Хмутро. YR> [первым делом хочу согласиться и признать свою вину, что YR> переусердствовал я в рассказах о "хорошем" и "прекрасном" VeriSign'е. Я YR> также хочу согласится с тем, что пока что VeriSign никакой существенной YR> ответственности за их промахи не понёс, как это не понёс и Microsoft, YR> хотя оба должны бы были. Но с теоретической стороны (в практике _пока_ YR> не работает надёжно), идея с гражданской и уголовной ответственностью YR> этих CA'ов, плюс дополнительный контроль этих сертифицирующих YR> организаций со стороны других, государством назначенных контрольных YR> организаций, для конфиденциальной деловой коммуникации более YR> доверительны, чем "честь", "слово", "хорошее мнение", "гордость". Не YR> подумайте что я сужу по себе. Нет, как раз бы я очень хотел верить в эти YR> высокие чувства , но к сожалению они остались у слишком малых людей, YR> особенно в передовом мире. Я очень ценю своё слово и дорожу честью, но к YR> сожалению Вы в этом быть уверены не можете, потому как Вы не можете YR> оценить со стороны на сколько они мне действительно дороги.]
С теоретической стороны я бы сказал "да, гражданская или уголовная ответственность надежнее". На практике же получается ровно наоборот. YR> Am 11.11.2003 21:06 schrieb Artem Chuprina: >>YR> Абсолютно правильно, я доверяю ключу подписанному VeriSign'ом потому YR> >как, >>YR> 1. VeriSign несёт гражданскую и уголовную ответственность. YR> > YR> >Скажем так, ее можно попытаться к оной ответственности привлечь. Пока не YR> >удалось - ответственность несешь ты сам. Насколько я представляю себе YR> >процедуру подписи ключей у верисайна, ответственности они никакой по жизни YR> >не YR> >несут. Просто не могут. YR> Я когда делал свой ключ у Trustcenter (немецкая дочка VeriSign'а), то YR> наблюдал разные классы сертификатов. Денежная ответственность за самый YR> простой ограничивалась на 100???, самый крутой на по моему на 200.000???. YR> Насколько обидчики смогли хоть что-то от этого получить не знаю, но для YR> фирмы это необходимый минимум для решения, перед тем как завести себе YR> какой-нибудь такой сертификат. Погоди. Я еще пойму, если сумму ответственности определяет получатель сертификата, тот, кто будет проверять подпись. Но судя по твоим словам, речь идет о его хозяине, т.е. о том, кто будет подписывать. Ты не будешь верить подписи с ответственностью 100? Ну так другой у него просто нет. Ты не будешь верить ему вообще и не будешь иметь с ним дела? Это твои убытки. YR> >В отличие от добровольной YR> >основы - дебиановцы думают головой, а не кошельком, когда подписывают YR> >очередной ключ. Они заинтересованы в добром имени всего проекта и понимают, YR> >что один раздолбай может все испортить. А верисайну пара тысяч случаев YR> >обмана, YR> >за который их еще и фиг прищучишь, погоды не сделает. YR> Но мне важно кто ответит в случае сбоя, против VeriSign'а у меня есть YR> законы и деловой действительный контракт, против Вас как доверительного YR> лица у меня ничего нет. _Теоретически_ ты прав. Но мы не про сферические подписи в вакууме... YR> >Ты знаешь, дебиановские мейнтейнеры вообще-то документы смотрят, прежде чем YR> >ключ подписать. YR> А я когда-то в одной из рассылок слова прочитал примерно такие: YR> "*Некоторые* такие придирчивые что без паспорта не подписывают" Я думаю, речь шла о единственном случае, когда человеку потребовалась подпись на ключе. Таки да, это утверждение, строго говоря, более справедливо, чем мое - "нашелся один, который проверил". >>YR> Идея с одной стороны правильная, но только государство контролирует YR> >эти YR> организации, чтобы они Вас не обманули. YR> > YR> >Покажите мне такое государство. Россию и Штаты не предлагать. Плавали, YR> >знаем, YR> >_что_ эти государства контролируют и как. YR> Здесь, да и везде тоже самое. Но так всё таки хочется в демократию и YR> право поверить :( О. Ключевое слово "поверить". Я лучше поверю в понимание Петей Новодворским, что он делает, когда подписывает ключ. Как-то оснований для веры больше... -- Artem Chuprina RFC2822: <[EMAIL PROTECTED]>, FIDO: 2:5020/122.256, ICQ: 13038757
