Re: lug-bg: SSL - SHTO E TO

[danchev@xxxxxxxxx (George Danchev)]

On 09 11 2002 16:19, Valentin Tzankov wrote:
> Vesselin,

Az ne mislq, 4e Vesselin vyobste ste si napravi truda da otgovori kato gledam 
sledvastoto super lame izre4enie koeto si napisal ;-)
Vyobste v glavata ti e super mess ot ponqtiq/companies/marks/bloat ... nikakva 
qsnota ... 

> Prijatna bira no
> PGP bilo alternativa  SSL znachi !

TOVA NE E VQRNO ! 
Ti proso ne 4etesh kakvo se pishe, a neznam dokolko obmislqsh tova koeto si 
uspql da pro4etesh ... 
To4no obratnoto, beshe napisamo (4eti vnimatelno!):
SSL e variant na PGP izpolzvan za transporten protocol. Tozi
protocol se izpolzva za kodirana komunikacia mezhdu klient i
server (nai-chesno mezhdu browsera na klienta i web-servera,
kym koito klienta se svyrzva).

Gornoto go razbiraj kato ideq/princip/teoriq ... t.e. Zimmermann e predlozhil 
sy4etavaneto na asimetri4ni i symetri4ni algorytmi za komunicaciq 
(predpolagam izvetni sa ti koi sa simetri4ni i koi asimetri4ni algoritmi....) 
Systo taka Zimmerman e realiziral tazi ideq kato e napisal 
prilozhenie/programa/application/{ako stesh .exe file, ako ti e po-lesno za 
razbitane} PGP na osnova na gornoto. Po-kysno (ZABELEZHI PO-KYSNO) Nestcape, 
predlagat protokola SSL i se pishat SSL biblioteki (zabelezhi biblioteki 
koito mogat da se polzvat v prilozheniqta, a ne samostoqtelno prilozhenie 
kato PGP). Systoto vazhi i za OpenSSL .... Kakva e ideqta na SSL -- systoto 
koeto e i pri PGP -- sim. i asim. algoritmi i keys !!!!!!!!!!!!!! Kakvi 
algoritmi se polzvat v SSL --  symetri4ni i asimetri4ni !!!!!!!

Primeri za prilozheniq polzvashti SSL -- browsers, wget, curl, apache+mod_ssl 
ili apache-ssl ..... Mozhe li pgp.com, pgpi.org, gnupg.org kato prilozheniq 
da polzvat SSL biblioteki ostavqm na teb da si pomislish kato za domashno ... 
vse pak si programist. I vyobste koj ti e kazal ili prinudil da ne polzvash 
SSL ? Nesto si se obyrkal tuka ... 

> tova e malko ne realno zasto li?

!?!?!? heh ;-) 

> ami zastoto
> 1. SSL e razraboten za da pozvoljva secure communications m/u mrejovi
> clienti i serveri
> 2. PGP e orientirano okolo "messages", kato  kriptirane i trasmissia sa
> dve otdelni stypki
> 3. dokato SSL e napraveno za communicatzia kydeto kriptirane i
> transmisia se sluchvat simultanno.
> 4. SSL e vgraden v osnovnite browseri IE, AOL, Netscape, Mozilla
> 5. PGP ne se podyrja, a vseki pyt kojto polzvash HTTPS polzvash kato po
> dolen sloi SSL i dori ne useshtash kak stava
> 6. SSL izpolzva PKC i moje da authentira vsjaka strana ot komunikatzijata
> 7. SSL e confidentzialna zastoto se bazira na session key i symmetric
> cipher,
> i poradi fenomena one-way function nikoj ne moje da te poslusva dori US
> Goverment
> 8. PGP systo ne podleji na podslushvane.
> 9. certificat moje da moje da se dobavi v browser dori uspjah da namerja
> team opitvash se da razraboti X.509 za PGP, "da nastroish Appache da
> raboti s PGP key" ???
> Vsichko ste raboti samo v sluchaite, v koito,
> clienta ima veche njakakyv dogovor s institutzijata i tja im e pratila
> tehnia public key sys dogovor che tozi kljuch gi prestavja uridicheski,
> ako go njama tozi dogovor kljucha njama juridicheska stojnost pone taka
> e v US i Germany, no v internet sveta mnogo chesto clienta njama nikakva
> prdvaritelna dogovorenost sys sobstvenika web site naprimer i togava PGP
> njama nikakva juridicheska stojnost, kakyv e smisala ot podpis togava,
> kato njama legal value, ste izvikash moje bi Philip Zimmerman da ti
> svidetelstva???.

OK ..... oh maj ste trqbva da se predam ;-)

> Tova e koeto vi pitah sa gornite
> 8. tochki nemoga da izpolzvam PGP za SSL
> tazi discussia e svyrshila za men

Koj te e prunudil da pravish tova ? PGP i SSL kato implementaciq sa razli4ni 
-- ednoto e application, drugoto e library za applications... Kato ideq sa 
ednakvi -- sim. i asim .keys -> communication ..... Samo 4e edna malka 
podbobnost -- tova deto idva s browsers kato certificates i tolkova mnogo te 
vpe4atlqva sa public keys na "trusted introducers" kato VerySign,Thwante,i 
t.n.i t.n. i ti trebe se doverish na tqh 4e te znaqt kak da 
udostoverqt/garantirat/uzakonqt 4e liceto X e naistina liceto X ... t.e ti 
priemash 4e te sa edva li ne dyrzhaven organ ili otoriziran registyr ili 
podobni ;-).....  osven tova ti maj polzvash za generovane na tvojte keys, 
closed software ot goreposo4enite, t.e. polzvash 4erna kytiq i ako e taka to 
tvoqt secret key ne e samo tvoj i dori maj ne e tvoq sobstvenost. Siguren li 
si 4e samo ti si znaesh secret key-q, siguren li si 4e vyrne nqma Additional 
Decryption Key i t.n. (za tova ne sym mnogo siguren, no si mislq 4e i ti si 
taka)

Drugoto e da se polzva otvorena sistema na keyservers, kydeto public keys na 
persons se podpisvat ot drugi persons i kolkoto pove4e e podpisvan daden key 
tolkova veroqtnostta X da e X e po-golqma ... Da ne govorim 4e polzvajki 
PGP/GnuPG ti sam si generovash secret key-q bez nikoj da ima dostyp do nego i 
publikuvash samo public key-q v mrezhata ... Tova po-secure i 
po-odostoveritelno i po -globalno ... 

Nikoj ne te spira da polzvash tvojte lubimi trusted introdusers, tvoq si 
rabota ... 

> Izvoda mi e
>
> Ot roveneto v Internet moga da kaja che PGP e dobro jivotno, no mu
> trjabva oste zob,

kakvo razbirash pod zob (tuka edva li ia agro specialisti) ?
kato zdravina na koda i matemati4ski algoritmi i nivo na iztesvanost koj mozhe 
da go bie ? 

> az si razmenih e-mali sys PM Giovani na OpenCA te se opitvat da napishat
> x509 za PGP, ne na merih drugi, spored men tova e vjarnata posoka za
> PGP, zastoto ako PGP ne vleze v browser-ite ste posledva sydbata na edno
> drugo jivotno na ime CORBA, koeto veche
> umira ot glad vyprki krasotata si.

Stiga s tezi browsers, tova deto go gledash kato trusted introdusers v tqh e 
samo promociq/reklama i t.n. na zatvoreni sistemi kato VerySign i t.n. -- 
tehnite source key formati sa nesyvmestimi pomezhdu si, t.e. non-exportable i 
exportable, taka li e ?

Tuka PGP (pripomni si 4e SSL vzema ideqta za sim. i asim. key comminucation ot 
PGP) nema Absolutno nikakva vina ... 

> A za kachestvata mi kato programmist, imash pravo na mnenie, predlagam
> ti da stanesh evaluator. M/u drugoto predpolagam che polzvash moj code
> bez dori da znaesh za tova.

Daj primeri za tvoj code/patches/i t.n. ..... iskam da go razgledam ot 
lubopitstvo... (ako imam vreme razbira se)... Are sega da vidim kak ste mi 
dokazhesh 4e e tvoj -- t.e. 4rez VerySign li  ili ? Are te vidq sega ?

>  Otnostno SSL, tovamoga da napisha tolkova mnogo s harakterni podrobnosti,
> za vseki browser i versii or SSL1,SSL2,SSL3 i TLS , v momneta  vsichki
> firmi obache se nasochvat kym TLS koeto e variant na SSL3, moje da se
> kaje che e razlichno systo SSL3, i napisanoto v tazi grupa ne e napylno
> vjarno i njama koj znae kakva polza, ako njakoj ima obache konkreten
> problem moje da pita.

Ti si se obyrkal nesto ;-) . Ti obvyrzvash SSL s VerySign (vzeli sa ti uma s 
onezi smart nestica za kbd-to li beshe tam za kakvo ....., za tva e taka, 
navqrno ;-) i drugite "trusted" commercial introducers ...
Zasto sporish, sled kato sam znaesh 4e kolkoto e po signed tolkova e po 
uvostoveritelen, t.e. s natrupvane  ... a ne VerySign da izleze i da kazhe 
negyra ot Tambuktu e samiqt toj, stoto nie taka kazvame/certificirame ... I 
koj e tozi negyr ... ami negyr ...  -> bezkrajna rekursiq ;-) 

P.S. vizh ako pravish reklama na VirySign ili friends e drug vypros ... togava 
maj govorim za razli4ni nesta ... 

P.S.S. q please ako ne e tajna kazhi s kakvo si generovash keys v tvojte b2b 
transactions ? I kude e vinata na PGP ako tozi key ne mozha da byde importnat 
tam ... 

P.S.S. priznavam pove4eto ot nestata sym gi osyznal ot diskusii s V. Kolev ... 
ama qvno nesto sme se zabludili maj ... ;-)


-- 
Greets, fr33zb1 
[catching up with Sid (the boy next door who destroyed toys :-)]
[reg your bg translation or grab one from http://www.bgit.net/?id=37892]

============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================