Re: lug-bg: PKI

[Dimitar Vasilev <dimitar.vassilev@xxxxxxxxx>]

Привет отново!
Накратко задачата ми се състои в проверка на възможностите за
криптиране на пощи и дискове под комерсиален и отворен код.
Проверих БИА и Банксервиз - подържат RSA и дават софтуер тяхна
разработка за генериране на ключове и криптиране. Информационно ще ги
питам тази седмица.
Ще може ли да ме насочете към документи за генериране на собствени
сертификати на смарт карти?  Видях процедурите на
http://georgi.unixsol.org/texts/stampit-howto.txt,
чета http://www.opensc.org/files/doc/opensc.html и ровя в
http://www.google.com/search?q=generating+x.509%2B+smart+cards&sourceid=firefox&start=0&start=0&ie=utf-8&oe=utf-8.

Абстрактно си представям процедурата за генериране на саморъчни x.509
подписи така:
1. монтираме смарт картата като файлова система
2. Генериране на сертификата върху картата.
3. Хакаме четеца и се кефим

Благодаря предварително! Напитките са от мене. 
На 22.10 и 24.10 може да се видим в рамките на OpenFest, ако разбера
овреме какво става с *BSD частта.
С уважение,
Димитър Василев

On Tue, 21 Sep 2004 13:38:19 +0300, Vesselin Kolev
<vlk@xxxxxxxxxxxxxxxxx> wrote:
> Dimitar Vasilev wrote:
> 
> >Благодаря много за отговора!
> >Идеята е , че част от моите не-*NIX потребители искат да си криптират
> >пощата и данните на диска.
> >За тази цел има PGP/GnuPG, Outguess, GnuPG+frontends, Iron Key и разни
> >други стеганографски и крипто програмки. Предполагам, че дисковото
> >криптиране може да бъде подпомогнато и от закупения сертификат. Поне
> >за *BSD и Linux знам доста хубави решения на тема OpenSSL+дисково
> >криптиране.
> >С уважение,
> >Димитър Василев
> >
> >
> Надявам се няма да бъде отегчително или дразнещо малко да продължа
> темата, защото тя е наистина интересна. Само искам малко да допълня
> това, което каза Ники и леко да разширя обхвата на дискусията (стига
> това да не е в противоречие).
> 
> Ако твоите потребители искат да криптират файлови системи чрез OpenPGP
> сертификати, няма да им е нужно да влизат в контакт с който и да е
> удостоверител, а само да удостоверят останалите, които ще имат достъп до
> файловата система. Лично аз предпочитам този вариант, а не този, който
> би работил по модела X.509. Честно казано никак не ме радва процедурата,
> при която аз давам достъп до криптираната си файлова система на лице,
> чиито X.509 сертификат е издаден от някой удостоверител, когото аз не
> познавам и на когото аз нямам доверие. Виж, ако имате фирмена или
> организационна CA, няма проблеми да се вярва на X.509 сертификата,
> издаден от нея, стига той да се използва за вътрешно
> фирмени|организационни цели.
> 
> Всъщност в един сертификатен модел винаги е важно до къде се вярва, т.е.
> каква е дълбочината на доверие. Не знам дали повечето са забелязали, но
> поне у нас се получава един абсурд. Законово нещата са така уредени, че
> електронният подпис, който извършвате с вашия сертификат има силата на
> саморъчен и самият сертификат по силата на закона е равносилен на
> документ за самоличност. И изведнъж се оказва, че вашият документ за
> самоличност го вади ... частна фирма (примерно "Информационно
> обслужване"). Една частна фирма има за цел да печели и да се развива и в
> това няма нищо лошо, но няма никаква гаранция, че по някое време
> финансовата изгода няма да надделее и в йерархията на модела да влязат
> мними или дублирани сертификати. Тази фирма утре може да каже: вижте,
> така и така издаваме сертификати, дайте да почнем да издаваме и
> паспорти, а след месец и пари да понапечатим. Далеч по-правилният подход
> е ти да получаваш сертификат от паспортната служба при издаване на
> някакъв вид документ за самоличност. Паспортната служба няма интерес да
> вмъква в системата фалшиви сертификати, защото именно тя е на сметка да
> знае кой кой е. Освен това на паспортната служба й е работа да знае кой
> кой е и тя събира информация за това, която никак не е добре да става
> собственост на търговски субект.
> 
> От друга страна всеки удостоверител може да ти наложи алгоритъм, по
> който е издаден и ще се ползва твоята двойка ключове, която е основата
> на сертификата. Ако удостоверителя иска ти да можеш само да подписваш с
> този сертификат (но не и да криптираш), ще ти налага използването на
> криптоалгоритъма DSA. Повечето правителства и служби са на сметка това
> да е така, защото такъв сертификат удостоверява дадена информация, но не
> я скрива (криптира). Идеалният случай би бил доставчика на
> удостоверителни услуги да ти разреши използването на RSA и ти да
> подписваш и/или криптираш по твое усмотрение. Използването на DSA с нищо
> не допринася за криптиране на файлови системи.
> 
>    Поздрави
>      Весо
> 
> 
> 
> 
> ============================================================================
> A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
> http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
> To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
> ============================================================================
>
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================