ЭЦП и шифрование сообщений
Всем доброго дня. Может мне кто-то подсказать такой момент. На сайте реализована подпись сообщений. Здесь мне все более-менее понятно. Вопрос состоит в том, реально ли реализовать шифрование сообщений (любыми средствами, меня интересует сама возможность) без загрузки пр ватного ключа? Т.е. Для примера мы можем взять джаббер с встроенным gpg шифрованием. Собеседники добавляют ключи друг друга и общаются. Возможно ли реализовать такое в системе ЛС или на форуме?
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 1060 документов: 16 редакций: 32
Не можно. У сервера всегда останется возможность выдать клиенту не тот JS-код, какой обычно. Клиент на практике банально не может быть уверен, что при нажатии кнопки на страничке на сервер уйдут действительно зашифрованные данные.
Ну, тогда только extension.
Намёк на то, что он лучше некоторых? Автор сервиса анонимен, в отличие от defuse.ca. Кто он, и насколько ему можно доверять — открытый вопрос. Плюс — то, что сам сервис при этом имеет больше функций.
если периодичесик проверять владельца вот этими вещами:
https://chrome.google.com/webs.....fclihhmmfcd?hl=en-US
https://addons.mozilla.org/nl/firefox/addon/alertbox/
Если обе стороны (и получатель и отправитель) настолько грамотны, что
- Готовы использовать дополнительные расширения
- Могут правильно интерпретировать предупреждения об изменениях в JS-коде, выдаваемые этими расширениями
- Могут независимо проверить JS-код на предмет скрытой подставы
то им нафиг не сдались такие сложности. Куда проще обменяться PGP-ключами и закидывать друг друга уже шифрованные сообщения/файлы любым удобным для того образом. Смысл всех этих сайтов в том, что нужно отправить сообщение, тому, у кого ключей нет, и он вообще ничего не понимает в крипто и безопасности. В этом случае, даже если отправитель всё проверил, сервер может выдать левый JS-код получателю, чтобы украть пароль на сообщение.Мораль в том, что без доверия сервису понадобится много всего, чтобы иметь хоть какие-то гранатии, что, в свою очередь, всё равно будет бессмысленно, т.к. более высокий уровень безопасности достигается куда более простыми в настройке и пользовании средствами (тот же XMPP+PGP).