id: Гость   вход   регистрация
текущее время 12:05 28/03/2024
Автор темы: YuriW, тема открыта 13/12/2007 20:17 Печать
Категории: софт, gnupg, инфобезопасность, защита im
http://www.pgpru.com/Форум/РасширенияИДополнения/PidginGPG-ЕстьЛиПлагинДляСовместнойРаботы
создать
просмотр
ссылки

Pidgin + GPG – есть ли плагин для совместной работы?


Работаю в линукс. Пользуюсь Pidgin 2.3, протоколы ICQ и Jabber. Появилась необходимость приватных бесед. Есть ли возможность прицепить GPG к Pidginу? Плагин какой-нибудь? Сам пытался найти, пусто. Есть какой то заменитель со своей реализацией RSA, но это не подходит из-за ограниченности подхода. Кто нибудь сталкивался? Какие предложения могут быть?


 
На страницу: 1, 2, 3, 4, 5, 6 След.
Комментарии
— serzh (13/12/2007 21:48)   профиль/связь   <#>
комментариев: 232   документов: 17   редакций: 99
Когда pidgin был ещё gaim-ом там была нормальная реализация на основе ключей, после переименования данная возможность была удалена. Как альтернатива есть шифрование через OTR.

В данном случае можно заверить отпечаток ключа OTR своим обычным ключём либо перейти на другой клиент.
— YuriW (13/12/2007 22:35)   профиль/связь   <#>
комментариев: 6   документов: 1   редакций: 0
Безрадужная перпектива, т.к. нужена поддержка именно GPG. Довольно странно, что убрали. Видимо дорабатывают или что-нибудь. А может есть не официальная поддержка с помощью плагина? Если о переходе на другой клиент, то какой можете посоветовать (под GNOME). Из протоколов нужен только ICQ и Jabber.
— Гость (13/12/2007 23:21)   <#>
Если о переходе на другой клиент, то какой можете посоветовать (под GNOME). Из протоколов нужен только ICQ и Jabber.

Для jabber – psi. icq можно пускать через jabber icq transport, если такой функционал вас устроит...

Когда pidgin был ещё gaim-ом там была нормальная реализация на основе ключей, после переименования данная возможность была удалена.

Интересно, с чем это было связано... удаление...
— YuriW (14/12/2007 01:21)   профиль/связь   <#>
комментариев: 6   документов: 1   редакций: 0
Про пользование транпорт через джаббер. Являюсь счастливым обладателем 6-ой аси, не уйдет ли номер при пользование таким сервисом :)?
— Гость (14/12/2007 02:56)   <#>
Являюсь счастливым обладателем 6-ой аси, не уйдет ли номер при пользование таким сервисом :)?

Я не слышал чтоб jabber-сервера воровали аськи... хотя исключать нельзя. Обзаведитесь транспортом на сервере посолиднее... но тогда будете иметь проблемы с коннектом :) Знаете же что icq поставила квоту на число юзеров с одного узла? Так что в этом смысле OTR-плагин предпочтительнее :) Более того, я вообще не вижу существенных преимуществ gpg-шифрования перед otr в джаббер – только преимущества.
— Гость (14/12/2007 02:57)   <#>
s/только преимущества/только недостатки/
— serzh (14/12/2007 03:30)   профиль/связь   <#>
комментариев: 232   документов: 17   редакций: 99
Являюсь счастливым обладателем 6-ой аси...

А я являюсь счастливым обладателем независимости от ICQ =)
Попробуйте kopete (KDE-шная).

Более того, я вообще не вижу существенных преимуществ gpg-шифрования перед otr в джаббер – только недостатки.

В gpg-шифровании в отличии от otr есть Web of Trust, что является большим преимуществом.

А какие вы видите недостатки gpg-шифрования?
— ntldr (14/12/2007 04:18)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
Преимущества GPG:
1) Универсальность OpenPGP ключей, что облегчает их распостранение.
2) Поддержка сети доверия.
3) Возможность отправки оффлайн сообщений, так как не требуется установка сессии.
4) Отсутствие глюков связаных с установкой сессии. (OTR у меня не шифрует несколько первых сообщений, т.к. не всегда "заводиться" сразу)
5) GPG – это устоявшийся стандарт, более провереный и лучше поддерживаемый, нежели OTR. Соответственно доверия больше.
— Гость (14/12/2007 04:57)   <#>
Универсальность OpenPGP ключей, что облегчает их распостранение.

А равно и вашу отслеживаемость.

Основное преимущество OTR – off the record. Этим всё сказано :) представьте, что вы с кем-нибудь общаетесь и передаёте критическую информацию... а потом поссорлись, как дети малые. Ваш собсеседник может доказать что вы действительно писали то что писали.

gpg призвано обеспечить свободу. истиная свобода – это когда вдвоём наедине и никто не слышит. OTR ближе к этому случаю...

Но и OTR не панацея. Чтобы спать свободно а не думать о СТЛА и КК, достаточно расшарить совместный симметричный пароль, переданный по третьему каналу и на всё остальное положить болт.

Также gpg плох тем что потребляет больше траффика в IM-системах и существенно сильнее тупит... асимметричное крипто – ресурсоёмкая операция по сравнению с симметричным и это особенно заметно на слабых машинах, хотя вполне чувствуется и на сильных (у меня 3ггц и вполне чувствую отличие по скорости доставки когда gpg есть и когда нету... видно на глаз разницу).
— serzh (14/12/2007 05:31)   профиль/связь   <#>
комментариев: 232   документов: 17   редакций: 99
Основное преимущество OTR – off the record.
Лучше к gpg-шифрованию добавить согласование ключа и оставить выбор между двумя режимами, чем просто удалить данную возможность.

Ваш собсеседник может доказать что вы действительно писали то что писали.
Иногда необходима просто приватность, без возможности отказа.
— Гость (14/12/2007 07:09)   <#>
это... а вы собственно в курсе, что:
1) otr использует gnupg;
2) исходники открытые, если есть сомнения или желание, то можно проверить и отредактировать;
3) всё больше клиентов приобретают плагины включающие поддержку otr;
4) разрабатываются и исследуются соответствующие xep-0155, xep-0116, xep-0136 реализующие функционал otr на основе xmpp-протокола.

И на счет шифрования в xmpp-клиентах *icq*-сообщений передающихся через транспорт, вы хотябы проверили, возможно ли такое? Зашифровать-то зашифрует, но вот сможет ли асечник их потом расшифровать?
— YuriW (14/12/2007 08:46)   профиль/связь   <#>
комментариев: 6   документов: 1   редакций: 0
Плюсы GPG:
1. Общаясь по рабочим вопросам бывает сложно убедить использовать признанный стандарт OpenPGP, а если начать говорить о чем-то еще, просто плюнут :)
2. Иногда важно подтвердить, что сообщение написал именно ты, и именно ты его получил. Поэтому и ПГП.

Честно говоря otr не пробовал. Надо будет испытать, но душа лежит больше к ГПГ.
— Гость (14/12/2007 09:20, исправлен 14/12/2007 14:51)   <#>
Вы хоть почитали бы, хотяб на этом форуме, что это вообще такое...



Как раз otr именно это и гарантирует, что во время сеанса переписки вы общаетесь с автором приходящих к вам сообщений. В отличии от простого шифрования и подписывания по xep-0027 которое
  • не поддерживает проверку слепков ключей или принадлежность ключа данному идентификатору.
  • позволяет проводить атаки повторного воспроизведения зашифрованного сообщения или подписанного статуса.

Учите матчасть, и только потом уж сравнивайте.
— ntldr (14/12/2007 10:43)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20

Проблема не в низкой скорости шифрования, а в том что для шифрования каждого сообщения запускается новый процесс gpg.exe. Виновата реализация GnuPG plugin. Я думаю как-нибудь сделать реализацию плугина для миранды который будет сам реализовывать крипто.

Раньше юзал OTR на миранде. Потом задолбали глюки и перешел обратно на GPG.
Если бы этот OTR нормально работал, а не тупил при установлении сессии, если бы в нем постоянно не менялись сами собой ключи, если бы была возможность установки сессии и использованием OpenPGP ключей, тогда бы его можно было юзать.
— SATtva (14/12/2007 14:56)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
GPG – это устоявшийся стандарт, более провереный и лучше поддерживаемый, нежели OTR. Соответственно доверия больше.

OTR разрабатывали люди со знанием дела, можете быть спокойны. Вообще спор довольно странный, типа, что лучше, кроссовки Найк или итальянская паста? OTR и GPG преследуют отчасти разные цели (вместе обеспечивая конфиденциальность): для GPG первостепенна аутентичность, для OTR — "незаписываемость" во всех смыслах слова. Лично для меня важны оба свойства, всё зависит от предмета обсуждения и/или моего собеседника.

Ваш собсеседник может доказать что вы действительно писали то что писали.

Доказать где, в суде что-ли? Я Вас умоляю! "Ничего подобного я вообще не писал, а что Вы там говорите про электронную подпись не знаю, её компьютер вычислял, который у меня — просто рассадник вирусов". Никогда не приравнивайте электронную подпись к собственноручной, если Вы с контрагентом не имеете на сей счёт формального договорного соглашения (тот факт, что термин "электронная подпись" включает слово "подпись" — историческая ошибка, именно так и смотрите на это).

Чтобы спать свободно а не думать о СТЛА и КК, достаточно расшарить совместный симметричный пароль, переданный по третьему каналу и на всё остальное положить болт.

В общем случае, это плохая мысль. Шифрование нельзя использовать для обеспечения контроля целостности данных. Есть решения на основе симметричных ключей, но не путём простого шифрования (если только не в специализированном режиме): OTR использует имитовставку, GPG — MDC (но не всегда).
На страницу: 1, 2, 3, 4, 5, 6 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3