Хмутро. >>YR> Надеюсь что все ясности я смог устранить :) YR> > YR> >Да, успешно. То, что "сообщество дебианцев" за подсаженного тебе YR> >мейнтейнером YR> >трояна твоей фирме ущерба не выплатит, ты почему-то считаешь поводом не YR> >доверять ключу Debian, а то, что точно так же тебе ничего не выплатит YR> >VeriSign - почему-то не считаешь поводом не доверять его сертификату...
YR> Абсолютно правильно, я доверяю ключу подписанному VeriSign'ом потому как, YR> 1. VeriSign несёт гражданскую и уголовную ответственность. Скажем так, ее можно попытаться к оной ответственности привлечь. Пока не удалось - ответственность несешь ты сам. Насколько я представляю себе процедуру подписи ключей у верисайна, ответственности они никакой по жизни не несут. Просто не могут. YR> За промахи YR> дебиановцев я отвечаю сам! YR> 2. Качество работы VeriSign'а проверяется и контролируется государством YR> и специальными организациями. Дебиановцев никто не контролирует, кроме YR> себя самих. Которым государством? Ни твой домен, ни мой не указывают на то государство, которое хоть как-то его контролирует. YR> 3. Основная цель VeriSign'а "обеспечивать доверие" в сети и он тратит на YR> это большую часть своего времени! Дебиановцы же занимаются большую часть YR> своего времени, логически Дебианом, а не контролем ими подписанных ключей. YR> 4. Дебиан создан на добровольной основе, что приносит с собой YR> безответственность и в некоторых случаях халатность! Организация за YR> которой стоят миллионы $ вкладчиков, будет изначала серьёзнее подходить YR> к своей задаче. Эти два тезиса в корне неверны и отражают полное непонимание принципов функционирования текущей реальности. Основная цель верисайна - получение прибыли. Что как раз и приносит безответственность и халатность во _всех_ местах, где можно избежать за них ответственности. В отличие от добровольной основы - дебиановцы думают головой, а не кошельком, когда подписывают очередной ключ. Они заинтересованы в добром имени всего проекта и понимают, что один раздолбай может все испортить. А верисайну пара тысяч случаев обмана, за который их еще и фиг прищучишь, погоды не сделает. YR> Простое человеческое доверие не может к сожалению конкурировать с YR> профессиональной уверенностью. Не может. Оно заведомо надежнее. YR> >В то YR> >время как я ключу Debian в этом смысле доверюсь гораздо больше - после YR> >первой YR> >же такой попытки гражданин загремит из официальных мейнтейнеров, и больше YR> >никогда туда не попадет. YR> Ох какое страшное наказание, тем более то что Вы пишете глупо, так как YR> из официальных мейнтейнеров "загремит" кто-то неизвестно кто, только YR> потому что его ключу кто-то доверил. Этот неизвестный сгенерит себе YR> новый ключ, попросит его подписать опять кого-нибудь "значительного" и YR> будет опять официальным мейнтейнером. Ты знаешь, дебиановские мейнтейнеры вообще-то документы смотрят, прежде чем ключ подписать. Так что придется еще и паспорт поменять. >>YR> 1. Простая переписка не должна быть шифрованной или подписанной, чтобы >>YR> не создавать ложной безопасности YR> > YR> > Когда я получаю три письма, подписанных одним и тем YR> > же ключом, я могу по меньшей мере быть уверен, что даже если их YR> > подписывали YR> > разные люди, то это люди, знающие один и тот же секретный ключ. Если при YR> > этом я имею некоторую дополнительную информацию о владельце ключа, у YR> > меня YR> > может появиться дополнительная информация. Например, если я знаю, что YR> > таки YR> > да, это ключ этого самого человека, и он за ним аккуратно следит, то YR> > шансы, YR> > что я вижу письмо не от него, достаточно малы. YR> Только идея "Trusted Web" заключается как раз в том что вы *не* знаете YR> что это ключ того самого человека, вы этого человека впервые видите! И YR> только кто-то из тех кому Вы доверяете подтверждает Вам подлинность того YR> ключа! Вот об этом "кто-то" и идёт спор. Для простой коммуникации между YR> друзьями в общаге или даже внутри одной фирмы PGP очень хорош, но если я YR> получаю сообщение от делового партнёра, которого я в глаза не видел, мне YR> нужна третья инстанция на которую я могу положится, сосед Дядя Вася мне YR> недостаточен. Ну да. Идея "Trusted Web" заключается в том, что ты веришь поручительству того, в ком ты уверен. Поручительству дяди Васи ты вправе не поверить, и захотеть, чтобы ключ твоего делового партнера был подписан кем-нибудь более вменяемым. YR> >Например, судя по тому, что YR> > я тут от тебя прочел, твоей подписи я буду доверять очень ограниченно в YR> > любом случае, даже если получу твой ключ непосредственно из твоих рук. YR> > И уж YR> > точно не буду доверять твоей подписи на чужих ключах YR> И правильно, с какого такого счастья Вы должны мне доверять? Неужели Вы YR> думаете что я Вам доверять могу? Если я лично получу ключ от вас, то я YR> буду знать что письмо написано действительно Вами, но ни в коем случае я YR> не смогу доверять ключам подписанными Вами, даже если увижу что мои YR> данные Вы проверили очень щепетильно. Сегодня Вы всё проверили хорошо, а YR> завтра вам подделку подсунули левую, а Вы даже номера паспорта проверить YR> не в состоянии или просто забыли что-то проверить или подписали ключ YR> знакомому не проверяя данных или ещё что-нибудь. Если я положусь на ключ YR> подписанный Вами, хоть Вы даже весь такой правильный, и произойдёт YR> ошибка - моя фирма из-за этого пострадает, что тогда? Вы скажете прости YR> Женя, но этого Пэдро который все твои винчестеры отформатировал, я не YR> знаю как найти, разбирайся сам. Верисайн тебе то же самое скажет. Только в отличие от меня, не будет испытывать по подобному поводу никакого стыда. И математическое ожидание убытков подобного рода в случае с Верисайном, полагаю, гораздо больше, чем в случае со мной. YR> >2. "Незнание закона не освобождает от ответственности. Зато знание - YR> > запросто." Вот как раз упование на денежную или уголовную YR> > ответственность - YR> > это и есть ложная безопасность. Предел моего доверия, если оно YR> > обеспечивается денежным или правовым механизмом, всегда будет очень и YR> > очень ограничен. YR> Вы доверяете "честному слову" больше, чем денежной или уголовной YR> ответственности за это слово. Для меня честно говоря это странно, как YR> это странно и для всех больших предприятий и особенно банков. Может Вы YR> их тоже попробуете переубедить? Большие предприятия и банки ничему не доверяют вообще. Кроме своей собственной, специально ради судебных разборок сертифицированной системы электронной подписи. Тут я малость знаю, о чем говорю. А все остальное для них - риски, которые включаются в цену или проценты. YR> > Потому что если "он" знает законы лучше YR> > меня, он, скорее всего, найдет способ меня обмануть. YR> Идея с одной стороны правильная, но только государство контролирует эти YR> организации, чтобы они Вас не обманули. Покажите мне такое государство. Россию и Штаты не предлагать. Плавали, знаем, _что_ эти государства контролируют и как. YR> > Большее доверие - это только личные или YR> > откровенно бескорыстные отношения. YR> Как бы я хотел в тот мир попасть в котором Вы витаете. Заходи, guest'ом будешь. -- Artem Chuprina <[EMAIL PROTECTED]> FIDO: 2:5020/122.256
