Certificates (was Re: Fwd: Είχατε δίκιο ....)

Thu May 10 11:14:17 EEST 2007

Θοδωρής Λύτρας wrote:
> Με περισσή αυθάδεια εγώ ο μη ειδικός μπαίνω στη συζήτηση και προσθέτω:
> 
> (1) Όποιος ενδιαφέρεται να κατανοήσει το θέμα ας διαβάσει αυτά:
> http://en.wikipedia.org/wiki/Digital_certificate
> http://en.wikipedia.org/wiki/Public_key_infrastructure
> http://en.wikipedia.org/wiki/Web_of_trust
> 
> (2) Με το SSL (και όλα τα PGP-like) όλα ανάγονται στο ποιόν εμπιστεύεσαι οτι 
> πράγματι είναι αυτός που λέει, και ποιόν όχι. 
> Εγώ για παράδειγμα εμπιστεύομαι 100% όχι την VeriSign αλλά τον φίλο μου τον 
> elkosmas, που μου έχει δώσει το public key του χέρι με χέρι σε φλασάκι και 
> ξέρω σίγουρα οτι είναι δικό του. Έτσι όποιος θέλει να τον εμπιστευτώ εγώ οτι 
> είναι όντως αυτός που δηλώνει, δεν έχει παρά να συναντήσει τον elkosmas 
> face-to-face, να του δώσει το public key του ώστε εκείνος να το υπογράψει, 
> και να το ποστάρει στο internet υπογεγραμμένο. H υπογραφή αυτή είναι το 
> λεγόμενο certificate.
> Τελευταία φορά που έλεγξα ο elkosmas χρέωνε το ποσό των €0 ανά χορηγηθέν 
> certificate. Λινουξάδες σπεύσατε!!!!!!!!!

Με έχεις λίγο μπλέξει(δεν ξέρω εάν είσαι και εσύ μπλεγμένος,γιατί κάτι
τέτοιο φανερώνουν όσα γράφεις)
Το SSL δεν είναι PGP-like. Το μόνο κοινό που έχουν είναι η κρυπτογραφία
και η έννοια της εμπιστοσύνης.

Το SSL είναι πρωτόκολλο επικοινωνίας το οποίο τοποθετείται κάτω από το
Transport Layer που διασφαλίζει κάποια πράγματα και χρησιμοποιεί μία
x509 αρχιτεκτονική για αυτό.

Το OpenPGP είναι επίσης ένα πρωτόκολλο επικοινωνίας που τοποθετείται
όμως στο Application Layer με δυνατότητα να διασφαλίσει τα ίδια πράγματα
αλλά χρησιμοποιώντας ένα PGP web of trust.

Ο elkosmas υποστηρίζει OpenPGP ή x509 αρχιτεκτονική; Ουδεμία σχέση έχει
η μία με την άλλη. Εάν προσφέρει OpenPGP η υπογραφή του είναι παντελώς
άχρηστη για προγράμματα που δεν καταλαβαίνουν OpenPGP, όπως οι
περισσότεροι mailers εάν δεν βάλεις ειδικό plugin, το SSL/TLS layer και
όλες οι εφαρμογές που βασίζονται σε αυτό, όπως HTTPS, IMAPS, POPS και
πάει λέγοντας.

Επίσης εάν εγώ αύριο πάρω την απαιτούμενη υπογραφή από τον elkosmas και
εσύ βασιστείς σε αυτή και μου προσφέρεις κάποιο αγαθό το οποίο εγώ
κακομεταχειριστώ και σου προξενήσω πρόβλημα, ποιος θα σε αποζημιώσει;
Κανείς. Αντίθετα σε μία x509 αρχιτεκτονική που υπάρχει κάποια Verisign
αυτή δεσμεύεται με ρήτρες να αποζημιώσει ανάλογα τα παθόντα μέρη(ανάλογα
πάντα με το βαθμό εμπιστοσύνης που έχει δείξει). Για αυτό για τον κόσμο
η υπογραφή της Verisign που σε συνδυασμό με κάποια άλλα πράγματα είναι
το x509 Certificate σου, έχει μεγαλύτερη βαρύτητα από την υπογραφή του
elkosmas.

Από την άλλη πάντα όλα ορίζονται από την υπηρεσία που θες να
διασφαλίσεις. Ετσι για e-mails η PGP αρχιτεκτονική και το web of trust
είναι μία χαρά.

> (3) Τρίτο και σημαντικότερο: Προτιμώ αναφανδόν το σύστημα SSL/Χ509/PGP & σία, 
> παρά τα TCPA/Palladium & σία ο.ε. για προφανείς λόγους (big brother is 
> watching you). Φανταστείτε έναν κόσμο όπου κάθε κομμάτι hardware θα μπορεί να 
> ταυτοποιηθεί με τον κάτοχό του? The end of free speech on the web...
> Πρέπει να διαδοθούν οι τεχνολογίες "trusted computing" μια εκ των οποίων σαφώς 
> είναι και το PGP, αλλά είναι ακόμη σημαντικότερο να διαφυλαχθεί η δυνατότητα 
> του καθενός να ΜΗΝ τις χρησιμοποιεί όταν το κρίνει απαραίτητο.

Συμφωνούμε σε γενικές γραμμές. Αλλά σκέψου ένα ωραίο server που τίποτε
non-signed δεν μπορεί να εκτελεστεί. No-viruses, no-backdoors,
no-trojans, ktl ktl. Επίσης προφανώς no-nice programs που θες να τρέξουν
εκτός εάν εσύ βρείς τρόπο να τα κάνεις sign. Το κακό με την συγκεκριμένη
τεχνολογία είναι οτι θα χρησιμοποιηθεί ανάποδα όπως το περιγράφεις(και
με άλλους τρόπους για DRM) και οχι όπως θα θέλαμε. Αλλα προφανώς σε αυτό
φταίνε οι εταιρίες και όχι η τεχνολογία.

-- 
Alexandros Kosiaris 	Network Management Center , NTUA
e-mail : alex at noc.ntua.gr
Public Key Fingerprint :
D6B1 0634 BE65 719C 6C95  7492 8201 4B46 C478 F074
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 5200 bytes
Desc: S/MIME Cryptographic Signature
URL: <http://lists.hellug.gr/pipermail/linux-greek-users/attachments/20070510/deec46a8/attachment.bin>