Привет, Проблема в человеке посередине, которая актуальна для всех систем шифрования с открытым ключом. Рассмотрим на простом примере GPG/PGP. У вас есть открытый ключ, который вы передаете, размещая на сервере или другими способами. Люди, используя этот ключ, могут шифровать данные и передавать их вам.
Но возникает два вопроса. 1) Кто удостоверит отправителя, что это ваш открытый ключ и только вы сможете расшифровать это сообщение? 2) Кто вас удостоверит, что отправитель письма именно тот кто его зашифровал? Во втором случае помогает цифровая подпись, которая делается ключами отправителя и может быть проверена соответствующим открытым ключом. Тут и возникает порочный круг, который нужно разорвать. Вы не можете быть уверены, что открытый ключ, который подтверждает подлинность подписи, принадлежит конкретному человеку. Я могу сейчас разместить на сервере открытых ключей ключ для какого-то почтового ящика и начать рассылать письма с подписями, но это значит, что я владелец этого почтового ящика. Возникает необходимость проверки "степени доверия" открытому ключу. И тут нам помогает электронная подпись. Ключ - набор данных, которые можно подписать цифровой подписью, используя другой ключ, и прикрепить к подписанному ключу. Если каждый пользователь выставит степень доверия тому или иному человеку, то можно с какой-то уверенностью сказать, что ключи подписанные этими людьми принадлежат правильным людям. Используя этот алгоритм, можно избавится от проверки каждого открытого ключа и создать круг доверия. По этому название PGP - pretty good privacy - вполне себе сносная приватность. Сертификаты построены на похожем алгоритме, но там есть одна выпускающая (подписывающая) сторона, которая зорко следит за своей парой ключей для подписей и за много чем еще. Вот собственно и все. Далее пока не читал, ногами не бить. 2009/9/30 Гнатына Александр <[email protected]>: > Для этого ему понадобится ключ, которого в идеале нет на сервере, и который > сложно достать и кем подписан этот ключ значения уже не имеет. > > On 30 сентября 2009 10:39:49 Alexander Lourier wrote: >> В письме Wednesday 30 September 2009 10:32:34 Dmitry E. Oboukhov написал: >> > AL> Если тебе надо безопасно работать со своими сайтами, то ради бога, >> > делай свой УЦ, ставь сертификат себе в браузер и AL> защищай свои >> > админки, сколько угодно. Все будет совершенно безопасно и в браузере >> > будет зеленый замочек нарисован. >> > >> > Все это хорошо, но задача изначально стоит не подлинность >> > устанавливать, а просто шифровать трафик. >> >> Не бывает задачи "просто шифровать". Это всегда зачем-то делается. Нет >> никакого смысла шифровать, если все равно злой провайдер (любой из >> транзитных узлов) сможет подсмотреть твоё трафик. >> > -- > Moscow.pm mailing list > [email protected] | http://moscow.pm.org > -- Best regards, Ruslan. -- Moscow.pm mailing list [email protected] | http://moscow.pm.org
