Am 13.11.2003 14:10 schrieb Artem Chuprina:
А я не подпишу твой ключ, доверяя _одной_ его подписи. Укради ключи по крайней
мере у троих, которым я доверяю. Одновременно.
Вот видите, Вам надо три чтобы поверить, другому пять, а третий и с
одной обойдётся. Я подчёркиваю, CRL это также больное
Хмутро.
YR> >Другое дело, что в случае trusted web получение revocation - это
YR> >poll, а не push.
YR> IMHO в случае с VeriSign'ом это тоже так
Тем более.
YR> > Ну так если ты это имел в виду, надо было так и говорить.
YR> Не я имел в виду, что если Вы поверили в подпись на моём ключе
YR> ка
Am 13.11.2003 12:37 schrieb Artem Chuprina:
Другое дело, что в случае trusted web получение revocation - это
poll, а не push.
IMHO в случае с VeriSign'ом это тоже так
Ну так если ты это имел в виду, надо было так и говорить.
Не я имел в виду, что если Вы поверили в подпись на моём ключе
Хмутро.
>>SS> Основная опасность - утечка секретного ключа и Verisign тут ничем не
>>SS> безопасней gpg по-моему.
YR> >
YR> >Verisign тут много опасней gpg. Поскольку создает иллюзию и у заказчика
YR> >сертификата иллюзию того, что так надежнее. Пользователь gpg обычно таки
YR> >понимает, что к ч
Хмутро.
>>YR> Ну, а это очередная почва для спора, какие CRL'ы актуальнее. Плюс
YR> >ключом YR> от Verisign'а Вы не можете заверять другие ключи, таким образом
YR> >отпадает YR> опасность, возврата всех подписей ставшего не действительным
YR> >ключом.
YR> >
YR> >А зачем возвращать _подписи_ эти
Am 12.11.2003 22:36 schrieb Ruslan Batdalov:
YR> 1. VeriSign несёт гражданскую и уголовную ответственность. За промахи
YR> дебиановцев я отвечаю сам!
С каких это пор организации стали нести уголовную ответственность???
То что VeriSign как организацию в тюрьму не посадишь это понятно, но тем
Am 12.11.2003 20:27 schrieb Artem Chuprina:
YR> Ну, а это очередная почва для спора, какие CRL'ы актуальнее. Плюс ключом
YR> от Verisign'а Вы не можете заверять другие ключи, таким образом отпадает
YR> опасность, возврата всех подписей ставшего не действительным ключом.
А зачем возвращать _п
Am 12.11.2003 18:30 schrieb Artem Chuprina:
SS> Основная опасность - утечка секретного ключа и Verisign тут ничем не
SS> безопасней gpg по-моему.
Verisign тут много опасней gpg. Поскольку создает иллюзию и у заказчика
сертификата иллюзию того, что так надежнее. Пользователь gpg обычно таки
по
Хмутро.
YR> >А если у этого человека украли его секретный ключ, Verisign за это тоже
YR> >будет нести ответственность? Что-то неверится.
YR> Если они не во-время обновят свой CRL, то ИМХО да.
YR> >Основная опасность - утечка секретного ключа и Verisign тут ничем не
YR> >безопасней gpg по-моему
Am 12.11.2003 16:22 schrieb Sergey Spiridonov:
А если у этого человека украли его секретный ключ, Verisign за это тоже
будет нести ответственность? Что-то неверится.
Если они не во-время обновят свой CRL, то ИМХО да.
Основная опасность - утечка секретного ключа и Verisign тут ничем не
безоп
Хмутро.
SS> >Не, там не всё так просто было. Ответственность в 100 $ за простые
SS> >сертификаты класса 0, класс 0 подтверждает только подлинность е-mail
SS> >адреса, то есть что данный е-mail с такого-то адреса действительно был
SS> >отправлен. Класс 1 включает в себя нулевой класс плюс подтв
On Tue, Nov 11, 2003 at 07:04:42PM +0100, Yevgen Reznichenko wrote:
> Организация за которой стоят миллионы $ вкладчиков, будет
> изначала серьёзнее подходить к своей задаче.
Какая трогательная наивность.
--
WBR, Michael Shigorin <[EMAIL PROTECTED]>
-- Linux.Kiev http://www.linux.ki
Yevgen Reznichenko wrote:
Не, там не всё так просто было. Ответственность в 100 $ за простые
сертификаты класса 0, класс 0 подтверждает только подлинность е-mail
адреса, то есть что данный е-mail с такого-то адреса действительно был
отправлен. Класс 1 включает в себя нулевой класс плюс подт
On 2003.11.12 at 13:34:21 +0100, Yevgen Reznichenko wrote:
>
> Am 12.11.2003 00:43 schrieb Yevgen Reznichenko:
> >>А вообще, вопрос кому мы доверяем - человеку или созданной им
> >>виртуальной личности - весьма интересен. Вот стоит в книжном магазине
> >>книжка, на обложке написано Г.Л. Олди. Я
Am 12.11.2003 00:43 schrieb Yevgen Reznichenko:
А вообще, вопрос кому мы доверяем - человеку или созданной им
виртуальной личности - весьма интересен. Вот стоит в книжном магазине
книжка, на обложке написано Г.Л. Олди. Я точно знаю, что такого человека
не существует. Есть Дима Громов и Олег Лад
Am 12.11.2003 12:19 schrieb Artem Chuprina:
YR> Я когда делал свой ключ у Trustcenter (немецкая дочка VeriSign'а), то
YR> наблюдал разные классы сертификатов. Денежная ответственность за самый
YR> простой ограничивалась на 100???, самый крутой на по моему на 200.000???.
YR> Насколько обидчики
Хмутро.
YR> [первым делом хочу согласиться и признать свою вину, что
YR> переусердствовал я в рассказах о "хорошем" и "прекрасном" VeriSign'е. Я
YR> также хочу согласится с тем, что пока что VeriSign никакой существенной
YR> ответственности за их промахи не понёс, как это не понёс и Microsoft,
On Wed, Nov 12, 2003 at 02:03:13AM +0300, tokza wrote:
> > Только GnuPG основана на сетях доверия, а не на центрах
> > сертификации. Это вы с ssl сертификатами спутали видимо.
> > --
> >
>
> ну и там и там - ключи. Не дадите ссылок, почитать в чем разница, в чем сама
> идея trusted web?
Про CA
Am 11.11.2003 20:39 schrieb Иван Лох:
Но не надо учить других чему надо и не надо верить.
Учить я никого не собирался, а своё мнение кому и чему я доверяю больше,
я по моему иметь имею право
Если есть люди
предпочитающие доверять community -- это наше право. Я, например,
доверяю сети Mix
Am 11.11.2003 21:07 schrieb Victor B. Wagner:
Интересно, какую гражданскую и уголовную ответственность понесла
VeriSign за спуфинг DNS хостившихся там сайтов иракских средств массовой
информации? Перед американским-то государством?
А за wildcard records в доменах .com и .net?
Если есть в IT к
Хмутро.
>>YR> Надеюсь что все ясности я смог устранить :)
YR> >
YR> >Да, успешно. То, что "сообщество дебианцев" за подсаженного тебе
YR> >мейнтейнером
YR> >трояна твоей фирме ущерба не выплатит, ты почему-то считаешь поводом не
YR> >доверять ключу Debian, а то, что точно так же тебе ничего не вы
On Tue, Nov 11, 2003 at 07:04:42PM +0100, Yevgen Reznichenko wrote:
> Вы доверяете "честному слову" больше, чем денежной или уголовной
> ответственности за это слово. Для меня честно говоря это странно, как
> это странно и для всех больших предприятий и особенно банков. Может Вы
> их тоже попро
On 2003.11.11 at 19:04:42 +0100, Yevgen Reznichenko wrote:
>
>
> Am 11.11.2003 12:52 schrieb Artem Chuprina:
> >YR> Надеюсь что все ясности я смог устранить :)
> >
> >Да, успешно. То, что "сообщество дебианцев" за подсаженного тебе
> >мейнтейнером
> >трояна твоей фирме ущерба не выплатит, ты по
Am 11.11.2003 12:52 schrieb Artem Chuprina:
YR> Надеюсь что все ясности я смог устранить :)
Да, успешно. То, что "сообщество дебианцев" за подсаженного тебе мейнтейнером
трояна твоей фирме ущерба не выплатит, ты почему-то считаешь поводом не
доверять ключу Debian, а то, что точно так же тебе н
Хмутро.
YR> >Или надо проверять
YR> >подпись и быть 100% уверенным в проверке, или не проверять вообще.
YR> >Ложная безопасность -- страшная вещь.
YR> Вот в этом вы абсолютно правы, "Trusted Web" это конечно хорошая
YR> задумка, но вся проблема что к этому нужно очень щепетильно относится
YR> е
On Tue, Nov 11, 2003 at 03:45:49AM +0300, tokza wrote:
> А вот для этого и существуют Certificate Aithorities - удостоверяющие центры,
> которые выдают ключи (точнее, заверяют, подписывая на своем ключе), хранят
> централизованную базу открытых ключей своих клиентов, гарантируют их
> подлинност
Am 10.11.2003 15:15 schrieb Alexander A. Vlasov:
Или надо проверять
подпись и быть 100% уверенным в проверке, или не проверять вообще.
Ложная безопасность -- страшная вещь.
Вот в этом вы абсолютно правы, "Trusted Web" это конечно хорошая
задумка, но вся проблема что к этому нужно очень щепет
Хмутро.
AAV> В рассылке достаточно много сообщений, подписанных GPG. В связи с этим у
AAV> меня вопрос ко всем, его использующим. Вопрос сакраментакльный - "КАК"?
AAV> Математика всего этого бобра мне более-менее понятна. При переписке с
AAV> глазу на глаз - тоже. Передал ключ, сравнил фингерприн
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Alexander A. Vlasov wrote:
| Это сводит на нет саму идею шифрования\подписания. Или надо проверять
| подпись и быть 100% уверенным в проверке, или не проверять вообще.
| Ложная безопасность -- страшная вещь.
Безопасность не ложная. Просто если _нужн
Хмутро.
AAV> > > Математика всего этого бобра мне более-менее понятна. При переписке с
AAV> > > глазу на глаз - тоже. Передал ключ, сравнил фингерпринты по телефону,
AAV> > > пиши себе. Но в реальности переписка ведется не один-на один! Все
AAV> > > красоты про "сеть доверия" очень интересны, но к
On Mon, Nov 10, 2003 at 03:41:52PM +0200, Alexander A. Vlasov wrote:
> Вот получаю я письмо Максима Тюрина, подписанное. Допустим, беру его
> открытый ключ (кстати, на каком сервере и как этот процесс
> автоматизировать?). А где гарантия подлинности ключа? Да, он кем-то
$ gpg --version
gpg (GnuPG)
On Mon, Nov 10, 2003 at 03:56:01PM +0200, Maxim Tyurin wrote:
> для начала apt-get install gnupg-doc и читать. :)
Без этого не спрашивал бы.
> > Математика всего этого бобра мне более-менее понятна. При переписке с
> > глазу на глаз - тоже. Передал ключ, сравнил фингерпринты по телефону,
> > пиш
On Mon, Nov 10, 2003 at 03:41:52PM +0200, Alexander A. Vlasov wrote:
> Добрый день.
>
> В рассылке достаточно много сообщений, подписанных GPG. В связи с этим у
> меня вопрос ко всем, его использующим. Вопрос сакраментакльный -
> "КАК"?
для начала apt-get install gnupg-doc и читать. :)
>
> Мат
33 matches
Mail list logo