Re: lug-bg: SSL - SHTO E TO

Sun, 10 Nov 2002 14:54:49 -0800 

        Hello,

On Sat, 9 Nov 2002, Valentin Tzankov wrote:

> Vesselin,
> Prijatna bira no
> PGP bilo alternativa  SSL znachi !
> tova e malko ne realno zasto li?
> ami zastoto
> 1. SSL e razraboten za da pozvoljva secure communications m/u mrejovi
> clienti i serveri

        SSL e razraboten kato transport koito polzva daden chipher za da
prenasia "messages"/pakets/byte streams, kakto iskash go narechi -
prenasia danni kato se griji da sa criptirat, kato ima handshake kudeto se
utochniava kak tochno shte stava tova mejdu dvete tochki ot vryzkata.

> 2. PGP e orientirano okolo "messages", kato  kriptirane i trasmissia sa
> dve otdelni stypki

        PGP e algoritym, kakvito sa RSA,DES,IDEA,RC4,RC5,Blowfish ...
S vseki edin ot tezi mojesh da si prashtash kriptirani messages, stiga
da si se razbral s poluchatelia kak shte gi chete. Dali poluchatelia
e e-mail client ili e TCP client/server niama znachenie.
T.e. da se sravniavat SSL i PGP e kato da se sryvniavat iabalki i
portokali. Ednoto e protokol , drugoto alogiritym.
Kydeto protokola obshto vzeto ima za zadacha da opredeli
chipher(algoritum) sled koeto da go polzva.
V chiphers koito podyrja SSL niama PGP nai-veroiatno zaradi licensi.
No ako si kupish licens (gubi mi se kakvo tochno stana s licensa na PGP,
AFAIK avtora go beshe prodal na niakoi, ne pomnia podrobnosti), mojesh
da si go slojish v SSL libs i da si go polzvash kato chipher, s malko
extensions v handshake moje bi.

> 3. dokato SSL e napraveno za communicatzia kydeto kriptirane i
> transmisia se sluchvat simultanno.

        Ne se sluchvat simultanno! Sluchvat se edno sled drugo tochno
kakto pri prashtaneto na mail. Sluchvat se simultanno za tozi koito 
polzva ssl libs i don't care kakvo tochno praviat te - application
programmers koito "chukat" po klaviaturata bez da misliat mnogo, a na
securityto se nabliaga  dosta i riska da napraviat prostotiia e po goliam,
za tova sa napraveni libs da ne burkat kudeto ne triabva, ako grumne
gui-to mainata mu, shte slezem i vlezem no ako stane neshto s transakciata
mamichko ...

> 4. SSL e vgraden v osnovnite browseri IE, AOL, Netscape, Mozilla
> 5. PGP ne se podyrja, a vseki pyt kojto polzvash HTTPS polzvash kato po
> dolen sloi SSL i dori ne useshtash kak stava
> 6. SSL izpolzva PKC i moje da authentira vsjaka strana ot komunikatzijata
> 7. SSL e confidentzialna zastoto se bazira na session key i symmetric
> cipher,
> i poradi fenomena one-way function nikoj ne moje da te poslusva dori US
> Goverment

        Tova e validno v edin edinstven sluchai - Kogato dadeno authority
private e izdalo server key i client key i te po _siguren_ nachin sa si gi
prenesli i sa si nastroili neshtata da gi polzvat. Ako ima razmiana na
keys adios, za tezi sluchai search for ssldump (ala tcpdump). 
ref.: http://wp.netscape.com/eng/ssl3/draft302.txt

> 8. PGP systo ne podleji na podslushvane.
> 9. certificat moje da moje da se dobavi v browser dori uspjah da namerja
> team opitvash se da razraboti X.509 za PGP, "da nastroish Appache da
> raboti s PGP key" ???

        Yep. Ot koeto sledva che e vyrmojno da se polzva, i se razrabotva
v momenta.

> Vsichko ste raboti samo v sluchaite, v koito,
> clienta ima veche njakakyv dogovor s institutzijata i tja im e pratila
> tehnia public key sys dogovor che tozi kljuch gi prestavja uridicheski,
> ako go njama tozi dogovor kljucha njama juridicheska stojnost pone taka
> e v US i Germany, no v internet sveta mnogo chesto clienta njama nikakva
> prdvaritelna dogovorenost sys sobstvenika web site naprimer i togava PGP
> njama nikakva juridicheska stojnost, kakyv e smisala ot podpis togava,
> kato njama legal value, ste izvikash moje bi Philip Zimmerman da ti
> svidetelstva???.  

        Kakto i SSL kogato clients niamat keys. A si govoriat
sys server koito ima cert ot verisign i e mnogo secure za tova. hehe
Edin sluchai kogato raboti ima samo - vij po gore.
Ako govorim tech. dali moje ili ne moje e edno, ako se govori da se
reshi konkretnia porblem koito ti imash bilo to koe shte e legal i koe
shte ti svyrshi rabota e drugo. Purvo edva li ima tuk advokat, osobenno
koito da e naiasno s intl. laws po vyprosa , kato se ima predvid ot koga
ima takiva neshta v BG. Vtoro ako shte se dyvche tvoia konkreten problem,
moje da pitash i kude da izpratish check-a za otgovorite vmesto
predlojenia koi kakuv da stanel. Opredeleno ne ti haresaha principnite
otgovori koito poluchi - kak rabotiat neshtata, tova che ne reshavat
problema ti e drugo.

> 
> Tova e koeto vi pitah sa gornite
> 8. tochki nemoga da izpolzvam PGP za SSL
> tazi discussia e svyrshila za men
> 
> Izvoda mi e
> 
> Ot roveneto v Internet moga da kaja che PGP e dobro jivotno, no mu
> trjabva oste zob,
> az si razmenih e-mali sys PM Giovani na OpenCA te se opitvat da napishat
> x509 za PGP, ne na merih drugi, spored men tova e vjarnata posoka za
> PGP, zastoto ako PGP ne vleze v browser-ite ste posledva sydbata na edno
> drugo jivotno na ime CORBA, koeto veche
> umira ot glad vyprki krasotata si.

        Niakoi moje li da me prosvetli kakvo stana s licensa na PGP , za
da se otgovori na vyprosa zashto ne e v browsers? 

> A za kachestvata mi kato programmist, imash pravo na mnenie, predlagam
> ti da stanesh evaluator. M/u drugoto predpolagam che polzvash moj code
> bez dori da znaesh za tova.

        Ne, proverih grep -r "Valentin Tzankov" . ... no nishto.
Google: 
<javablahbla>
Details :  8+ years exp.,last 3 in the US.Primary skills:Java,J2EE,GUI
Development,Swing,SQL,Corba,Sybase. 
</javablahbla> 

ref: http://www.ils.unc.edu/blaze/java/javahist.html
        September 29, 1994
HotJava prototype is first demonstrated to Sun executives.

Sega sme 2002, 8 years exp. s Java (koeto vkliuchva J2EE i Swing, koito 
go ima ot po skoro, niakoga imashe samo AWT). Corba syshto e
sravnitelno novo neshto, sled Java. SQL i Sybase sa po stari neshta za
tiah OK. Tova me podseti za edna obiava v BG vestnik ot firma X prez
98-99g "tursiat se java programisti s 10 godini staj s java" - sega se
okaza che moje i da e imalo takiva :)

        A kolkoto do polzvaneto na code ne se znae ti si znaesh samo,
i e glupavo da se pita NDA-ta, edno drugo.
Ako sluchaino polzvam se nadiavam onova za printera da e bilo napisano na
byrzo na ryka, a ne copy&paste ot real code.

>  Otnostno SSL, tovamoga da napisha tolkova mnogo s harakterni podrobnosti,
> za vseki browser i versii or SSL1,SSL2,SSL3 i TLS , v momneta  vsichki
> firmi obache se nasochvat kym TLS koeto e variant na SSL3, moje da se
> kaje che e razlichno systo SSL3, i napisanoto v tazi grupa ne e napylno
> vjarno i njama koj znae kakva polza, ako njakoj ima obache konkreten
> problem moje da pita.

        Da, konkreten problem:  kak da polzvam PGP kato chipher v SSL :)

I za final:
Chetoh v thread-a se govoreshe za kliucho dyrjateli koito generirat neshto
si alabala, no nikude ne se spomena SecureID ili sym propusnal, ostanah s 
vpechatelnieto che se govoreshe samo za kliuchodyrjateli?
A ako ne sym, vyprosnoto SecureID raboti dolu gore taka:
Ima card/keychain blahblah i password - auth stava v kombinacia i ot dvete
(eventualno samo s card). Card-a generira auth-token vseki 60 sec kato
server-a authentikira tia tokens spored vremeto i ima primerno 3-5 minuti 
interval v koito generirania token e validen, t.e. nomera e che
server-a znae spored vremeto kakvo se generira. I v kombinacia s password
nikak ne e zle.

-- 
have fun,
alex

============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
  • lu... Vesselin Kolev
    • ... Vesselin Kolev
      • ... George Danchev
    • ... Valentin Tzankov
      • ... George Danchev
      • ... George Danchev
      • ... Alexander Atanasov
        • ... Vesselin Kolev
          • ... Огнян Кулев
    • ... Valentin Tzankov
      • ... George Danchev

Reply via email to