?

Log in

Тьфу ты чорт - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Тьфу ты чорт [Sep. 19th, 2011|11:31 am]
ArkanoiD
[Tags|, ]

http://www.pki-forum.ru/

а я и не знал, а то поехал бы с докладом ради трололо.

Правда, времени нет нихрена, но ради такого стоило бы найти!

впрочем и в списке рассылки pkix как-то тихо. Бурление говн судя по всему, происходит довольно локально и в основном вокруг ssl observatory.

Кажется, всем немного насрать, что это жывотное если еще не дохнет, то уже очень плохо пахнет от последствий генетических дефектов.

Но я надеюсь, что плоской модели доверия таки придет полный пиздец в ближайшую пару лет.
linkReply

Comments:
[User Picture]From: kaa
2011-09-19 08:12 am (UTC)
Для представителей российских организаций – 28 900 руб.
Для представителей иностранных организаций – 34 500 руб.

Ну что за блядство.
(Reply) (Thread)
[User Picture]From: _slw
2011-09-19 08:41 am (UTC)
НДС
(Reply) (Parent) (Thread)
[User Picture]From: 1master
2011-09-19 08:17 am (UTC)
Только не плоской, а иерархической (ну хотя бы формально) :)
(Reply) (Thread)
[User Picture]From: arkanoid
2011-09-19 09:47 am (UTC)
Она именно плоская, в этом и проблема. Будь она по-настоящему иерархической, а не олигархической, жить было бы немного проще.
(Reply) (Parent) (Thread)
[User Picture]From: trueblacker
2011-09-19 08:38 am (UTC)
ага, а так же системе гос администрации, построенной на иерархическом принципе

PKI всегда будет иметь свою нишу пока есть централизованные инфраструктуры, а они есть и будут пока человечество не дорастёт до анархии
(Reply) (Thread)
[User Picture]From: arkanoid
2011-09-19 09:48 am (UTC)
Оно плохо соответствует даже этой цели. И там есть сущности "too big to fail", типа Verisign.
(Reply) (Parent) (Thread)
[User Picture]From: trueblacker
2011-09-19 09:54 am (UTC)
У всех медалей есть по две стороны. Впрочем, Verisign и прочих любителей торговать воздухом, я защищать не собираюсь. Просто PKI это не только Verisign и ей подобные, это прежде всего технология.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2011-09-19 09:57 am (UTC)
Выдавали целку замуж
Мудаки-родители,
В это целку влезет церковь
И попы-грабители!

Несостоятельность ключевых компонентов, таких как CRLs и OCSP уже показана наглядно. И технология совершенно негодная, потому что делалась под бизнес-задачи торговцев воздухом, а не под нужды потребителя.
(Reply) (Parent) (Thread)
[User Picture]From: trueblacker
2011-09-19 10:00 am (UTC)
1. в чём несостоятельность OCSP ?
2. Смотря как понимать нужды потребителя. Потребитель это прежде всего тот, кому надо "чтобы работало". Осваивать хитросплетения "управления доверием" вы среднего потребителя не заставите.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2011-09-19 10:05 am (UTC)
1. Много мелкого технического мудизма. Два главных момента: a) сертификаты проверяются по serial, а не по хэшу, что при компрометации CA глубоко бессмысленно b) в большинстве случаев это просто способ не качать клиенту длинный CRL, то есть статус "unknown" там ничего не значит (а должен!)

2. Ага, вот в Иране мы посмотрели, как оно работает. А еще посмотрим, как оно будет работать, если Versign обяжут выдавать фальшивые сертификаты решением суда. Verisign это вам не какой аллах-акбар-телеком, это 60% всего рынка плюс DNS, это лавка, которой де факто принадлежит доверие в интернете!

Edited at 2011-09-19 10:06 am (UTC)
(Reply) (Parent) (Thread)
[User Picture]From: toxa
2011-09-19 10:09 am (UTC)
с OCSP что не так?
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2011-09-19 10:18 am (UTC)
Я же написал. Оно не выполняет своей функции -- не может обеспечить проверку, что именно с этим сертификатом все в порядке.
(Reply) (Parent) (Thread)
[User Picture]From: toxa
2011-09-19 11:20 am (UTC)
когда СА скомпрометирован, то ничто не может обеспечить проверку
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2011-09-19 11:23 am (UTC)
См. здесь же рядом в комментариях.
http://arkanoid.livejournal.com/348121.html?thread=12767193#t12767193

Edited at 2011-09-19 11:24 am (UTC)
(Reply) (Parent) (Thread)
[User Picture]From: trueblacker
2011-09-19 10:16 am (UTC)
1. Да, соглашусь, на мой взгляд отсутствие идентификации сертификата по хэшу странно. Но что касается случая компрометации CA, то в этом случае нет смысла доверять и OCSP respons'у, это случай практически форс-мажорный.
Что касается сравнения с CRL то это опять же, верно, но разве в этом есть проблема ? OCSP не проверяет действительность сертификата, это не DVCS, OCSP отвечает только на вопрос "отзывался или нет", необходимость шага с проверкой того, что такой сертификат вообще существует и заверен в доверенном CA он не отменяет.

2. Увы, решения, предлагающие сделать всё за клиента, чтобы ему, ленивому, не пришлось ни о чём задумываться и обрастать специальными знаниями из непрофильной области, изначально ущербны. Но природу человеческую не переделать и поиск компромисса здесь мне видится вечной задачей.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2011-09-19 10:20 am (UTC)
Ну вот классический случай: компрометация БОЛЬШОГО CA, а не какого-нибудь лоха вроде Дигинотара. Украсть приватный ключ, засунутый в HSM, не так-то просто. Понаподписывать им нечутенной херни -- как нефиг делать.

Типичный случай того, что делают большие консорциумы -- не для реальной жизни, а для страны светлых ельфов.

Edited at 2011-09-19 10:20 am (UTC)
(Reply) (Parent) (Thread)
[User Picture]From: trueblacker
2011-09-19 10:24 am (UTC)
паспорта тоже подделывают. И наличные деньги. Но это не повод от них отказаться.
Да, уязвимости есть. Да, риски нужно осознавать и не считать слово "криптография" заклинанием, которое "сделает всё секурным". Если их невозможно устранить их достаточно правильно оценивать и технология будет в состоянии приносить пользу.
(Reply) (Parent) (Thread)
[User Picture]From: toxa
2011-09-19 11:34 am (UTC)
А есть ли международная регуляция для СА? Что-то наподобие PCI DSS для платежных процессингов.

Тогда теоретически лохи должны отвалиться как просравшие комплаенс.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2011-09-19 11:39 am (UTC)
Есть какая-то (todo: посмотреть, кто именно этим занимается и в какой форме), но полно нюансов. Комплаенс не гарантирует защищенности в общем случае. У Diginotar HSM был, например. И они как раз вроде как по комплаенсу ничего не просирали.

(разница между Diginotar и Комодом каким-нибудь в данном случае не в наличии у второго HSM, а в том, что Дигинотар облили говном и выкинули на мороз, а Комоду все с гуся вода -- TBTF)

Edited at 2011-09-19 11:49 am (UTC)
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2011-09-19 03:27 pm (UTC)
http://www.cabforum.org/index.html ну вот как-то так, кажется, вот эти ребята.
(Reply) (Parent) (Thread)
[User Picture]From: toxa
2011-09-19 03:47 pm (UTC)
какая-то мутная необязательная хуета
(Reply) (Parent) (Thread)
[User Picture]From: thesonofliberty
2011-09-19 09:35 am (UTC)
А что ты думаешь, кстати, вот про это?

http://gse-compliance.blogspot.com/2011/09/ipv6the-end-of-security-as-we-know-it.html

I will address this in more depth tomorrow, but the thing to think about is that IPv6 has mandatory support for IPv6 and a cryptographically based host identification and authorisation scheme.

This makes SSL, TLS and other protocol redundant.
(Reply) (Thread)
[User Picture]From: arkanoid
2011-09-19 01:25 pm (UTC)
opportunistic ipsec как-то не сильно изменил общий ландшафт, например.
(Reply) (Parent) (Thread)
[User Picture]From: dmarck
2011-09-19 09:48 am (UTC)
Э-э? Плоской? Не иерархической -- в смысле "строго-древовидной"?
(Reply) (Thread)
[User Picture]From: arkanoid
2011-09-19 09:53 am (UTC)
Это не древовидность, это ее профанация. Если бы структура дерева энфорсилась (что сейчас лихорадочно и пытаются изобразить, потому что от тотального коллапса там один шаг, но пока полшага не сделал дигинотар, в эту очевидность все отказывались верить), оно бы еще жило как-то. А так это плоско-олигархическая система.
(Reply) (Parent) (Thread)
[User Picture]From: dmarck
2011-09-19 09:55 am (UTC)
В такой формулировке -- соглашусь.

WoT extension over X.509 так никто и не сделал, редиски :(
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2011-09-19 09:59 am (UTC)
Хотя бы DANE. Это тоже сомнительно, но..
(Reply) (Parent) (Thread)
[User Picture]From: cdplayer
2011-09-19 10:42 am (UTC)
А что пан скажет про convergence?
(Reply) (Thread)
[User Picture]From: arkanoid
2011-09-19 11:42 am (UTC)
Ну попытки-то подобные и до него были.. Пока кто-нибудь из толстых браузерописателей не включит по дефолту, толку мало..
(Reply) (Parent) (Thread)
[User Picture]From: amdei
2011-11-29 04:15 am (UTC)
convergence - это шо?
(Reply) (Parent) (Thread)
[User Picture]From: cdplayer
2011-11-29 04:31 am (UTC)
Плагин для фирефоксу. Пардон, но линка не дам - лень искать.
(Reply) (Parent) (Thread)