Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

GPG sistem je šupalj ko sito

[es] :: Security :: Kriptografija i enkripcija :: GPG sistem je šupalj ko sito

Strane: 1 2

[ Pregleda: 5631 | Odgovora: 22 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
212.200.65.*



+2789 Profil

icon GPG sistem je šupalj ko sito23.06.2010. u 01:01 - pre 167 meseci
Skinuo sam GPG4win, generisao ključ unevši svoje ime i e-adresu i poslao ga na server. Ninajedan način nije provereno da li je to moj meil slanjem poruke za aktivaciju i slično. Ništa nisam dobio na meil. Dovoljno je bilo da stisnem dugme "send". Provere podataka nema ni od korova.

Zamislite da sada isto tako generišem ključ pod imenom Pere Perića i sa njegovom e-adresom i pošaljem ga na server i krenem time da potpisujem fajlove lažno se predstavljajući kao Pera Perić. Primaoci će da verifikuju potpisane fajlove, u potpisu će se naći ID ključa, program će preuzeti sa servera javni ključ sa tim ID-om, reći će da je sve u redu i ispisaće ime Pere Perića i njegovu e-adresu.
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

mmix
Miljan Mitrović
Profesorkin muz
Passau, Deutschland

SuperModerator
Član broj: 17944
Poruke: 6041



+4631 Profil

icon Re: GPG sistem je šupalj ko sito23.06.2010. u 07:57 - pre 167 meseci
GPG (kao i PGP) nikad nije ni imao identity verification. Na tebi je da uspostaavis trust kroz druge metode (ja te zovem telefonom i sa tobom proverim ID/thumbprint i slicno).

Btw, posto je gpg4win baziran na GnuPG, mozda mozes da iskoristis "web of trust" mehanizam? http://www.gnupg.org/gph/en/manual.html#AEN346
Sloba je za 12 godina promenio antropološki kod srpskog naroda. On je od jednog naroda koji je bio veseo, pomalo površan, od jednog naroda koji je bio znatiželjan, koji je voleo da vidi, da putuje, da upozna,
od naroda koji je bio kosmopolitski napravio narod koji je namršten, mrzovoljan, sumnjicav, zaplašen, narod koji se stalno nešto žali, kome je stalno neko kriv… - Z.Đinđić
 
Odgovor na temu

EArthquake

Član broj: 20684
Poruke: 884
*.dynamic.sbb.rs.



+67 Profil

icon Re: GPG sistem je šupalj ko sito23.06.2010. u 08:55 - pre 167 meseci
poenta je u tome sto cak ni te pita za aktivaciju putem maila , ja ne mogu da znam da si to stvarno ti

inace, pgp se koristi i za druge stvari , osim maila, pa zato i nema neke preterane potrebe aktivirati ga putem maila

ono sto je bitno je da ja znam da je to tvoj kljuc, a to mogu znati jedino ako mi ga licno potvrdis , zatim ja "potpisem" tvoj kljuc, i sada neko ko zeli da komunicira s tobom , a veruje meni , moze da bude siguran da je to tvoj kljuc

pod pretpostavkom da je ovo tvoj kljuc:

http://pgp.mit.edu:11371/pks/l...&search=0x9D2731675640A8BF

da te poznajem i da si mi dao fingerprint licno, ja bih potpisao tvoj kljuc , poslao to keyserveru gde bi se onda videlo da ja verujem da si to ti

ako pogledas, ni meni niko nije potpisao kljuc (jos nisam uzivo sreo nekoga ko koristi pgp)

pogledaj ovo recimo:
http://pgp.mit.edu:11371/pks/lookup?search=obama&op=index

sta mislis koji je pravi ? :)
naravno da necu verovati nijednom

ali onda pogledaj ovo:
http://pgp.mit.edu:11371/pks/l...&search=0x7091E15F4C92D93D

sad vec mogu da budem poprilicno siguran da je to taj covek
mada ne znam nikoga ko je potpisao njegov kljuc
ovakav web of trust je sigurniji od aktivacije mail-om , a nesto slicno je neophodno u bilo kojoj primeni public key kriptografije

slicno je recimo za ssl , mozes ti da napravis svoj sertifikat, ali je on untrusted ako nije potpisan od strane nekog CA za koji , recimo , firefox zna



a to sto kazes za lazno predstavljanje , to sam se bas skoro iznervirao na facebooku, hteo da promenim ime , i nije hteo da me pusti da budem recimo Long John Silver zbog "privatnosti" ili cega vec, ali sam mogao naravno da upisem bilo koje "normalno" ime
nista me ne sprecava da se lazno predstavljam , cak , to nebi ni bilo lazno predstavljanje u zakonskom smislu (nebi smelo da bude)

ovo je internet dodjavola , privatnost ima cenu, a isto tako i sigurnost

[Ovu poruku je menjao EArthquake dana 23.06.2010. u 10:15 GMT+1]
 
Odgovor na temu

EArthquake

Član broj: 20684
Poruke: 884
*.dynamic.sbb.rs.



+67 Profil

icon Re: GPG sistem je šupalj ko sito23.06.2010. u 09:12 - pre 167 meseci
e da , naravno i xkcd ima nesto na ovu temu:

http://xkcd.com/364/
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
*.dynamic.isp.telekom.rs.



+2789 Profil

icon Re: GPG sistem je šupalj ko sito23.06.2010. u 09:30 - pre 167 meseci
OK, čemu onda digitalni potpis ako ne mogu da te tužim ako si npr. samnom digitalno potpisao ugovor, a ne poštuješ ga?
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

mmix
Miljan Mitrović
Profesorkin muz
Passau, Deutschland

SuperModerator
Član broj: 17944
Poruke: 6041



+4631 Profil

icon Re: GPG sistem je šupalj ko sito23.06.2010. u 09:41 - pre 167 meseci
u, ti vec ode u domen neporicanja. To je jos komplikovanija tematika i sasvim sigurno nije nesto sto GnuPG radi, pravna odgovornost za digitalni potpis zavisi od mogucnotsi da tuzis za taj potpis a da bi mogao da tuzis za taj potpis mora da postoji zakonski okvir o digitalnom potpisu. Kod nas postoji ali je trenutno Postin CA jedini koji moze da ti izda x.509 sertifikat koji je primenjiv na sudu zato sto zakon propisuje minimalni nivo provere identiteta podnosioca zahteva i propisuje tehnicke uslove za cuvanje privatnog kljuca kako na sudu ne bi mogao da tvrdis da je neko drugi potpisao ugovor tvojim kljucem. GnuPG je tu slab igrac, on je uglavnom za tu slabu udentifikaciju i za kriptovanje podataka, neporicanje cak nije ni u planu.
Sloba je za 12 godina promenio antropološki kod srpskog naroda. On je od jednog naroda koji je bio veseo, pomalo površan, od jednog naroda koji je bio znatiželjan, koji je voleo da vidi, da putuje, da upozna,
od naroda koji je bio kosmopolitski napravio narod koji je namršten, mrzovoljan, sumnjicav, zaplašen, narod koji se stalno nešto žali, kome je stalno neko kriv… - Z.Đinđić
 
Odgovor na temu

eksebace
Nenad Nikolić
Senior software developer
Beograd

Član broj: 80836
Poruke: 10
91.143.212.*



Profil

icon Re: GPG sistem je šupalj ko sito23.06.2010. u 09:45 - pre 167 meseci
A sta je sa Privrednom komorom i Policijom i oni su kvalifikovana sertifikaciona tela kod nas?
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
*.dynamic.isp.telekom.rs.



+2789 Profil

icon Re: GPG sistem je šupalj ko sito23.06.2010. u 09:47 - pre 167 meseci
Je li Mark Šatlvort na tome namlatio pare?
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
*.dynamic.isp.telekom.rs.



+2789 Profil

icon Re: GPG sistem je šupalj ko sito23.06.2010. u 09:56 - pre 167 meseci
Citat:
mmix: i propisuje tehnicke uslove za cuvanje privatnog kljuca kako na sudu ne bi mogao da tvrdis da je neko drugi potpisao ugovor tvojim kljucem.


Ovde mi neke stvari nisu jasne.

1. Ako se privatni ključ čuva kod mene, ko će da proverava da li ja sprovodim mere? Ako se generiše ili čuva kod sertifikacionog tela, kako onda oni da dokažu da nisu potisivali umesto mene?
2. Zar nije najbolje da ja generišem ključeve, gde je privatni deo jednostavno zaštićen lozinkom?
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

mmix
Miljan Mitrović
Profesorkin muz
Passau, Deutschland

SuperModerator
Član broj: 17944
Poruke: 6041



+4631 Profil

icon Re: GPG sistem je šupalj ko sito23.06.2010. u 10:03 - pre 167 meseci
Koliko znam PKS je samo za firme, tj ovlascena lica firmi (mada nisam se dugo interesovao mozda daju i fizickim licima), a za policiju nisam znao.

Mada vidim da su sad u spisku na mtid sajtu, al brate, ne bi voleo da imam ovaj cert na licnoj karti, pin ili ne, neko moze zestoko da te zakopa sa ovim. :(
Sloba je za 12 godina promenio antropološki kod srpskog naroda. On je od jednog naroda koji je bio veseo, pomalo površan, od jednog naroda koji je bio znatiželjan, koji je voleo da vidi, da putuje, da upozna,
od naroda koji je bio kosmopolitski napravio narod koji je namršten, mrzovoljan, sumnjicav, zaplašen, narod koji se stalno nešto žali, kome je stalno neko kriv… - Z.Đinđić
 
Odgovor na temu

mmix
Miljan Mitrović
Profesorkin muz
Passau, Deutschland

SuperModerator
Član broj: 17944
Poruke: 6041



+4631 Profil

icon Re: GPG sistem je šupalj ko sito23.06.2010. u 10:06 - pre 167 meseci
Citat:
Nedeljko: Ovde mi neke stvari nisu jasne.

1. Ako se privatni ključ čuva kod mene, ko će da proverava da li ja sprovodim mere? Ako se generiše ili čuva kod sertifikacionog tela, kako onda oni da dokažu da nisu potisivali umesto mene?
2. Zar nije najbolje da ja generišem ključeve, gde je privatni deo jednostavno zaštićen lozinkom?


Oni ti daju smartcard/token koji ima keygen u sebi i potpisani x509. Sigurni su da ne mozes da ne cuvas jer ne mozes da ga eksportujes.
Sloba je za 12 godina promenio antropološki kod srpskog naroda. On je od jednog naroda koji je bio veseo, pomalo površan, od jednog naroda koji je bio znatiželjan, koji je voleo da vidi, da putuje, da upozna,
od naroda koji je bio kosmopolitski napravio narod koji je namršten, mrzovoljan, sumnjicav, zaplašen, narod koji se stalno nešto žali, kome je stalno neko kriv… - Z.Đinđić
 
Odgovor na temu

EArthquake

Član broj: 20684
Poruke: 884
*.dynamic.sbb.rs.



+67 Profil

icon Re: GPG sistem je šupalj ko sito23.06.2010. u 10:07 - pre 167 meseci
e do djavola, odoste u politiku i zakon, a taman sam se nadao interesantnoj raspravi ...

:)

salim se naravno ,mada nemam blage veze sa zakonom i sl

ali idalje stoji ono sto sam pomenuo za ssl , moras da imas CA ,e sad koji je kod nas podrzan od strane zakona ...

a shuttleworth, da, otprilike je na tome zaradio $$$
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
*.dynamic.isp.telekom.rs.



+2789 Profil

icon Re: GPG sistem je šupalj ko sito23.06.2010. u 10:13 - pre 167 meseci
Citat:
mmix: Oni ti daju smartcard/token koji ima keygen u sebi i potpisani x509. Sigurni su da ne mozes da ne cuvas jer ne mozes da ga eksportujes.


Čekaj, oni mi daju nekakvu karticu koja je sposobna da potpisuje, ali koja neće da kaže privatni ključ, ako sam te dobro razumeo. Kartica je sposobna da generiče ključ. Ali, ko garantuje da ja neću da izgubim karticu? Pretpostavljam da je poenta u lozici, ali kako onda oni znaju da ja nikome nisam rekao lozinku?
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

mmix
Miljan Mitrović
Profesorkin muz
Passau, Deutschland

SuperModerator
Član broj: 17944
Poruke: 6041



+4631 Profil

icon Re: GPG sistem je šupalj ko sito23.06.2010. u 10:30 - pre 167 meseci
To je rizik koji su ONI spremni da prihvate ;)

Salim se naravno, pazi velika je razlika izmedju odgovornosti korisnika da sacuva privtni kljuc na disku (sa svim virusima malwareima i slicno) i ocekivanja da korisnik nece fizicki izgubiti token na kome je napisao PIN da ga ne zaboravi. Ne znam kakva je sad situacija za licne karte kad je MUP posato CA ali ako se cert izdaje samo na zahtev onda uz zahtev prihvatas i odgovornost da sacuvas token. POred toga postoji i revocation proces, onog trenutka kad prijavis token kao izgubljen cert se revokuje i sa tim prestaje tvoja odgovornost za potpisane dokumente od tog trentuka nadalje, a lakse ces primetiti da ti nedostaje fizicko token nego sto ces primetitida ti je nko eksportovao private key bez tvog znanja

[Ovu poruku je menjao mmix dana 23.06.2010. u 11:41 GMT+1]
Sloba je za 12 godina promenio antropološki kod srpskog naroda. On je od jednog naroda koji je bio veseo, pomalo površan, od jednog naroda koji je bio znatiželjan, koji je voleo da vidi, da putuje, da upozna,
od naroda koji je bio kosmopolitski napravio narod koji je namršten, mrzovoljan, sumnjicav, zaplašen, narod koji se stalno nešto žali, kome je stalno neko kriv… - Z.Đinđić
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
*.dynamic.isp.telekom.rs.



+2789 Profil

icon Re: GPG sistem je šupalj ko sito23.06.2010. u 10:33 - pre 167 meseci
A šta je x509?
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

mmix
Miljan Mitrović
Profesorkin muz
Passau, Deutschland

SuperModerator
Član broj: 17944
Poruke: 6041



+4631 Profil

icon Re: GPG sistem je šupalj ko sito23.06.2010. u 10:40 - pre 167 meseci
http://en.wikipedia.org/wiki/X.509

PKI standard koji izmedju ostalog definise certove i trust-inheritance kroz potpisane certove (ako verujes CA onda verujes svemu sto je on potpisao). Koristis ga svakodnevno.
Sloba je za 12 godina promenio antropološki kod srpskog naroda. On je od jednog naroda koji je bio veseo, pomalo površan, od jednog naroda koji je bio znatiželjan, koji je voleo da vidi, da putuje, da upozna,
od naroda koji je bio kosmopolitski napravio narod koji je namršten, mrzovoljan, sumnjicav, zaplašen, narod koji se stalno nešto žali, kome je stalno neko kriv… - Z.Đinđić
 
Odgovor na temu

Ivica Vujović
Ivica Vujović
Beograd

Član broj: 44727
Poruke: 127



+5 Profil

icon Re: GPG sistem je šupalj ko sito23.06.2010. u 14:49 - pre 167 meseci
Citat:
mmix: Koliko znam PKS je samo za firme, tj ovlascena lica firmi (mada nisam se dugo interesovao mozda daju i fizickim licima), a za policiju nisam znao.

Mada vidim da su sad u spisku na mtid sajtu, al brate, ne bi voleo da imam ovaj cert na licnoj karti, pin ili ne, neko moze zestoko da te zakopa sa ovim. :(


Trebalo bi ja MUP zaduzen za fizicka lica a PKS za firme (mozda lupam ali mi se cini da sam negde tako procitao). Inace i Posta je tu. Problem je to sto u Posti niko nema pojma o tome ko i kako izdaje te sertifikate, tako da je nemoguce doci do istog, sem ako igrom slucaja ne poznajete nekog ko tamo radi a zna sta radi. Probali i nismo uspeli. PKS je relativno skoro pocela to da radi ali procedura za dobijanje certifikata je toliko komplikovana da ni oni sami ne znaju sta da rade. Tako da je i tu corak. Da ne gresim dusu, probali smo pre 6-7 meseci mozda se nesto promenilo.
 
Odgovor na temu

mmix
Miljan Mitrović
Profesorkin muz
Passau, Deutschland

SuperModerator
Član broj: 17944
Poruke: 6041



+4631 Profil

icon Re: GPG sistem je šupalj ko sito23.06.2010. u 14:58 - pre 167 meseci
Znam, ali ja necu cert na licnoj karti, nikad. Licnu kartu nosim sa sobom i mogu da je izgubim ili da mi je ukradu, instrument za digitalni potpis necu setati naokolo sa sobom. Uostalom nisam siguran da ove smart kartice na licnim kartama imaju crypto cip na sebi, sto povlaci pitanje kako ce biti radjeno potpisivanje? Off card? Neka hvala.
Sloba je za 12 godina promenio antropološki kod srpskog naroda. On je od jednog naroda koji je bio veseo, pomalo površan, od jednog naroda koji je bio znatiželjan, koji je voleo da vidi, da putuje, da upozna,
od naroda koji je bio kosmopolitski napravio narod koji je namršten, mrzovoljan, sumnjicav, zaplašen, narod koji se stalno nešto žali, kome je stalno neko kriv… - Z.Đinđić
 
Odgovor na temu

eksebace
Nenad Nikolić
Senior software developer
Beograd

Član broj: 80836
Poruke: 10
91.143.212.*



Profil

icon Re: GPG sistem je šupalj ko sito24.06.2010. u 12:26 - pre 167 meseci
Ne znam gde ste se raspitivali za Postine sertifikate ali kontakt je precizan (mada ga nisam koristio): http://www.ca.posta.rs/kontakti.htm

Sto se tice mup-ovih sertifikata na licnim kartama, mislim da ne bi trebalo da se sumnja u cip licne karte i da ce se samo potpisivanje izvrsavati na kartici. Ipak kvalifikovano sertifikaciono telo mora da ispuni uslov o primeni sredstava za kreiranje kvalifikovanog elektronskog potpisa (Secure Signature Creation Device).
Doduse u pocetku izdavanja licnih karata sa cipom, nisu bili sertifikaciono telo a nisu ni izdavali sertifikate na karticama vec su imali samo memorisane opste podatke o osobi pa se mozda u startu i nije koristio pki chip.
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
212.200.65.*



+2789 Profil

icon Re: GPG sistem je šupalj ko sito04.07.2010. u 21:27 - pre 167 meseci
A može li mi neko reći da li je privatni ključ na čipu dodatno zaštićen lozinkom, tako da ni gubljenje kartice ne predstavlja opasnost?
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

[es] :: Security :: Kriptografija i enkripcija :: GPG sistem je šupalj ko sito

Strane: 1 2

[ Pregleda: 5631 | Odgovora: 22 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.