Re: lug-bg: SSL - SHTO E TO
- Subject: Re: lug-bg: SSL - SHTO E TO
- From: vlk@xxxxxxxxxxxxxxxxx (Vesselin Kolev)
- Date: Mon, 11 Nov 2002 10:15:04 +0200
Shte napisha po-podrobno za vsichko koeto se kazva v tozi posting.
Neshtata vytre sa viarni, samo shte se opitam da go obiasnia taka, che
vseki da gi razbere, zashtoto na lichnata mi poshta doidoha zapitvania
za razlichni termini...
Samo da kazha za t.nar. X.509. Takyv ima v PGP. Proveri v
PGPFreeWare za Windows i tam iasno e pokazano dori kak se importva
i kak se polzva. Dazhe mozhe da se polzva za VPN Utila. Versiata s
comenden red syshto go mozhe (tazi za UNIX).
Pozdravi
Vesselin Kolev
On Monday 11 Nov 2002 00:37, Alexander Atanasov wrote:
> Hello,
>
> On Sat, 9 Nov 2002, Valentin Tzankov wrote:
> > Vesselin,
> > Prijatna bira no
> > PGP bilo alternativa SSL znachi !
> > tova e malko ne realno zasto li?
> > ami zastoto
> > 1. SSL e razraboten za da pozvoljva secure communications m/u mrejovi
> > clienti i serveri
>
> SSL e razraboten kato transport koito polzva daden chipher za da
> prenasia "messages"/pakets/byte streams, kakto iskash go narechi -
> prenasia danni kato se griji da sa criptirat, kato ima handshake kudeto se
> utochniava kak tochno shte stava tova mejdu dvete tochki ot vryzkata.
>
> > 2. PGP e orientirano okolo "messages", kato kriptirane i trasmissia sa
> > dve otdelni stypki
>
> PGP e algoritym, kakvito sa RSA,DES,IDEA,RC4,RC5,Blowfish ...
> S vseki edin ot tezi mojesh da si prashtash kriptirani messages, stiga
> da si se razbral s poluchatelia kak shte gi chete. Dali poluchatelia
> e e-mail client ili e TCP client/server niama znachenie.
> T.e. da se sravniavat SSL i PGP e kato da se sryvniavat iabalki i
> portokali. Ednoto e protokol , drugoto alogiritym.
> Kydeto protokola obshto vzeto ima za zadacha da opredeli
> chipher(algoritum) sled koeto da go polzva.
> V chiphers koito podyrja SSL niama PGP nai-veroiatno zaradi licensi.
> No ako si kupish licens (gubi mi se kakvo tochno stana s licensa na PGP,
> AFAIK avtora go beshe prodal na niakoi, ne pomnia podrobnosti), mojesh
> da si go slojish v SSL libs i da si go polzvash kato chipher, s malko
> extensions v handshake moje bi.
>
> > 3. dokato SSL e napraveno za communicatzia kydeto kriptirane i
> > transmisia se sluchvat simultanno.
>
> Ne se sluchvat simultanno! Sluchvat se edno sled drugo tochno
> kakto pri prashtaneto na mail. Sluchvat se simultanno za tozi koito
> polzva ssl libs i don't care kakvo tochno praviat te - application
> programmers koito "chukat" po klaviaturata bez da misliat mnogo, a na
> securityto se nabliaga dosta i riska da napraviat prostotiia e po goliam,
> za tova sa napraveni libs da ne burkat kudeto ne triabva, ako grumne
> gui-to mainata mu, shte slezem i vlezem no ako stane neshto s transakciata
> mamichko ...
>
> > 4. SSL e vgraden v osnovnite browseri IE, AOL, Netscape, Mozilla
> > 5. PGP ne se podyrja, a vseki pyt kojto polzvash HTTPS polzvash kato po
> > dolen sloi SSL i dori ne useshtash kak stava
> > 6. SSL izpolzva PKC i moje da authentira vsjaka strana ot komunikatzijata
> > 7. SSL e confidentzialna zastoto se bazira na session key i symmetric
> > cipher,
> > i poradi fenomena one-way function nikoj ne moje da te poslusva dori US
> > Goverment
>
> Tova e validno v edin edinstven sluchai - Kogato dadeno authority
> private e izdalo server key i client key i te po _siguren_ nachin sa si gi
> prenesli i sa si nastroili neshtata da gi polzvat. Ako ima razmiana na
> keys adios, za tezi sluchai search for ssldump (ala tcpdump).
> ref.: http://wp.netscape.com/eng/ssl3/draft302.txt
>
> > 8. PGP systo ne podleji na podslushvane.
> > 9. certificat moje da moje da se dobavi v browser dori uspjah da namerja
> > team opitvash se da razraboti X.509 za PGP, "da nastroish Appache da
> > raboti s PGP key" ???
>
> Yep. Ot koeto sledva che e vyrmojno da se polzva, i se razrabotva
> v momenta.
>
> > Vsichko ste raboti samo v sluchaite, v koito,
> > clienta ima veche njakakyv dogovor s institutzijata i tja im e pratila
> > tehnia public key sys dogovor che tozi kljuch gi prestavja uridicheski,
> > ako go njama tozi dogovor kljucha njama juridicheska stojnost pone taka
> > e v US i Germany, no v internet sveta mnogo chesto clienta njama nikakva
> > prdvaritelna dogovorenost sys sobstvenika web site naprimer i togava PGP
> > njama nikakva juridicheska stojnost, kakyv e smisala ot podpis togava,
> > kato njama legal value, ste izvikash moje bi Philip Zimmerman da ti
> > svidetelstva???.
>
> Kakto i SSL kogato clients niamat keys. A si govoriat
> sys server koito ima cert ot verisign i e mnogo secure za tova. hehe
> Edin sluchai kogato raboti ima samo - vij po gore.
> Ako govorim tech. dali moje ili ne moje e edno, ako se govori da se
> reshi konkretnia porblem koito ti imash bilo to koe shte e legal i koe
> shte ti svyrshi rabota e drugo. Purvo edva li ima tuk advokat, osobenno
> koito da e naiasno s intl. laws po vyprosa , kato se ima predvid ot koga
> ima takiva neshta v BG. Vtoro ako shte se dyvche tvoia konkreten problem,
> moje da pitash i kude da izpratish check-a za otgovorite vmesto
> predlojenia koi kakuv da stanel. Opredeleno ne ti haresaha principnite
> otgovori koito poluchi - kak rabotiat neshtata, tova che ne reshavat
> problema ti e drugo.
>
> > Tova e koeto vi pitah sa gornite
> > 8. tochki nemoga da izpolzvam PGP za SSL
> > tazi discussia e svyrshila za men
> >
> > Izvoda mi e
> >
> > Ot roveneto v Internet moga da kaja che PGP e dobro jivotno, no mu
> > trjabva oste zob,
> > az si razmenih e-mali sys PM Giovani na OpenCA te se opitvat da napishat
> > x509 za PGP, ne na merih drugi, spored men tova e vjarnata posoka za
> > PGP, zastoto ako PGP ne vleze v browser-ite ste posledva sydbata na edno
> > drugo jivotno na ime CORBA, koeto veche
> > umira ot glad vyprki krasotata si.
>
> Niakoi moje li da me prosvetli kakvo stana s licensa na PGP , za
> da se otgovori na vyprosa zashto ne e v browsers?
>
> > A za kachestvata mi kato programmist, imash pravo na mnenie, predlagam
> > ti da stanesh evaluator. M/u drugoto predpolagam che polzvash moj code
> > bez dori da znaesh za tova.
>
> Ne, proverih grep -r "Valentin Tzankov" . ... no nishto.
> Google:
> <javablahbla>
> Details : 8+ years exp.,last 3 in the US.Primary skills:Java,J2EE,GUI
> Development,Swing,SQL,Corba,Sybase.
> </javablahbla>
>
> ref: http://www.ils.unc.edu/blaze/java/javahist.html
> September 29, 1994
> HotJava prototype is first demonstrated to Sun executives.
>
> Sega sme 2002, 8 years exp. s Java (koeto vkliuchva J2EE i Swing, koito
> go ima ot po skoro, niakoga imashe samo AWT). Corba syshto e
> sravnitelno novo neshto, sled Java. SQL i Sybase sa po stari neshta za
> tiah OK. Tova me podseti za edna obiava v BG vestnik ot firma X prez
> 98-99g "tursiat se java programisti s 10 godini staj s java" - sega se
> okaza che moje i da e imalo takiva :)
>
> A kolkoto do polzvaneto na code ne se znae ti si znaesh samo,
> i e glupavo da se pita NDA-ta, edno drugo.
> Ako sluchaino polzvam se nadiavam onova za printera da e bilo napisano na
> byrzo na ryka, a ne copy&paste ot real code.
>
> > Otnostno SSL, tovamoga da napisha tolkova mnogo s harakterni
> > podrobnosti, za vseki browser i versii or SSL1,SSL2,SSL3 i TLS , v
> > momneta vsichki firmi obache se nasochvat kym TLS koeto e variant na
> > SSL3, moje da se kaje che e razlichno systo SSL3, i napisanoto v tazi
> > grupa ne e napylno vjarno i njama koj znae kakva polza, ako njakoj ima
> > obache konkreten problem moje da pita.
>
> Da, konkreten problem: kak da polzvam PGP kato chipher v SSL :)
>
> I za final:
> Chetoh v thread-a se govoreshe za kliucho dyrjateli koito generirat neshto
> si alabala, no nikude ne se spomena SecureID ili sym propusnal, ostanah s
> vpechatelnieto che se govoreshe samo za kliuchodyrjateli?
> A ako ne sym, vyprosnoto SecureID raboti dolu gore taka:
> Ima card/keychain blahblah i password - auth stava v kombinacia i ot dvete
> (eventualno samo s card). Card-a generira auth-token vseki 60 sec kato
> server-a authentikira tia tokens spored vremeto i ima primerno 3-5 minuti
> interval v koito generirania token e validen, t.e. nomera e che
> server-a znae spored vremeto kakvo se generira. I v kombinacia s password
> nikak ne e zle.
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|