On Thursday 13 Mar 2003 19:52, Valentin Tzankov wrote:
> Tova ne e moia rabota, i izvinjavajte za comentara,
> no tazi sresta mi napomnja za srestite koito organizirashe
> Veni Markovski prez 93-94 e togava si razmenjahme
> telephoni i parol i user id-ta za da mojem da si connectvami
> computrite, beshe vylnuvasto, da se rovish c chujd computer.
> .
Ha... Tova go priemam za lichna obida!!!
> Zasto njakoj ne setne TPV(Third Party Verification) Web Site,
Tezi neshta ot opit znam, che ne sa ti mnogo iasni. Ima si OpenPGP
key serveri (ako ne znaesh). Sirech ne e nuzhno da se otkriva
toplata voda i sapuna.
> taka vseki ste moje da si registrira certificate online prosto
> za da e "Trusted" ste se izskva da bude verificiran ot njakoj
> kojto e veche takyv, ne e koj znae kakvo usilie da se napravi
> moje bi openLDAP + 5-6 web stranitzi i estestveno certificat server,
> taka ste e mnogo po-professionlno, az sym pisal podoben software,
> no Verificatziata stvashe s call-back, tuk telecom. firmite predlagat
> verificatzia na telephone.
Veridan sa gi napravili tezi raboti free oshte predi godini i
to za OpenPGP PKI, a MIT sa se zanimavali s tezi neshta ot samoto
syzdavane na PGP. Dazhe pyrviat key server e baziran na MTA.
Nie v momenta niamame nuzhda ot nishto drugo osven ot nachalo na
tranzitivnost. Ima i OpenPGP PKI serverski mrezhi i klienti (GNUPG, PGP).
Nikakvi firmi, nikakvi neprovereni software-i. Tezi firmi s telefonite sa
nesigurno zveno s shemata za udostoveriavane i tova mozhe da se
dokazhe kratko i iasno! Pyrvo telefonnata mrezha e nedostoverna ili
dori v neia da ima identifikacia, tia e na nivo telefonen nomer, a ne na
nivo fizichesko lice.
Nikakvi obazhdania po telefona ne sa ni nuzhni. Za da se izgradi
PKI za OpenPGP tuk e nuzhno pyrvo da ima shema na doverie i
da se dade nachalo na shemata, chrez delegiraneto na trusted
introducers. T.e. nuzhno e da se vidim s pone 5-6 choveka
(LICHNO!!!) i da se udostoverim vzaimno. Sled tova da si podpishem
kliuchovete i da dadem nachaloto na tranzitivnata shema, koiato
kazva, che vseki ot tezi trusted introducers mozhe da udostoveriava
drugi, a te ot svoia strana drugi i t.n. Shte ima uspeh, ako sled
verizhnoto razrastvane na napravleniata na udostoveriavaneto
(vsiako napravlenie zapochva ot edin introducer),
ima vryzki mezhdu razkloneniata. Kogato tezi vryzki se poiaviat,
togava shemata shte dostigne omrezhvane po otnoshenie na
udostoveriavaneto. A tova e celta na takiva zanimania. Ako tova
ne stane, samo shte sme porednoto podobie na komersialen CA
v OpenPGP PKI i shte sme sys smeshnata pirmamidalnia struktura
i shte ima ierarhia, a celta e imenno irarhiata da otsystva i vsichki
napravlenia na tranzitivnostta da sa ravnopostaveni.
T.e. predi certifikatite/kliuchovete da se postaviat na key-servera,
e dobre te da se podpishat. Inache shte sa prosto edin postaveni
na servera kliuchove i nishto poveche. Tova za telefona e dosta
smeshno, zashtoto cialata telefonna mrezha mozhe da se vzlomiava
na maitap, a i ne vizhdash tozi, s koito govorish.
=====================================================
Nachakah se da se chuiat mnenia za predlozhenieto mi i da se
poiavi edin pone, koito da se seti kakvo tochno sym imal predvid.
Loshoto e, che ne se poiavi takyv.
Niama nikakyv problem da si nosite i secretnia key na disketata.
Prosto si vzimate disk s Knoppix ili RedHat AdminDisk idvate i si
rabotite v "sobstvenata sreda". Rebootva se PC-to. Postaviate si
VASHIA boot disk, zarezhdate si ot nego LINUX i si rabotite v
sreda, na koiato viarvate. Za da ste syvsem sigurni ne pravite
SWAP-file v/u HDD na computera. Puskate si gnupg i si signvate
spokoino. Dokato si nabirate parolata vsichki se otdrypvat, a ne
vi stoiat na ramoto i da vi gledat v rycete.
No ako tazi ideia ne se vyzprieme.. niama problemi
samo da si razmenim fingerprintite na kliuchovete. Kakto pozhelaete.
Tuk niakoi mi govoreshe za smart karti i za tova, kak secret key ne
bil napuskal kartata:)) Tozi deto go govori tova nasisno li e, che toi
raboti v cherna kutia i ne mozhe da tvyrdi tova sys sigurnost. Nai-
malkoto ne mozhe da tvyrdi tova, dokato ne e vidial cialata shema
na systemata i ne e pregledal source code-a i. Taka, che ne
bydete taka kategorichni. Vse govorite za sigurnost, a propuskate
takiva vazhni detaili... nedeite taka.
=====================================================
Pozdravi
Vesselin Kolev
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
