MonkeySphere – openPGP заверение/проверка сертификатов сервисов
Навеяно собственными мыслями после многочисленных сообщений о взломах и злоупотреблениях со стороны УЦ:
Пора бы такую систему разработать на уровне стандарта и ввести в браузеры как альтернативную, хотя бы на уровне плагинов: чтобы по-крайней мере ограниченный кругпараноиковжелающих мог ею пользоваться "для себя". Затем и банки и др. крупные организации подтянутся.
Собственно, уже всё есть:
http://web.monkeysphere.info/
Publishing host services to OpenPGP with Monkeysphere.
В составе Debian есть пакет с демоном, тулсами и плагином для Firefox/Iceweasel. Аналогично, Ubuntu and other Debian derivatives, FreeBSD, Slackware, Redhat Fedora, ArchLinux.
Заверяются SSH и HTTPS-соединения. Проверять OpenPGP-подписи можно на любом сертификате, хоть самоподписанном, хоть выданном УЦ. Эта модель полностью совместима с существующей и не требует ничего менять.
Непонятно только, сочетается ли безопасность использования с анонимностью? Нет ли утечки при запросе ключей при посещении сервисов? Или это можно отключать? Для SSH чтобы ничего в нём не менять, реализована работа через некий демон. Не приведёт ли это к дополнительным утечкам данных и уязвимостям?
комментариев: 9796 документов: 488 редакций: 5664
Например,
внезапнокаждый год сертификат сайта pgpru.com меняется. SATtva подписывает отпечатки нового сертификата своим ключом и выкладывает уведомление, которое (тем кто посещает сайт нерегулярно) надо искать где-то в новостях или форуме.Можно конечно вручную искать эти уведомления, но представим, что таких сайтов будет несколько, не все посещаются пользователем регулярно, искать и отслеживать эти уведомления надоест.
Поскольку пользователи не доверяют УЦ, которым подписан этот сертификат, но доверяют ключу админа, то возможно, достаточно было бы воспользоваться "обезъяним" (или аналогичным) плагином, который бы проверял всё в фоне.
Админ подписывает сертификат "обезъянней" утилитой. Для распространения подписи сертификата используется стандартная сеть серверов ключей OpenPGP (пока не разобрался на счёт тонкостей: что именно идёт через сеть, а что включается в поле сертификата; по крайней мере обновление ключей пользователю предполагается делать самостоятельно, что уже хорошо — плагин не будет делать лишних фоновых запросов).
Как устанавливать доверие к отпечатку ключа админа — другой вопрос. Будет ли он широко опубликован (как у банка в офиц. документах), будет ли использована сеть доверия (или её огрызок вокруг онлайн-сообщества по интересам). Всё это не так важно — вопрос не в первоначальном установлении доверия, а в его более удобной передаче пользователю и управлении им.
Так же как не критично неприятие каких-то вариантов этой схемы. Сети доверия на основе keysigning party непопулярны, поскольку вызывают конфликт интересов между приватностью и анонимностью (псевдонимностью). Этот вопрос неоднократно обсуждался у нас на форуме.
Пользователям можно полностью игнорировать эту схему. Тогда сайт может использовать купленный валидный сертификат. Те, у кого установлен MonkeySphere, будут выявлять случаи смены сертификата на неподписанный ключом админа (подложные сертификаты). Другие пользователи смогут пользоваться как обычным https-сайтом.
Поскольку плагин оперирует только открытыми GPG-ключами сервисов, то доверить ему работу с GnuPG (при условии, что нет доступа к связке персональных закрытых ключей) не так страшно.
Может у проекта неудачное название или исполнение, но он интересен как концепт.
комментариев: 9796 документов: 488 редакций: 5664
А сама проверка стартует только если обычная проверка через установленные в браузере УЦ не прошла. Т.е. изначально всё-таки для самоподписанных сертификатов.
В настройках Certificate Patrol галки оставил только на "Show details of all certificate changes..." и "Show details of on already accepted ...". Опцию "Show details of newly accepted..." убрал, и обе опции в поле "Notification bar" убрал. При этом объём всплывающих окон колоссален. Наверное, это из-за современного HTTPS Everywhere? Т.е., меня спрашиваю про всякие изменения сертификатов фейсбуков, гуглов и прочих даже если я не хожу на эти сайты. По-видимому, на посещаемых страницах (то есть почти всюду) стоят счётчики с гугла, фейсбука и других, потому эти сайты и их сертификаты запрашиваются каждый раз куда бы ни пошёл. Как исправить — даже идей нет. Я в принципе рад получать уведомления о смене сертификата когда целево иду на гугл и т.п. сайты (они используют много разных сертификатов, они постоянно меняются, но тем не менее), но не каждый же раз при посещении любой веб-страницы. Нужна какая-то хитрая прокся для вырезания всяких google analytics или чего там...
Список счётчиков можно брать например отсюда. А может и сам этот плагин пригодится.
Э-э-й, Eridan! Почему его в списке нет?!
комментариев: 11558 документов: 1036 редакций: 4118
Проблему усугубляют системы балансировки нагрузок на таких тяжеловесных ресурсах — каждый из узлов в такой системе обычно использует собственный сертификат, из-за чего они меняются взад-вперёд по несколько раз в день.