| Про PKI, "доверие" и решаемость задач. |
[Apr. 18th, 2010|11:02 am] |
Все нормальные люди (коих жалкое меньшинство) уже осознали принципиальную нерешаемость задачи "защиты от копирования".
Нерешаемость возникает из-за простого очевидного и никак не обходимого факта: любая программа живёт в абсолютно artificial среде, и эту среду (при наличии времени и усердия) можно создать ЛЮБУЮ, тоесть абсолютно любую.
Тоесть задача уродов сводится к тому, чтобы как-то "зацепиться" за реальность.
Глупые уроды ищут зацепки внутри вычислителя, и получается очень неэффективно.
Умные уроды решают задачу в лоб самым очевидным путём и принуждают юзера совершать некие действия в настоящем реале (например поехать в офис с паспортом и взять пароль).
Собственно проблема "доверия" открытому ключу тоже возникает на границе раздела сред: реала и инета.
Ваш вычислитель находится в абсолютно artificial среде. И вполне логично преположить (что эта среда может быть абсолютно фэйковой от начала и до конца) (что собственно и делают умные люди). Нам надо как-то "зацепиться за реальность". Самый простой и очевидный способ: лично пойти в реал (например поехать в офис с паспортом и обменяться ключами). И этот способ пидарасы пытаются у нас отжать (не отнять (формально они ничего не отнимают) а ОТЖАТЬ), и они вельми успешны в сём предприятии. Вам вместо зацепки за реальность предложен набор якобы подлинных сертификатов, и вы уже даже не задумываетесь ОТКУДА ВЫ ИХ ВЗЯЛИ. А в 100% случаев вы их взяли из инета -- ИЗ ТОЙ САМОЙ СРЕДЫ (КОТОРОЙ ВЫ ПЫТАЕТЕСЬ ТОТАЛЬНО НЕДОВЕРЯТЬ) -- ну считайте (что вы успешно проверили версию биоса на мамке и все бэдблоки на виртуальном сидюке эмулятор сидюка разставил в точности).
Я вполне понимаю невозможность физического хождения в некий реально авторитетный для меня УЦ (буде он создан), но так для этого же и придуманы цепочки доверия. И последний, пусть десятый в цепочке, пусть хоть сотый сертификат я обязан получить В РЕАЛЕ, я хочу иметь связь с реальностью хотя бы через хорошего знакомого (который мне зла не желает и скорее всего дал мне подлинный сертификат). Если я согласен снизить секурность (доверяя "сертификату из третьих рук") это вовсе неозначает, что я согласен отказаться от секурности вообще и доверять ИНТЕРНЕТУ!!! |
|
|
| Comments: |
Здесь имеются две концептуальных предположения.
1. Не рассмативается вопрос контоля над вычислителем - а именно он задает ключевое отличие DRM и электронной подписи.
2. Не рассматриваются все возможные системы инфраструктуры открых ключей, а рассматривается только VeriSign и иже с ними,
У VeriSign-а действительно надежность примерно такая же как у систем DRM. Тут я согласен. Тут все упирается в то, что вычислитель неподконтролен владельцу.
Но другие системы PKI, например система при которой пользователь явным образом решает каким сертификатам УЦ доверять, а каким нет, или GPG-шная система web of trust - куда более надежны.
Так как их надежность определяется именно тем, что вычислитель подконтролен владельцу.
Кстати, вот ФСБ ни за что не сертифицирует специализированную микросхему для ГОСТ-овских криптографических алгоритмов, сделанную в Китае. Но сертифицирует решение на базе сделанного в Китае универсального процессора, и даже на базе сделанной в Китае ПЛИС.
самое удивительное (что всегда с вами согласен) по "большому счёту" тоесть глобально.
но какой мне смысл поливать грязью скольугодно надёжные "альтернативные" PKI, если они существуют в другой реальности. Я доказываю свой тезис применительно к реальности данной мне в ощущениях. А в ощущениях верисайновские пидарасы огромной армадой уже достигли полной и окончательной победы. О чём собственно и пост. А я могу до посинения теоретизировать, а вы до посинения практиковать альтернативные PKI.
Кстати про ФСБ я тоже с вами согласен, но не пишу (ибо большинству читателей этот абсурд в ощущениях не дан).
> в 100% случаев вы их взяли из инета
Для очень большого числа ендюзеров это не так, потому что они свои списки доверенных сертификатов (вместе с софтом) получают вполне так в реале.
да и при желании заверифицировать ключ того кто подписывает пакеты вашего любимого дистрибутива linux наверное не так сложно.
вы меня потрясаете своими каментами | |
![[info]](http://lj.rossia.org/img/userinfo-lj.gif){kind=small}
![[info]](http://lj.rossia.org/img/userinfo.gif){kind=small}