Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет Misha Verbitsky ([info]tiphareth)
@ 2017-12-02 19:44:00


Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Настроение: sick
Музыка:Dedalus - Dedalus
Entry tags:fascism, internet, ljr, putin

Сертификат истёк 12.11.2014 15:46
Какое-то странное явление
http://lj.rossia.org/community/ljr_bugs/105296.html
выгядит, как подмена сертификата, причем массовая
у нас сертификат let's encrypt, есличо, и он истекает
12/19/17.

Такое вообще бывает? Я думал, подмена сертификата
дело непростое и очень редко применяется.

Здесь тоже жалуются:
http://lj.rossia.org/users/tiphareth/2081841.html?thread=109744177#t109756721
(на то же самое явление). Прошу объяснить, кто знает.
Спасибо

Привет



(Читать комментарии) - (Добавить комментарий)


[info]perfect_kiss
2017-12-03 06:30 (ссылка)
> любая security, основаная на доверии неким центрам, которые ты не контролируешь — snake oil, бессмысленна, и служит только для торговли воздухом. дело твоё, конечно — но ты зря тратишь усилия на попытки что‐то перепроверить в заведомо нерабочей системе.

А как же PGP ???? Там правда не центры, но абстрактные другие люди (в их числе могут быть и "центры" типо той же keybase, могут быть и простые авторитетные черты), которых ты натурально не контролируешь, вписываются за правдивость информации. По твоему, плохая система ?

Кстати Циммерман - основной автор PGP - ещё и основной популяризатор термина "snake oil" применительно к криптографической софте, вот его известное очень эссе.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 06:41 (ссылка)
>По твоему, плохая система ?
а это другая система. и тоже не самая хорошая, да. но намного лучше, потому что там нет «довереных центров выдачи ключей». key servers — вещи исключительно справочные, и нет такой дискриминации между ключами, как между «самоподписаным сертификатом» и «выданым довереным центром сертификатом».

проще говоря: свой приватный ключ ты генерируешь сам, и полностью контролируешь сам. равно как то, какие публичные ключи каких других людей ты считаешь довереными: нет никаких «бандлов» с кучей «довереных ключей». криптографические техники подтверждения того, что обе endpoints имеют одинаковые данные, без прямой передачи этих данных для сверки, давно существуют, и позволяют послать mitm нахуй: eavesdropper не сможет сгенерировать правильное подтверждение.

(Ответить) (Уровень выше) (Ветвь дискуссии)

(Комментарий удалён)

[info]ketmar
2017-12-03 07:09 (ссылка)
>с культурными штуками вроде доверия или недоверия
это не «культурные штуки», а технологические. zero-trust systems — это технология, я не «культура не доверять».

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]perfect_kiss
2017-12-03 07:21 (ссылка)
обсрался в комменте (дислексия усиливается по мере наступления фазы быстрого сна), перепишу:

наличие TLS/SSL у веб-сайта не означает, что трафик до сайта не будет дешифроваться, потому что гебе может на серверах провайдера подменить сертификаты, которые выдаёт в хендшейке сервер, на сертификаты (другие, но, например, с такими же метаданными, как и у оригинальных), которым "доверяют" центры: гебе сотрудничает с центрами, и это факт. поэтому вообще использование TLS/SSL для людей, которыми уже интересуются гэбисты, особой конфиденциальности не добавляет. другое дело, что исторический (до того как под колпак попал) трафик не дешифровать. но это другой разговор. палятся гэбисты на этой штуке редко, но бывает.

с PGP ситуация иная: сертификаты никакие нигде подменяться не могут, потому что доверие идёт к айдентити одного ключа.
"цепочку доверия" можно выстроить такую же проблемную как и в Web, просто доверяя айдентити сертификатов жуликов и воров, тогда появится возможность подмены такая же точно, но тут юзер сам себе злой буратино. а в случае с Web сертификатами, в роли буратино мы все.

(Ответить) (Уровень выше)


(Читать комментарии) -