Re: lug-bg: SSL - SHTO E TO
- Subject: Re: lug-bg: SSL - SHTO E TO
- From: danchev@xxxxxxxxx (George Danchev)
- Date: Sun, 10 Nov 2002 21:37:35 +0200
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Prekratiavam diskusiata na tema SSL. Ako niakoi iska po-dobre
> i vnimatelno da obiasni kakvo e SSL, shto za protocol e tova i
> kakvi sa razlichiata mazhdu negovite versii.. molia, neka go
> napravi. No taka, che da mozhe vseki da razbere tova, a ne da
> se idva, da se pishat reki ot termini (koito predi tova ne sa
> obiasneni) i da se kazva... "ako ne ti stava iasno znachi si typ".
Az mislq 4e diskusiqta e interesna ...
Tova ne e flame, a izqsnqvame na nestata, samo 4e ne e losho da se misli predi
da se pishe nesto.
Tova 4e nqkoj brystolevi fafli stoto neznae kak da sravni SSL s PGP, stoto
prikazva bez da poznava PGP (kato zamisyl i izobsto), i bez da znae 4e vsi4ko
ostanalo mozhe da se razglezhda kato negovo podmnozhestvo, ne trqbva da te
obezvodnqva ;-). Tova 4e ne pravi razlika mezhdu applications i libraries i
kak mogat da bydat prilagani systo ne trqbva da ti povishava levkocitite v
kryvta. Vqrno kogato se sipqt fafli otvisoko izglezhda mnogo lame...
Mislq, 4e do sega na b2b transactora stana qsno slednoto:
* izpolzvani algoritmi i software-ta za key-gen, crypt & sign.
* PGP generova keys in securest way possible, pri4inite gi znaeme, super
otvoren, iztestvan i dokazan.
Commercial analog s closed source please kojto da go bie v tova otnoshenie ?
(interesno toj s kakvo si generova keys, s SSL li ? Za sega ne kazva, qvno e
bank secret, koeto namirisva na security thru obscurity, mnogo bad, po-to4no
untrusted). PGP cryptira i podpisva. Kato samostoqtelna programa mozhe da
byde vikan napravo ot drugi programi koito se nuzhdaqt ot tova i kydeto tova
e udobno da se pravi (kato Mail Clients naprimer). Aaam, kak se podpisvat
zoni pri DNS systo e interesno i malko hora go znaqt ... az naprimer ne go
znam.
PGP e modulqren, i mozhe da se razshirqva kak se setish, mozhe da si napishesh
i prepare-coffee-module.
*SSL/OpenSSL/GnuTLS[1] sa biblioteki (v tqh mozhe da ima support i za vidove
Public Key Infrastructure, kato X.509 naprimer) koito mogat da se polzvat ot
prilozheniqta (e te trqbva da sa napisani s takava ideq de). Nesto pove4e,
analogi4no vmesto da se razshirqvat prilozheniqta s SSL support, vyobste
mozhem da wrap-nem s daemon ot user-space celiq TCP stack koito e v
kernel-space (naprimer, sslwrap daemon/inetd/on request) -- t.e. vsi4ki ili
po4ti vsi4ki services minavasti po TCP (HTTP, POP3, IMAP...). Ideqta i
algoritmite sa kato pri PGP, samo 4e za razlika ot programata PGP, tova sa
biblioteki, s izklu4enie na SSL wrapper-a SSLWrap -- koito e samostoqtelno
prilozhenie vikano on user request ili kle4asto na backgrounda samostoqtelno
ili vikano ot inetd.
(Tazi tema mi e interesna i nepoznata, bih izslushal Valentin Tzankov
naprimer, stoto kakto toj kazva informaciqta bila neto4na i bezpolezna, no
samo da ne se hvaneme v zloupotrebi s "big words" ili s tvyrdeniq za
realizacii koito 4upqt matemati4eskite ili fizi4eskite zakoni, bez zna4enie v
softuera na kolko Big Company sa realizirani).
E, ostava da se izqsni problemnata tema za generovane na keys -- izbor na
software s kojto da se pravi tova -- eventualno vyzmozhnosti za --export,
--import na keys generovani s drug podoben software.
koj ste gi maintain-va tezi keys i kyde.
izbor na Udostoveritel, sertificates.
Tuka da ne se mesha techni4eski generovaneto na keys, prilozhenieto PGP/GnuPG
i libraries SSL/TLS/GnuTLS sys Udostoveritelq i certificate-a ! Tzankov PGP i
SSL/TLS/GnuTLS rabotqt v edna posoka, t.e. za edna cel, e ne edno srestu
drugo, kakto si mislish ti i se opitvash da replace ednoto s drugoto i
obratno..... Kato se pozamisli 4ovek vsi4ko si ima prilozhenie.....
Samo nerazbrah kak si generovash keys ... qsno 4e ne e s PGP/GnuPG, ama s
kakvo togava ?
[1] GNU TLS library
gnutls is a portable library which implements the Transport Layer Security
(TLS) 1.0 and Secure Sockets Layer (SSL) 3.0 protocols.
Currently gnutls implements:
- the TLS 1.0 and SSL 3.0 protocols, without any US-export
controlled algorithms
- X509 Public Key Infrastructure (with several limitations).
- SRP for TLS authentication.
- TLS Extension mechanism
> Ima edna stara maxima... Ako niakoi dobre razbira tova, za koeto
> shte govori, to toi mozhe da go obiasni tolkova podrobno i
> elementarno, che pochti vseki da go razbere. Kogato ne razbira
> neshto, izvazhda kup poniatia, obyrkva gi dobre kato svareni
> spageti i gi puska na slushatelite, koito se chudiat kakvo e tova.
>
> Ubedil sym se ot opit, che iasnotata na izkazvane i lekotata na
> podnasiane na informaciata, ne se trupat sys stazh i ne sa prikacheni
> kym titli, profesii i t.n... Tova e vypros na uvazhenie kym chitatelite
ami razbira se ... e i professor. Andy Tanenbaum edno vreme e prikazval s
mnogo golqm zamah i respekt nekvi fafli pred nqkakvi studenti v net-a deto
kodirali po monolythic linux kernel, stoto neharesvali negoviq dump designed
micro minix s netolkova svoboden license (dokumentirano na 100 mesta v
net-a), no sega si e v pensiq 4oveka i vsi4ko e OK ;-). E sigurno e bilo fun
da go razcykvat na kys pas v mrezhovoto prostranstvo ... stoto go zasluzhava
govorejki i predri4ajki "avtoritetno" kakvi li ne nibivalici .....
--
Greets, fr33zb1
[catching up with Sid (the boy next door who destroyed toys :-)]
[reg your bg translation or grab one from http://www.bgit.net/?id=37892]
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|