Re: lug-bg: PKI

[Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>]

Dimitar Vasilev wrote:

> Благодаря много за отговора!
> Идеята е , че част от моите не-*NIX потребители искат да си криптират
> пощата и данните на диска.
> За тази цел има PGP/GnuPG, Outguess, GnuPG+frontends, Iron Key и разни
> други стеганографски и крипто програмки. Предполагам, че дисковото
> криптиране може да бъде подпомогнато и от закупения сертификат. Поне
> за *BSD и Linux знам доста хубави решения на тема OpenSSL+дисково
> криптиране.
> С уважение,
> Димитър Василев
>  
Надявам се няма да бъде отегчително или дразнещо малко да продължа 
темата, защото тя е наистина интересна. Само искам малко да допълня 
това, което каза Ники и леко да разширя обхвата на дискусията (стига 
това да не е в противоречие).
Ако твоите потребители искат да криптират файлови системи чрез OpenPGP 
сертификати, няма да им е нужно да влизат в контакт с който и да е 
удостоверител, а само да удостоверят останалите, които ще имат достъп до 
файловата система. Лично аз предпочитам този вариант, а не този, който 
би работил по модела X.509. Честно казано никак не ме радва процедурата, 
при която аз давам достъп до криптираната си файлова система на лице, 
чиито X.509 сертификат е издаден от някой удостоверител, когото аз не 
познавам и на когото аз нямам доверие. Виж, ако имате фирмена или 
организационна CA, няма проблеми да се вярва на X.509 сертификата, 
издаден от нея, стига той да се използва за вътрешно 
фирмени|организационни цели.
Всъщност в един сертификатен модел винаги е важно до къде се вярва, т.е. 
каква е дълбочината на доверие. Не знам дали повечето са забелязали, но 
поне у нас се получава един абсурд. Законово нещата са така уредени, че 
електронният подпис, който извършвате с вашия сертификат има силата на 
саморъчен и самият сертификат по силата на закона е равносилен на 
документ за самоличност. И изведнъж се оказва, че вашият документ за 
самоличност го вади ... частна фирма (примерно "Информационно 
обслужване"). Една частна фирма има за цел да печели и да се развива и в 
това няма нищо лошо, но няма никаква гаранция, че по някое време 
финансовата изгода няма да надделее и в йерархията на модела да влязат 
мними или дублирани сертификати. Тази фирма утре може да каже: вижте, 
така и така издаваме сертификати, дайте да почнем да издаваме и 
паспорти, а след месец и пари да понапечатим. Далеч по-правилният подход 
е ти да получаваш сертификат от паспортната служба при издаване на 
някакъв вид документ за самоличност. Паспортната служба няма интерес да 
вмъква в системата фалшиви сертификати, защото именно тя е на сметка да 
знае кой кой е. Освен това на паспортната служба й е работа да знае кой 
кой е и тя събира информация за това, която никак не е добре да става 
собственост на търговски субект.
От друга страна всеки удостоверител може да ти наложи алгоритъм, по 
който е издаден и ще се ползва твоята двойка ключове, която е основата 
на сертификата. Ако удостоверителя иска ти да можеш само да подписваш с 
този сертификат (но не и да криптираш), ще ти налага използването на 
криптоалгоритъма DSA. Повечето правителства и служби са на сметка това 
да е така, защото такъв сертификат удостоверява дадена информация, но не 
я скрива (криптира). Идеалният случай би бил доставчика на 
удостоверителни услуги да ти разреши използването на RSA и ти да 
подписваш и/или криптираш по твое усмотрение. Използването на DSA с нищо 
не допринася за криптиране на файлови системи.
  Поздрави
    Весо




============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================