instead of (another distro) war

Vasilis Vasaitis vasilis at ctima.uma.es
Fri Sep 28 12:22:01 EEST 2001 

Christos Ricudis wrote:

> 
>   On 28 Sep 01, Nikos Mavroyanopoulos wrote to Christos Ricudis with subject
> "Re: instead of (another distro) war":
> 
>  >> paizetai olo to paixnidi, kai ayto 8elw na pw. Poios mou
>  >> eggyatai dhladh oti esy eisai o mhtsos epeidh to certificate 
>  >> sou leei oti eisai o mhtsos? (oxi oti an exeis ena verisign 
>  >> certificate moy apodeiknyei emena oti eisai o mhtsos, alla 
>  >> telos pantwn). Etsi ki alliws prepei na yparxei kapoios poy empi
>  >> steyesai by default.  


   Ναι, αλλά όχι όπως το εννοείς/καταλαβαίνεις εσύ. Δες παρακάτω.

>  NM> [0]: To web of trust δουλεύει κάπως έτσι:
>  NM>    Mhtsos has a certificate οn a keyserver.
>  NM> Ο George ξέρει τον Mhtsos προσωπικά και του έχει κάνει sign το
>  NM> certificate (στέλνει την υπογραφη στον keyserver)
>  NM> Ο Kostis ξέρει τον George προσωπικά και του έχει κάνει sign το
>  NM> certificate 
>  NM> Ο Sfixter ξέρει τον Kostis προσωπικά και του έχει κάνει sign το
>  NM> certificate
>  NM> Eσύ ξέρεις τον Sfixter και τον εμπιστεύεσαι άρα εμπιστέυεσαι και
>  NM> τον George.
> 
> Nai, alla ena tetoio sxhma mporei na dialy8ei para poly eykola me ligous mono
> malignant users poy kanoyn sign ta panta. 


   Όχι, γιατί απλά τέτοιους χρήστες κανείς δεν θα τους εμπιστεύεται.

> Ap'oti 8ymamai kai to X.509 PKI epitrepei tetoias morfhs chains - arkei na
> katalhgoyn se ena root CA, h diafora poy einai? 

   Κοίτα, είσαι τόσο εθισμένος στα certificates που έχεις μάθει να 
χρησιμοποιείς τόσο καιρό, που το μυαλό σου δεν μπορεί να χωνέψει τίποτα 
άλλο. θα προσπαθήσω να εξηγήσω με απλά λόγια.

   Η σημαντικότερη διαφορά του Web of Trust του OpenPGP σε σχέση με το 
X.509 είναι ότι απλά δεν υπάρχουν root CA. Δεν υπάρχει κανένα είδος 
κεντρικοποιημένης εξουσίας. Όλη η δύναμη βρίσκεται στα χέρια των χρηστών 
(αλλά και όλη η ευθύνη).

   Τώρα, ήδη θα σκέφτεσαι ότι «αυτά είναι σιχαμένα κομμουνιστικά 
πράγματα, και σίγουρα ο RMS θα έχει βάλει το χέρι του, και εγώ δεν θέλω 
να έχω καμία σχέση», αλλά συνέχισε να διαβάζεις. ;-)

   Στο Web of Trust λοιπόν υπάρχουν διάφορες μορφές εμπιστοσύνης. 
Καταρχήν, όλα ξεκινάνε από το ότι οι χρήστες υπογράφουν ο ένας τα 
κλειδιά του άλλου. Αυτό γενικά γίνεται ανταλλάσσοντας με κάποιον ασφαλή 
τρόπο (χέρι με χέρι) τα public keys, ή τουλάχιστον τα fingerprints, αφού 
έχουν βεβαιωθεί για την ταυτότητα του άλλου (π.χ. επειδή τον ξέρουν 
κλπ.). Όταν λοιπόν εγώ έχω το public key του Νίκου, και είμαι σίγουρος 
ότι είναι όντως το δικό του (επειδή π.χ. μου το έδωσε σε δισκέτα σε ένα 
key signing party και το fingerprint στην κάρτα του ταίριαζε), τότε το 
υπογράφω. Αυτό αμέσως συνεπάγεται πλήρη εμπιστοσύνη στο συγκεκριμένο κλειδί.

   Επειδή όμως δεν μπορούμε να περιμένουμε όλοι να υπογράφουν τα κλειδιά 
όλων, υπάρχουν κι άλλες μορφές εμπιστοσύνης, πιο έμμεσες. Στο GPG [0] 
τουλάχιστον, που εγώ χρησιμοποιώ, μπορείς να ορίσεις πλήρη ή μερική 
εμπιστοσύνη σε ένα άτομο. Έτσι, για τον Νίκο π.χ. που ξέρω ότι είναι 
παρανοϊκός με την ασφάλεια, μπορώ να ορίσω πλήρη εμπιστοσύνη· οπότε, 
όποιο κλειδί έχει υπογράψει (και συνεπώς εμπιστεύεται) το εμπιστεύομαι 
αυτόματα κι εγώ. Για το ρικούδι από την άλλη, που δεν ξέρει τα κόλπα 
ακόμα, μπορώ να ορίσω μερική εμπιστοσύνη­· χρειάζονται υπογραφές από 
τρεις τέτοιους σε ένα κλειδί για να το εμπιστεύομαι κι εγώ. Με αυτόν τον 
τρόπο μπορούν να χτιστούν πολύ μεγάλα και αποτελεσματικά δίκτυα 
εμπιστοσύνης μεταξύ διαφόρων χρηστών (το Web of Trust που λέγαμε). Για 
παράδειγμα, το Debian project [2] λειτουργεί με το GPG για την ασφαλή 
επικοινωνία των developers.

   Σε κάθε περίπτωση, η διαφορά στη σχεδίαση οφείλεται στους 
διαφορετικούς αρχικούς σκοπούς: το X.509 (φαντάζομαι) φτιάχτηκε για να 
παρέχει κεντρικοποιημένη ασφάλεια σε επιχειρήσεις, ενώ ο Zimmermann [1] 
έφτιαξε το PGP για την ασφάλεια των ατόμων, που σε πολλές περιπτώσεις 
δεν μπορούν να εμπιστευτούν ούτε τις επιχειρήσεις ούτε τις κυβερνήσεις 
τους. Για κάτι αναρχο-αριστερο-GPLικούς σαν εμένα και τον 
Μαυρογιαννόπουλο, η επιλογή είναι προφανής. Τώρα, για τους υπόλοιπους...


[0] http://www.gnupg.org/
[1] http://web.mit.edu/prz/
[2] Και πάνω που νομίζατε ότι σε αυτό το μήνυμα θα τη γλυτώνατε, ε; :^)

-- 
Vasilis Vasaitis
vasilis at ctima.uma.es

More information about the Linux-greek-users mailing list