Am 12.11.2003 22:36 schrieb Ruslan Batdalov:
YR 1. VeriSign несёт гражданскую и уголовную ответственность. За промахи
YR дебиановцев я отвечаю сам!
С каких это пор организации стали нести уголовную ответственность???
То что VeriSign как организацию в тюрьму не посадишь это понятно, но тем
Хмутро.
YR Ну, а это очередная почва для спора, какие CRL'ы актуальнее. Плюс
YR ключом YR от Verisign'а Вы не можете заверять другие ключи, таким образом
YR отпадает YR опасность, возврата всех подписей ставшего не действительным
YR ключом.
YR
YR А зачем возвращать _подписи_ этим ключом? Ни в
Хмутро.
SS Основная опасность - утечка секретного ключа и Verisign тут ничем не
SS безопасней gpg по-моему.
YR
YR Verisign тут много опасней gpg. Поскольку создает иллюзию и у заказчика
YR сертификата иллюзию того, что так надежнее. Пользователь gpg обычно таки
YR понимает, что к чему.
YR Не
Am 13.11.2003 12:37 schrieb Artem Chuprina:
Другое дело, что в случае trusted web получение revocation - это
poll, а не push.
IMHO в случае с VeriSign'ом это тоже так
Ну так если ты это имел в виду, надо было так и говорить.
Не я имел в виду, что если Вы поверили в подпись на моём ключе
Хмутро.
YR Другое дело, что в случае trusted web получение revocation - это
YR poll, а не push.
YR IMHO в случае с VeriSign'ом это тоже так
Тем более.
YR Ну так если ты это имел в виду, надо было так и говорить.
YR Не я имел в виду, что если Вы поверили в подпись на моём ключе
YR
Am 13.11.2003 14:10 schrieb Artem Chuprina:
А я не подпишу твой ключ, доверяя _одной_ его подписи. Укради ключи по крайней
мере у троих, которым я доверяю. Одновременно.
Вот видите, Вам надо три чтобы поверить, другому пять, а третий и с
одной обойдётся. Я подчёркиваю, CRL это также
On Wed, Nov 12, 2003 at 02:03:13AM +0300, tokza wrote:
scip
Только GnuPG основана на сетях доверия, а не на центрах
сертификации. Это вы с ssl сертификатами спутали видимо.
--
ну и там и там - ключи. Не дадите ссылок, почитать в чем разница, в чем сама
идея trusted web?
Про CA центры
Хмутро.
YR [первым делом хочу согласиться и признать свою вину, что
YR переусердствовал я в рассказах о хорошем и прекрасном VeriSign'е. Я
YR также хочу согласится с тем, что пока что VeriSign никакой существенной
YR ответственности за их промахи не понёс, как это не понёс и Microsoft,
YR
Am 12.11.2003 12:19 schrieb Artem Chuprina:
YR Я когда делал свой ключ у Trustcenter (немецкая дочка VeriSign'а), то
YR наблюдал разные классы сертификатов. Денежная ответственность за самый
YR простой ограничивалась на 100???, самый крутой на по моему на 200.000???.
YR Насколько обидчики
Am 12.11.2003 00:43 schrieb Yevgen Reznichenko:
А вообще, вопрос кому мы доверяем - человеку или созданной им
виртуальной личности - весьма интересен. Вот стоит в книжном магазине
книжка, на обложке написано Г.Л. Олди. Я точно знаю, что такого человека
не существует. Есть Дима Громов и Олег
On 2003.11.12 at 13:34:21 +0100, Yevgen Reznichenko wrote:
Am 12.11.2003 00:43 schrieb Yevgen Reznichenko:
А вообще, вопрос кому мы доверяем - человеку или созданной им
виртуальной личности - весьма интересен. Вот стоит в книжном магазине
книжка, на обложке написано Г.Л. Олди. Я точно
Yevgen Reznichenko wrote:
Не, там не всё так просто было. Ответственность в 100 $ за простые
сертификаты класса 0, класс 0 подтверждает только подлинность е-mail
адреса, то есть что данный е-mail с такого-то адреса действительно был
отправлен. Класс 1 включает в себя нулевой класс плюс
On Tue, Nov 11, 2003 at 07:04:42PM +0100, Yevgen Reznichenko wrote:
Организация за которой стоят миллионы $ вкладчиков, будет
изначала серьёзнее подходить к своей задаче.
Какая трогательная наивность.
--
WBR, Michael Shigorin [EMAIL PROTECTED]
-- Linux.Kiev
Хмутро.
SS Не, там не всё так просто было. Ответственность в 100 $ за простые
SS сертификаты класса 0, класс 0 подтверждает только подлинность е-mail
SS адреса, то есть что данный е-mail с такого-то адреса действительно был
SS отправлен. Класс 1 включает в себя нулевой класс плюс подтверждает
Am 12.11.2003 16:22 schrieb Sergey Spiridonov:
А если у этого человека украли его секретный ключ, Verisign за это тоже
будет нести ответственность? Что-то неверится.
Если они не во-время обновят свой CRL, то ИМХО да.
Основная опасность - утечка секретного ключа и Verisign тут ничем не
Хмутро.
YR А если у этого человека украли его секретный ключ, Verisign за это тоже
YR будет нести ответственность? Что-то неверится.
YR Если они не во-время обновят свой CRL, то ИМХО да.
YR Основная опасность - утечка секретного ключа и Verisign тут ничем не
YR безопасней gpg по-моему.
YR
Am 12.11.2003 18:30 schrieb Artem Chuprina:
SS Основная опасность - утечка секретного ключа и Verisign тут ничем не
SS безопасней gpg по-моему.
Verisign тут много опасней gpg. Поскольку создает иллюзию и у заказчика
сертификата иллюзию того, что так надежнее. Пользователь gpg обычно таки
Am 12.11.2003 20:27 schrieb Artem Chuprina:
YR Ну, а это очередная почва для спора, какие CRL'ы актуальнее. Плюс ключом
YR от Verisign'а Вы не можете заверять другие ключи, таким образом отпадает
YR опасность, возврата всех подписей ставшего не действительным ключом.
А зачем возвращать
On Tue, Nov 11, 2003 at 03:45:49AM +0300, tokza wrote:
scip
А вот для этого и существуют Certificate Aithorities - удостоверяющие центры,
которые выдают ключи (точнее, заверяют, подписывая на своем ключе), хранят
централизованную базу открытых ключей своих клиентов, гарантируют их
Хмутро.
YR Или надо проверять
YR подпись и быть 100% уверенным в проверке, или не проверять вообще.
YR Ложная безопасность -- страшная вещь.
YR Вот в этом вы абсолютно правы, Trusted Web это конечно хорошая
YR задумка, но вся проблема что к этому нужно очень щепетильно относится
YR если дело
Am 11.11.2003 12:52 schrieb Artem Chuprina:
YR Надеюсь что все ясности я смог устранить :)
Да, успешно. То, что сообщество дебианцев за подсаженного тебе мейнтейнером
трояна твоей фирме ущерба не выплатит, ты почему-то считаешь поводом не
доверять ключу Debian, а то, что точно так же тебе
On 2003.11.11 at 19:04:42 +0100, Yevgen Reznichenko wrote:
Am 11.11.2003 12:52 schrieb Artem Chuprina:
YR Надеюсь что все ясности я смог устранить :)
Да, успешно. То, что сообщество дебианцев за подсаженного тебе
мейнтейнером
трояна твоей фирме ущерба не выплатит, ты почему-то
On Tue, Nov 11, 2003 at 07:04:42PM +0100, Yevgen Reznichenko wrote:
Вы доверяете честному слову больше, чем денежной или уголовной
ответственности за это слово. Для меня честно говоря это странно, как
это странно и для всех больших предприятий и особенно банков. Может Вы
их тоже попробуете
Am 11.11.2003 21:07 schrieb Victor B. Wagner:
Интересно, какую гражданскую и уголовную ответственность понесла
VeriSign за спуфинг DNS хостившихся там сайтов иракских средств массовой
информации? Перед американским-то государством?
А за wildcard records в доменах .com и .net?
Если есть в IT
Am 11.11.2003 20:39 schrieb Иван Лох:
Но не надо учить других чему надо и не надо верить.
Учить я никого не собирался, а своё мнение кому и чему я доверяю больше,
я по моему иметь имею право
Если есть люди
предпочитающие доверять community -- это наше право. Я, например,
доверяю сети Mix
On Mon, Nov 10, 2003 at 03:41:52PM +0200, Alexander A. Vlasov wrote:
Добрый день.
В рассылке достаточно много сообщений, подписанных GPG. В связи с этим у
меня вопрос ко всем, его использующим. Вопрос сакраментакльный -
КАК?
для начала apt-get install gnupg-doc и читать. :)
Математика
On Mon, Nov 10, 2003 at 03:56:01PM +0200, Maxim Tyurin wrote:
для начала apt-get install gnupg-doc и читать. :)
Без этого не спрашивал бы.
Математика всего этого бобра мне более-менее понятна. При переписке с
глазу на глаз - тоже. Передал ключ, сравнил фингерпринты по телефону,
пиши
On Mon, Nov 10, 2003 at 03:41:52PM +0200, Alexander A. Vlasov wrote:
Вот получаю я письмо Максима Тюрина, подписанное. Допустим, беру его
открытый ключ (кстати, на каком сервере и как этот процесс
автоматизировать?). А где гарантия подлинности ключа? Да, он кем-то
$ gpg --version
gpg (GnuPG)
Хмутро.
AAV Математика всего этого бобра мне более-менее понятна. При переписке с
AAV глазу на глаз - тоже. Передал ключ, сравнил фингерпринты по телефону,
AAV пиши себе. Но в реальности переписка ведется не один-на один! Все
AAV красоты про сеть доверия очень интересны, но как это
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Alexander A. Vlasov wrote:
| Это сводит на нет саму идею шифрования\подписания. Или надо проверять
| подпись и быть 100% уверенным в проверке, или не проверять вообще.
| Ложная безопасность -- страшная вещь.
Безопасность не ложная. Просто если
Хмутро.
AAV В рассылке достаточно много сообщений, подписанных GPG. В связи с этим у
AAV меня вопрос ко всем, его использующим. Вопрос сакраментакльный - КАК?
AAV Математика всего этого бобра мне более-менее понятна. При переписке с
AAV глазу на глаз - тоже. Передал ключ, сравнил фингерпринты по
Am 10.11.2003 15:15 schrieb Alexander A. Vlasov:
Или надо проверять
подпись и быть 100% уверенным в проверке, или не проверять вообще.
Ложная безопасность -- страшная вещь.
Вот в этом вы абсолютно правы, Trusted Web это конечно хорошая
задумка, но вся проблема что к этому нужно очень
32 matches
Mail list logo
