xxxxxxxxxxxxxxxxxx
> > > >Óöíî÷ïåëì ë÷: 2002-10-31 14:35:38.0
> > > >----------------------------------
> > > >Meri mnogo za otgovora. Az imam zhelanie da se vkljucha v pisaneto na
> > > > podobna broshura, no tepyrva zapochvam i pyrvo shte trqbva da izqm
> > > > edna-dve duzini RFC-ta po vyprosa :)
> > > >
> > > >Ako ne vyzrazqvash, shte ti pisha i lichno po syshtiq vypros.
> > > >
> > > >Petko
> > > >
> > > >----- Original Message -----
> > > >From: Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>
> > > >Date: Thu, 31 Oct 2002 13:09:57 +0200
> > > >To: lug-bg@xxxxxxxxxxxxxxxxxx
> > > >Subject: Re: lug-bg: keyserver
> > > >
> > > >> -----BEGIN PGP SIGNED MESSAGE-----
> > > >> Hash: SHA1
> > > >>
> > > >> Dam, nai-nakraia niakoi da zadade i tozi vypros...
> > > >>
> > > >> Pyrvo, az sym puskal keyserer, no beshe otdavna (1998). Veche
> > > >> neshtata sa se primenili i softuera sigurno e nov, no predpolagam,
> > > >> che principite sa syshtite. Ako vsashnost niakoi se navie az shte
> > > >> pusna i priyutia takyv server...
> > > >>
> > > >> Znachi, kakva e celta na keyserverite izobshto. Celta e te da bydat
> > > >> v roliata na hranilishte za publichni kliuchove. Za celta te mozhe da
> > > >> se obediniavat v mrezhi ili da sa otdelni i avtonomni (split mode).
> > > >> Po princip obache celta e da sa publichni za da mozhe niakoi (koito i
> > > >> da e toi) da nameri publichnia kliuch na niakogo za da izprati kym
> > > >> nego kodiran fail ili elektronna poshta ili da proveri
> > > >> avtentichnostta na izvyrshen veche elektronen podpis.
> > > >>
> > > >> Udobstvoto na key-serverite e, che mogat da bydat izpolzvani za
> > > >> third party introducer, t.e. da ne se nalaga vseki pyt pri
> > > >> udostoveriavane ili pri zhelanie za osyshtestviavane na kodirana
> > > >> komunikacia da se nalaga da se prashta publichnia kliuch chrez
> > > >> e-mail, naprimer i taka cyptosystemata s publichen kliyuch da byde
> > > >> podatliva na "Proxy-attack" ("Man in The Middle).
> > > >>
> > > >> Predi da se napravi key-server e nuzhno da se utochni dali tova
> > > >> shte e chast ot goliama mrezha s key-serveri ili shte e
> > > >> samostoiatelen server (poslednoto pochti ne se pravi veche).
> > > >>
> > > >> Za da mozhe edin publichen kliuch, postaven varhu keyserver da
> > > >> byde vyzprieman na seriozno i da mozhe da mu se viarva, toi traibva
> > > >> da e podpisan ot drugi sobstvenici na publichni kliyuchove ili ot
> > > >> organizacii, koito se zanimavat s tova. Elektronnite podpisi se
> > > >> prikrepiat kym publichnia kliuch i se postaviat varhu key-servera.
> > > >> Ako niakoi drug iska da podpishe tozi kliuch toi prosto izprashta
> > > >> elektronnia podpis kym keyservera i toi se prikrepva kym publicnia
> > > >> kliuch.
> > > >>
> > > >> V Bulgaria tova e tema tabu, makar i che se prie zakona za
> > > >> elektronnia podpis. Biah na Bait Expo, koeto zavyrshi predi sedmica,
> > > >> posetih shtanda na firma "Informacionno obsluzhvane" i se sblyskah
> > > >> s neznanieto, koeto cari po vyprosa izobshto. Az prosto iskah te da
> > > >> mi podpishat moia, proizveden s PGP, publichen kliuch, da
> > > >> udostoveriat, che moia kliuch e veren, i taka poluchenia chrez tiah
> > > >> elektronen podpis na kliucha da se prati po key-serverite na koito az
> > > >> veche sym postavil publichnia si kliuch.... Okaza se, che v BG
> > > >> elektronni sertificati se izdavat ot operatori (zvuchi mi kato
> > > >> operatori na mini-samosvali) na programi, koito ne znaiat nishto! Na
> > > >> tiah nishto ne im govoriat termini kato RSA, Diffie-Helmann, DSA,
> > > >> nishto!!!!!! Bil postroen BUNKER (napravo pripadnah) kydeto se pazi
> > > >> baza ot danni sys sertifikatite... Tia hora deto gi praviat tezi
> > > >> neshta... sigurno stradat ot psihicheski otklonenia...
> > > >>
> > > >> Drugo neshto, nikoi tuk ne ti kazva s kakyv algoritym se proizvezhda
> > > >> tvoia sertifikat, nikoi ne ti garantira, che v nego niama additional
> > > >> decryption key, koito mozhe da se polzva ot niakoi drug za prochitane
> > > >> na kodiranata informacia... i t.n.. i .t.n reki, vodopadi ot
> > > >> gluposti, prostotii, seliania i nechoveshko nerazbirane....
> > > >>
> > > >> Ako niakoi ima zhelanie shte napravim edin project za napravata na
> > > >> neshto kato broshura po vyprosa.. da se obiasni na horata kakvo e
> > > >> tova elektronen podpis i da sa naiasno s vyrposa koi i za kakvo im
> > > >> vzima parite! A za key-server... ima dosta mezhdunarodni.. primer e
> > > >> http://www.keyservers.net . Tuk mozhem da napravim edin no da e
> > > >> samo za celite na Bylgarsko Linux Obshtestvo ili za trenazhor...
> > > >>
> > > >> Ako iskate mozhe i da se napravi seminar po vypros... iska se samo
> > > >> zhelaeshti da ima
> > > >>
> > > >> Pozdravi
> > > >> Vesselin Kolev
> > > >>
> > > >> On Wednesday 30 Oct 2002 21:38, Petko Boukov wrote:
> > > >> > Puskal li e nqkoj keyserver? Izobshto kakvi syveti mozhete da mi
> > > >> > dadete za eksperimenti s elektronen podpis? Dokolkoto sym vidql,
> > > >> > klientskata chast se izcherpva s gpg, no ako chovek iska da si
> > > >> > poigrae i otkym server-a?
> > > >> >
> > > >> > Drug vypros. Mrezhata ot svobodni serveri (keyring) ima li prestizh
> > > >> > vyv finansoviq i upravlenskiq svqt, v smisyl, polzva li se ot
> > > >> > golqma firma ili organizaciq?
> > > >> >
> > > >> > Petko
> > > >>
> > > >> -----BEGIN PGP SIGNATURE-----
> > > >> Version: GnuPG v1.0.7 (GNU/Linux)
> > > >>
> > > >> iD8DBQE9wQ+M+48lZPXaa+MRAmBxAKCaMGN9mHkHuxQ049EBUsz6e94OwgCgwHP9
> > > >> Eleyksr/52VXT+WvZdzfmEE=
> > > >> =YYLX
> > > >> -----END PGP SIGNATURE-----
> > > >
> > > >--
> > > >_______________________________________________
> > > >Get your free email from http://www.graffiti.net
> > > >
> > > >Powered by Outblaze
> > > >=======================================================================
> > > >===== A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
> > > > http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara
> > > > Zagora To unsubscribe:
> > > > http://www.linux-bulgaria.org/public/mail_list.html
> > > > ======================================================================
> > > >======
> > >
> > > -----------------------------------------------------------------
> > > http://Kinomania.GBG.bg - Ú÷êì ïÿè! Àúóáèì ö÷ Èóëìê÷ëóç 2002
> > > =========================================================================
> > >=== A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
> > > http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara
> > > Zagora To unsubscribe:
> > > http://www.linux-bulgaria.org/public/mail_list.html
> > > =========================================================================
> > >===
> >
> > ===========================================================================
> >= A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
> > http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara
> > Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
> > ===========================================================================
> >=
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.0.7 (GNU/Linux)
>
> iD8DBQE9wXfs+48lZPXaa+MRAoSpAJ9azPn9Mfxef2ee+ddbFVOfPjbnrgCglx3z
> dmKEI7bIbXGo6prJeWu8IXY=
> =MHOV
> -----END PGP SIGNATURE-----
>
> ============================================================================
> A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
> http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
> To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
> ============================================================================
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|