id: Гость   вход   регистрация
текущее время 19:54 28/03/2024
Автор темы: Гость, тема открыта 16/03/2009 23:32 Печать
Категории: криптография, софт, pgp, gnupg, openpgp, шифрование с открытым ключом, стандарты, расширения
http://www.pgpru.com/Форум/РаботаСGnuPG/НасколькоБезопасенFireGPG
создать
просмотр
ссылки

Насколько безопасен FireGPG?

Нашел супер-плагин для Firefox + gpg:
http://ru.getfiregpg.org/index.php?page=nv&v=0.7.5
Позволяет шифровать прямо в браузере и встраивается в Gmail!
Только вот думаю, пароли никуда не уедут?
Можно ли доверять этой софтине?


 
На страницу: 1, 2 След.
Комментарии
— Гость (17/03/2009 08:01)   <#>
Самой софтине можно, но лишь в том смысле, что автор не делал ошибок в коде злонамеренно. Поскольку браузер – это самое дырявое приложение на десктопе, доверять ему настоящий ключ крайне не предусмотрительно. Советуется создать отдельный ключ, который использовать только для FireGPG, и который подписывать настоящим своим, самым ценным ключом. Аналогичное часто справедливо и для jabber-клиентов, и для других приложений.
— Александр (17/03/2009 09:36)   <#>
А как создать этот "отдельный ключ" для браузера?
Имеется в виду еще один просто ключ, отдельный новый, или какой-то дополнительный как подпись основного моего ключа?
— Гость (17/03/2009 09:48)   <#>
Имеется в виду еще один просто ключ, отдельный новый, или какой-то дополнительный как подпись основного моего ключа?

Еще один просто ключ, отдельный новый. Чтобы дилегировать доверие к нему, подпишите его своим основным ключом.
— Александр (17/03/2009 10:13)   <#>
А какой толк от еще одного ключа, если этот новый ключ не расшифруется моим первым ключем?
Получается параллельное использование нескольких ключей для одного адреса почты, так?
— Гость (17/03/2009 12:50)   <#>
Да, так. Ну дело здесь в том, что разные ключи могут иметь разную степень доверенности. Например, временный ключ создаётся сроком действительности на месяц или пол года, и потом постоянно продляется. В случае компрометации или утечки из-за программных ошибок можно легко сменить временный ключ (который для firegpg), создать новый и подписать своим освновным, самым ценным ключом. Если же у вас только один ключ и вдруг он оказался скомпрометирован – как вы перенесёте доверие на новый ключ? Ну есть возможность создать сертификат отзыва и где-то его хранить на такой случай, но всё равно это не есть полноценное решение. А так вы всех честно предупреждаете: у меня есть ключ, который будет использоваться в не очень безопасной среде, и я его буду периодически менять и/или продлять. Если кто-то хочет вам передать что-то предельно ценной и важное, вы можете вручную сохранить пришедший на почту файл и потом командной строкой gpg его расшифровать, так сказать, используя минимум посреднических программ, в которых могут быть ошибки. Кто-то сочтёт что такой подход перебор в его случае, кто-то – нет. Допустим, я пока, для себя, могу позволить использовать свой основной ключ в jabber, а вот к браузеру бы никогда его не подцепил (а если надо – создал бы отдельынй ключ для браузера).
— Александр (17/03/2009 13:02)   <#>
Все дело в том, что хозяин ключа может не узнать об утечке. Пусть я сделаю хоть 100 ключей на каждую программу, продление и установка доверий – лишь дополнительная работа. С другой стороны, я разделю свои информационные потоки на количество, равное количеству ключей. Как следствие, это уменьшит потери информации, попавшей третьим лицам с кражей ключа. Но с другой стороны, если речь идет только об одном направлении использования шифрования – почта, вышеописанная метода не принесет никакой пользы.
— Гость (17/03/2009 14:34)   <#>
Все дело в том, что хозяин ключа может не узнать об утечке.

Периодически меняя ключ можно уменьшить потери от такого сюжета развития событий. Как пример, вы можете постфактум обнаружить что нашли критическую уязвимость в FireGPG, которая позволяет угнать ваш приватный ключ... если у вас предложення схема реализована, вы просто обновляете FireGPG, и меняете временный ключ. А если этот ключ единственный? Браузеры настолько дырявы, что уязвимости, позволяющие выполнить произвольный код с привелегиями пользователя там находят едва ли ни еженедельно, и никто серьёзно безопасность их кода не принимает в расчёт, ибо быдлу нужны поддержка ФИЧ (а как же без флэша и джавы??) и поддержка стандартов (а вдруг какой-нибудь быдлосайт не откроется браузером? Планктон это не переживёт и уйдёт на конкурирующий браузер).

Вообще, есть такая система организации интерфейса, когда доступ к данным и общение программ между собой контролируется сторонней программй, например, ядром системы, и тогда уязвимость в одной проге не повлечёт за собой фатальных последствий для всего аккаунта. Но пока это в процессе разработки, прикручивания SeLinux'а прочих... ну или доморощеных костылей.
— DDRTL (21/03/2009 18:20)   профиль/связь   <#>
комментариев: 212   документов: 27   редакций: 20
Можно отписать проблему на форуме продукта http://forum.getfiregpg.org/
— Гость (22/03/2009 12:05)   <#>
У большенства, которому нужы ФИЧИ, больших секретов нет. А вот сделать для них "однокнопочную" установку прозрачной шифрованной переписки не помешало бы. В том числе и для блага "зубров", поскольку бодьшая часть разведданных собирается из открытых источников – например из вашей переписки с партнёром, которого вы не смогли уговорить использовать GPG по классической схеме.
— Vashe_imja (06/11/2009 22:09)   <#>
Плагин классный, но только не пойму для чего это -
"desactivate inline for this site" ??
— Гость (05/04/2010 09:35)   <#>
Inline detection

FireGPG is able to detect PGP blocks in any page (for example a public key), and lets you easily manage these different blocks.
— Гость (05/04/2010 12:57)   <#>
Please read How to compile the IPC library if you want to use FireGPG on a different architecture.
Убивает всю малину. Тяжко прийдётся тем, у кого "different architecture".
— Гость (20/02/2011 02:37)   <#>
Тяжко прийдётся тем, у кого "different architecture"

Если это про не-вин, то под "линупсами" всё отлично работает, проверено.
— Гость (21/02/2011 04:39)   <#>
Кроме линупса есть другие ОС, причём не винда и не гламурный пидорский макинтош.
— Гость (21/02/2011 15:43)   <#>
Кое что есть и для других ос. Вот например пошаговое описание компиляции libipc.so и ipc.xpt для FreeBSD/amd64
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3