id: Гость   вход   регистрация
текущее время 06:57 11/12/2017
Автор темы: Red7, тема открыта 07/02/2017 03:35 Печать
Категории: софт, otr
создать
просмотр
ссылки

Здравствуйте!


Пользуюсь Jabber в виде Pidgin и OTR, связка работает более-менее, хотя сесиия иногда подвисает.
Но вопрос не в этом, в OTR есть одна фича: "аутентификация контакта", использовать которую мне никак не удается, потому что мой собеседник, кстати, грамотный программист и вообще весьма эрудированный человек, отказывается от ее использования.
Его мотив: он не видит никакой от нее никакой пользы, скорее даже вред.
Разъясните пожалуйста, в чем полезность этой фичи, моих скромных знаний для этого не хватает.


 
Комментарии
— SATtva (07/02/2017 06:31)   профиль/связь   <#>
комментариев: 11515   документов: 1035   редакций: 4048
Предотвращение атаки "человек посередине". Механизм примерно тот же, что и при сверке отпечатков PGP-ключей (в новых версиях OTR он частично спрятан под капот). Ваш собеседник неправ, никаких негативных побочных эффектов с точки зрения безопасности у этой операции нет.
— Red7 (08/02/2017 03:51)   профиль/связь   <#>
комментариев: 33   документов: 3   редакций: 1
Спасибо! Насчет защиты от "атаки посредине" я примерно так и догадывался.
Но к сожалению, мой приятель требует более веских доказательств полезности, требуя для аутентификации кнтакта либо второй отдельный канал для передачи секретного "вопрос-ответ", либо использования ваших же методик, которые он нашел на вашем сайте – https://www.pgpru.com/bibliote.....1/podlinnostjdoverie и https://www.pgpru.com/faq/kriptografijapraktika#h1792-3
Его вывод таков:
"Без выполнения этой процедуры (которая слишком сложна для такого случая, чтобы ей заморачиваться), этот вопрос не имеет практического смысла".

Я тоже против таких малопонятных простому пользователю сложностей, особенно PGP.
Но зато у меня есть предложение как их обойти более простым путем.
Допустим, для аутентификации контактов мы обмениваемся запросом "Вопрос-Ответ" по открытому каналу, и ответ даже знает противник посредине, но все равно потдверждаем контакты.
Далее мы начинаем общаться с аутентификацией. И если мы, собеседники, хорошо знаем друг друга, то при общении очень скоро выяснится, со своим собеседником мы разговариваем, или чужим.
Поскольку есть определенные обороты речи, тематика, которую мы обычно обсуждаем, общие взгляды, и в результате, после разговора даже не слишко большой продолжительности "подстава", если она была, обнаружится.
Это все равно, что разговаривать по телефону, и если чужой голос, то это быстро выяснится.
Как вам такой подход по надежности аутентифакции?
— гыук (08/02/2017 18:52)   профиль/связь   <#>
комментариев: 261   документов: 0   редакций: 0
Замечательный метод. Прорыв в криптографии. Нужно Чубайсу предложить. Он спец по таким проектам.
— SATtva (09/02/2017 09:45, исправлен 09/02/2017 10:43)   профиль/связь   <#>
комментариев: 11515   документов: 1035   редакций: 4048

Так он и должен передаваться out-of-band, само собой (иначе это как подписать отпечаток ключа PGP этим же самым ключом — маловато смысла). См. детали здесь.



Почему Вы решили, что MITM будет вмешиваться в разговор? Он может просто перехватывать ваш диалог, ретранслируя его без изменений.



Никак, он ничего не решает.

— Red7 (09/02/2017 18:51)   профиль/связь   <#>
комментариев: 33   документов: 3   редакций: 1
Понял, спасибо. Значит остается самое надежное дополнительный защещенный канал, имхо.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3