-
Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!news.onet.pl!.POSTED!not-for
-mail
From: Grzegorz Wądzik. <g...@u...com>
Newsgroups: pl.comp.programming
Subject: Re: Podpis elektroniczny dla ubogich
Followup-To: pl.comp.programming
Date: Mon, 29 Aug 2011 20:33:57 +0200
Organization: http://onet.pl
Lines: 85
Message-ID: <5760557.COlBvevha4@2011>
References: <j329hh$elu$1@news.onet.pl> <j383ol$k4h$1@node2.news.atman.pl>
<2215696.4vKV3e30Mf@2011> <j3929d$kv0$1@node2.news.atman.pl>
<8289435.OOdH9bePhc@2011> <j3ank6$ad4$1@node2.news.atman.pl>
NNTP-Posting-Host: afdd193.neoplus.adsl.tpnet.pl
Mime-Version: 1.0
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8Bit
X-Trace: news.onet.pl 1314642313 603 95.49.81.193 (29 Aug 2011 18:25:13 GMT)
X-Complaints-To: n...@o...pl
NNTP-Posting-Date: Mon, 29 Aug 2011 18:25:13 +0000 (UTC)
User-Agent: KNode/0.99.01
Xref: news-archive.icm.edu.pl pl.comp.programming:192068
[ ukryj nagłówki ]Edek wrote:
> [nie po kolei...]
> > Ty wez przeczytaj o czym inni pisza dobrze?
> >
>
> Point. Nie próbuję być ekspertem, którym nie jestem, może być, że
> nie wszystko od razu rozumiem.
>
> Przy czym, staram się trzymać tematu "dla ubogich", co może naiwnie
> rozumiem jako "bez sprzętowego sekretu" i bez jednorazowych haseł
> na zdrapce czy czymś podobnym.
> Sprzętowy sekret psuje zabawę o tyle, że z nim jest o niebo łatwiej.
> Zdrapka czy inne jednorazowe hasła też.
A teraz ja nie rozumiem. Dlaczego kartka papieru miala by byc jakims
strasznie trudnym, drogim (niepotrzebne skreslic) rozwiazaniem?
Teraz ja napisze co rozumiem pod tym co okresliles podpis dla ubogich.
Prosto by szef byl zadowolony, ale by poziom zaszyfrowania i integralnosci
danych (np. archiwizacji, przesyłu, dostepu dla roznych osob nie majacych
prawa wiedziec co ktos decyduje wie) był lepszy niz serwer + php
Tak tez napisalem ze swojej strony.
>>>>> Utrata klucza prywatnego powoduje, że trzeba zmienić klucz
>>>>> publiczny też.
>>>>
>>>> Kazdy system ma revoke.
>>>
>>> Utrata != poznanie przez osobę niepowołaną. [...]
>>> Czasami myli się revoke kluczy SSL z revoke kluczy podpisu. To
>>> drugie wpada w tą samą kategorię, co perfect forward secrecy.
>>
>> Jsli utraciles kontrole nad kluczem to znaczy ze jest publicznie znany.
>>
>
> Nie jestem ekspertem, ale chyba jednak nie.
>
> Ok: na USB (typu pendrive z plikami) jest klucz owinięty
> hasłem usera owinięty jednorazowym kluczem serwera podpisującego
> (wszystko symetrycznym).
ja proponowalem yubico ew. samorobke. troszke cos innego.
> Samo zgubienie USB nie powoduje poznania klucza: bez hasła
> jest totalnie bezużyteczny. Natomiast powoduje jego utratę.
> Nie da się też łamać hasła bez znajomości klucza serwera.
No przyznam ze niestety nie. Moje rozwiazanie zazwyczaj uzywa prostego
hasla+ klucz wiec niestety kradziez klucza oznacza 90% szans na złamanie
systemu. W koncu jak ktos ma klucz to haslo ma pewnie 8 znakowe.
> Czyli: można czytając A podpisać B, albo zamiast NIE AKCEPTUJE
> podpisać AKCEPTUJE.
>
> Ale też:
> jak ktoś skopiuje USB i ma hasło i podpisze C, to serwer nie podpisze
> kolejnego dokumentu D przy użyciu USB. Ktoś musiałby podmienić na
> oryginalnym USB ciasteczko na to "po podpisaniu C". Przy kontroli
> nad jednym komputerem (czytaj: OS) jest to banalne, przy kilku OS,
> np jednym Thin Client, sprawa szybko się rypnie.
> Serwer może od usera wymagać, żeby raz na kiedyś z czystego systemu
> przejrzał listę dokumentów. Wymaga chwili, żeby przejrzeć możliwości
> "podrzucenia" podpisanego dokumentu.
yubico da sie przeprogramowac, samorobka oczywiscie tez.
> Czego nie zauważyłem?
>
> Jedyne, co widzę, to to, że nawet czytający podpisany dokument
> może czytać coś innego niż było podpisane. Pytanie jest o
> niezbędny poziom paranoi. Trzymam się wersji "dla ubogich".
no jak widac poziom paranoi i ubogosci rozwiazania nie sa terminami jasnymi
dla obu stron, a pewnie co dopiero dla pytajacego.
> [1] A tak naprawdę nie klucza, tylko ciasteczka. Klucz jest bezpieczny
> w środku.
Ale klucz mozna wyjac, chyba ze masz dostep do szyfrowanych prockow.
Po za tym sa systemy troszke bardziej skomplikowane niz zwykle PPP. Masz tam
np. poprzedni wynik albo stan maszyny i lecisz strumieniowo. Do logowania
akurat wazne. Bo nie da sie zalogowac jesli zgubisz i wygenerujesz sobie
drugi klucz. Albo jesli zalogujesz sie z lokalizacji niemozliwej do
wykonania.
Następne wpisy z tego wątku
- 29.08.11 18:34 Grzegorz Wądzik.
- 29.08.11 18:37 Grzegorz Wądzik.
- 30.08.11 08:38 Jacek Czerwinski
- 30.08.11 09:06 nightwatch77
- 30.08.11 10:16 saint fir kenobi
- 30.08.11 10:41 b...@n...pl
Najnowsze wątki z tej grupy
- Grok zaczął nadużywać wulgaryzmów i wprost obrażać niektóre znane osoby
- Can you activate BMW 48V 10Ah Li-Ion battery, connecting to CAN-USB laptop interface ?
- We Wrocławiu ruszyła Odra 5, pierwszy w Polsce komputer kwantowy z nadprzewodzącymi kubitami
- Ada-Europe - AEiC 2025 early registration deadline imminent
- John Carmack twierdzi, że gdyby gry były optymalizowane, to wystarczyły by stare kompy
- Ada-Europe Int.Conf. Reliable Software Technologies, AEiC 2025
- Linuks od wer. 6.15 przestanie wspierać procesory 486 i będzie wymagać min. Pentium
- ,,Polski przemysł jest w stanie agonalnym" - podkreślił dobitnie, wskazując na brak zamówień.
- Rewolucja w debugowaniu!!! SI analizuje zrzuty pamięci systemu M$ Windows!!!
- Brednie w wiki - hasło Dehomag
- Perfidne ataki krakerów z KRLD na skrypciarzy JS i Pajton
- Instytut IDEAS może zacząć działać: "Ma to być unikalny w europejskiej skali ośrodek badań nad sztuczną inteligencją."
- Instytut IDEAS może zacząć działać: "Ma to być unikalny w europejskiej skali ośrodek badań nad sztuczną inteligencją."
- Instytut IDEAS może zacząć działać: "Ma to być unikalny w europejskiej skali ośrodek badań nad sztuczną inteligencją."
- U nas propagują modę na SI, a w Chinach naukowcy SI po kolei umierają w wieku 40-50lat
Najnowsze wątki
- 2025-07-23 Gdańsk => Programista Delphi <=
- 2025-07-23 Gdańsk => Programista Mainframe (z/OS, Assembler) <=
- 2025-07-23 Warszawa => Starszy inżynier DevOps (AWS) <=
- 2025-07-23 Gdańsk => Mainframe (z/OS, Assembler) Developer <=
- 2025-07-23 Kraków => Senior Fullstack Engineer (Low-Code Platform) <=
- 2025-07-23 Wrocław => Senior Key Account Manager IT <=
- 2025-07-23 Trójmiasto => Head of Social Media <=
- 2025-07-23 Rzeszów => Spedytor Międzynarodowy <=
- 2025-07-23 Lublin => ERP Implementation Consultant (AP Module) <=
- 2025-07-23 Środa Wielkopolska => SAP FI/CO Internal Consultant <=
- 2025-07-23 Warszawa => Inżynier oprogramowania .Net <=
- 2025-07-23 Kraków => Kotlin Developer <=
- 2025-07-23 Żerniki => Dyspozytor Międzynarodowy <=
- 2025-07-23 Warszawa => Java Developer <=
- 2025-07-23 Wrocław => Konsultant wdrożeniowy (systemy controlingowe) <=