Re: lug-bg: SSL - SHTO E TO
- Subject: Re: lug-bg: SSL - SHTO E TO
- From: alex@xxxxxx (Alexander Atanasov)
- Date: Mon, 11 Nov 2002 00:37:14 +0200 (EET)
Hello,
On Sat, 9 Nov 2002, Valentin Tzankov wrote:
> Vesselin,
> Prijatna bira no
> PGP bilo alternativa SSL znachi !
> tova e malko ne realno zasto li?
> ami zastoto
> 1. SSL e razraboten za da pozvoljva secure communications m/u mrejovi
> clienti i serveri
SSL e razraboten kato transport koito polzva daden chipher za da
prenasia "messages"/pakets/byte streams, kakto iskash go narechi -
prenasia danni kato se griji da sa criptirat, kato ima handshake kudeto se
utochniava kak tochno shte stava tova mejdu dvete tochki ot vryzkata.
> 2. PGP e orientirano okolo "messages", kato kriptirane i trasmissia sa
> dve otdelni stypki
PGP e algoritym, kakvito sa RSA,DES,IDEA,RC4,RC5,Blowfish ...
S vseki edin ot tezi mojesh da si prashtash kriptirani messages, stiga
da si se razbral s poluchatelia kak shte gi chete. Dali poluchatelia
e e-mail client ili e TCP client/server niama znachenie.
T.e. da se sravniavat SSL i PGP e kato da se sryvniavat iabalki i
portokali. Ednoto e protokol , drugoto alogiritym.
Kydeto protokola obshto vzeto ima za zadacha da opredeli
chipher(algoritum) sled koeto da go polzva.
V chiphers koito podyrja SSL niama PGP nai-veroiatno zaradi licensi.
No ako si kupish licens (gubi mi se kakvo tochno stana s licensa na PGP,
AFAIK avtora go beshe prodal na niakoi, ne pomnia podrobnosti), mojesh
da si go slojish v SSL libs i da si go polzvash kato chipher, s malko
extensions v handshake moje bi.
> 3. dokato SSL e napraveno za communicatzia kydeto kriptirane i
> transmisia se sluchvat simultanno.
Ne se sluchvat simultanno! Sluchvat se edno sled drugo tochno
kakto pri prashtaneto na mail. Sluchvat se simultanno za tozi koito
polzva ssl libs i don't care kakvo tochno praviat te - application
programmers koito "chukat" po klaviaturata bez da misliat mnogo, a na
securityto se nabliaga dosta i riska da napraviat prostotiia e po goliam,
za tova sa napraveni libs da ne burkat kudeto ne triabva, ako grumne
gui-to mainata mu, shte slezem i vlezem no ako stane neshto s transakciata
mamichko ...
> 4. SSL e vgraden v osnovnite browseri IE, AOL, Netscape, Mozilla
> 5. PGP ne se podyrja, a vseki pyt kojto polzvash HTTPS polzvash kato po
> dolen sloi SSL i dori ne useshtash kak stava
> 6. SSL izpolzva PKC i moje da authentira vsjaka strana ot komunikatzijata
> 7. SSL e confidentzialna zastoto se bazira na session key i symmetric
> cipher,
> i poradi fenomena one-way function nikoj ne moje da te poslusva dori US
> Goverment
Tova e validno v edin edinstven sluchai - Kogato dadeno authority
private e izdalo server key i client key i te po _siguren_ nachin sa si gi
prenesli i sa si nastroili neshtata da gi polzvat. Ako ima razmiana na
keys adios, za tezi sluchai search for ssldump (ala tcpdump).
ref.: http://wp.netscape.com/eng/ssl3/draft302.txt
> 8. PGP systo ne podleji na podslushvane.
> 9. certificat moje da moje da se dobavi v browser dori uspjah da namerja
> team opitvash se da razraboti X.509 za PGP, "da nastroish Appache da
> raboti s PGP key" ???
Yep. Ot koeto sledva che e vyrmojno da se polzva, i se razrabotva
v momenta.
> Vsichko ste raboti samo v sluchaite, v koito,
> clienta ima veche njakakyv dogovor s institutzijata i tja im e pratila
> tehnia public key sys dogovor che tozi kljuch gi prestavja uridicheski,
> ako go njama tozi dogovor kljucha njama juridicheska stojnost pone taka
> e v US i Germany, no v internet sveta mnogo chesto clienta njama nikakva
> prdvaritelna dogovorenost sys sobstvenika web site naprimer i togava PGP
> njama nikakva juridicheska stojnost, kakyv e smisala ot podpis togava,
> kato njama legal value, ste izvikash moje bi Philip Zimmerman da ti
> svidetelstva???.
Kakto i SSL kogato clients niamat keys. A si govoriat
sys server koito ima cert ot verisign i e mnogo secure za tova. hehe
Edin sluchai kogato raboti ima samo - vij po gore.
Ako govorim tech. dali moje ili ne moje e edno, ako se govori da se
reshi konkretnia porblem koito ti imash bilo to koe shte e legal i koe
shte ti svyrshi rabota e drugo. Purvo edva li ima tuk advokat, osobenno
koito da e naiasno s intl. laws po vyprosa , kato se ima predvid ot koga
ima takiva neshta v BG. Vtoro ako shte se dyvche tvoia konkreten problem,
moje da pitash i kude da izpratish check-a za otgovorite vmesto
predlojenia koi kakuv da stanel. Opredeleno ne ti haresaha principnite
otgovori koito poluchi - kak rabotiat neshtata, tova che ne reshavat
problema ti e drugo.
>
> Tova e koeto vi pitah sa gornite
> 8. tochki nemoga da izpolzvam PGP za SSL
> tazi discussia e svyrshila za men
>
> Izvoda mi e
>
> Ot roveneto v Internet moga da kaja che PGP e dobro jivotno, no mu
> trjabva oste zob,
> az si razmenih e-mali sys PM Giovani na OpenCA te se opitvat da napishat
> x509 za PGP, ne na merih drugi, spored men tova e vjarnata posoka za
> PGP, zastoto ako PGP ne vleze v browser-ite ste posledva sydbata na edno
> drugo jivotno na ime CORBA, koeto veche
> umira ot glad vyprki krasotata si.
Niakoi moje li da me prosvetli kakvo stana s licensa na PGP , za
da se otgovori na vyprosa zashto ne e v browsers?
> A za kachestvata mi kato programmist, imash pravo na mnenie, predlagam
> ti da stanesh evaluator. M/u drugoto predpolagam che polzvash moj code
> bez dori da znaesh za tova.
Ne, proverih grep -r "Valentin Tzankov" . ... no nishto.
Google:
<javablahbla>
Details : 8+ years exp.,last 3 in the US.Primary skills:Java,J2EE,GUI
Development,Swing,SQL,Corba,Sybase.
</javablahbla>
ref: http://www.ils.unc.edu/blaze/java/javahist.html
September 29, 1994
HotJava prototype is first demonstrated to Sun executives.
Sega sme 2002, 8 years exp. s Java (koeto vkliuchva J2EE i Swing, koito
go ima ot po skoro, niakoga imashe samo AWT). Corba syshto e
sravnitelno novo neshto, sled Java. SQL i Sybase sa po stari neshta za
tiah OK. Tova me podseti za edna obiava v BG vestnik ot firma X prez
98-99g "tursiat se java programisti s 10 godini staj s java" - sega se
okaza che moje i da e imalo takiva :)
A kolkoto do polzvaneto na code ne se znae ti si znaesh samo,
i e glupavo da se pita NDA-ta, edno drugo.
Ako sluchaino polzvam se nadiavam onova za printera da e bilo napisano na
byrzo na ryka, a ne copy&paste ot real code.
> Otnostno SSL, tovamoga da napisha tolkova mnogo s harakterni podrobnosti,
> za vseki browser i versii or SSL1,SSL2,SSL3 i TLS , v momneta vsichki
> firmi obache se nasochvat kym TLS koeto e variant na SSL3, moje da se
> kaje che e razlichno systo SSL3, i napisanoto v tazi grupa ne e napylno
> vjarno i njama koj znae kakva polza, ako njakoj ima obache konkreten
> problem moje da pita.
Da, konkreten problem: kak da polzvam PGP kato chipher v SSL :)
I za final:
Chetoh v thread-a se govoreshe za kliucho dyrjateli koito generirat neshto
si alabala, no nikude ne se spomena SecureID ili sym propusnal, ostanah s
vpechatelnieto che se govoreshe samo za kliuchodyrjateli?
A ako ne sym, vyprosnoto SecureID raboti dolu gore taka:
Ima card/keychain blahblah i password - auth stava v kombinacia i ot dvete
(eventualno samo s card). Card-a generira auth-token vseki 60 sec kato
server-a authentikira tia tokens spored vremeto i ima primerno 3-5 minuti
interval v koito generirania token e validen, t.e. nomera e che
server-a znae spored vremeto kakvo se generira. I v kombinacia s password
nikak ne e zle.
--
have fun,
alex
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|