id: Гость   вход   регистрация
текущее время 13:37 29/03/2024
Автор темы: Гость, тема открыта 16/03/2014 20:50 Печать
Категории: криптография, эцп
http://www.pgpru.com/Форум/РаботаСGnuPG/ЭЦПИШифрованиеСообщений
создать
просмотр
ссылки

ЭЦП и шифрование сообщений


Всем доброго дня. Может мне кто-то подсказать такой момент. На сайте реализована подпись сообщений. Здесь мне все более-менее понятно. Вопрос состоит в том, реально ли реализовать шифрование сообщений (любыми средствами, меня интересует сама возможность) без загрузки пр ватного ключа? Т.е. Для примера мы можем взять джаббер с встроенным gpg шифрованием. Собеседники добавляют ключи друг друга и общаются. Возможно ли реализовать такое в системе ЛС или на форуме?


 
Комментарии
— SATtva (16/03/2014 20:56)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Можно, но сервер (его владелец, администратор и те, кто придут к ним с ордером) будет иметь возможность расшифровывать переписку. Если этого нужно избежать, но при этом сохранить прозрачность работы для пользователей, придётся реализовывать браузерное расширение.
— Гость (17/03/2014 20:13)   <#>
Вроде можно без расширений, если воспользоваться возможностями JS. На нём много какое крипто уже реализовали, тот же https://defuse.ca/pastebin.htm (pastebin с шифрованием юзерским паролем). Это творение автора этого исследования. У него много чего интересного есть.
— sentaus (17/03/2014 22:03, исправлен 17/03/2014 22:03)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Вроде можно без расширений, если воспользоваться возможностями JS.

Не можно. У сервера всегда останется возможность выдать клиенту не тот JS-код, какой обычно. Клиент на практике банально не может быть уверен, что при нажатии кнопки на страничке на сервер уйдут действительно зашифрованные данные.

— Ментор (18/03/2014 13:02)   <#>
secserv.me/2 по моему получше будет
— Гость (18/03/2014 17:53)   <#>

Ну, тогда только extension.


Намёк на то, что он лучше некоторых? Автор сервиса анонимен, в отличие от defuse.ca. Кто он, и насколько ему можно доверять — открытый вопрос. Плюс — то, что сам сервис при этом имеет больше функций.
— Ментор (18/03/2014 18:08)   <#>
Те кто понимают,каким образом инфа передается на сервер и сможет посмотреть это в коде сайта не нужно доверять владельцу (Ctrl + Shift + J in Chrome). Ведь он не знает каким сервисом вы ссылку-ключ передаете. Также так есть возможность на клиенте добавить фразу-пароль которую уж точно кроме вас и вашего получателя никто не узнает. Даже если сообщения не удаляются с харнилища – получив и сообщение и ссылку-ключ злоумышленник не сможет добыть контент не знаю фразы-пароля. По моему идеальная система
если периодичесик проверять владельца вот этими вещами:

https://chrome.google.com/webs.....fclihhmmfcd?hl=en-US
https://addons.mozilla.org/nl/firefox/addon/alertbox/
— Гость (19/03/2014 02:47)   <#>

Если обе стороны (и получатель и отправитель) настолько грамотны, что
  1. Готовы использовать дополнительные расширения
  2. Могут правильно интерпретировать предупреждения об изменениях в JS-коде, выдаваемые этими расширениями
  3. Могут независимо проверить JS-код на предмет скрытой подставы
то им нафиг не сдались такие сложности. Куда проще обменяться PGP-ключами и закидывать друг друга уже шифрованные сообщения/файлы любым удобным для того образом. Смысл всех этих сайтов в том, что нужно отправить сообщение, тому, у кого ключей нет, и он вообще ничего не понимает в крипто и безопасности. В этом случае, даже если отправитель всё проверил, сервер может выдать левый JS-код получателю, чтобы украть пароль на сообщение.

Мораль в том, что без доверия сервису понадобится много всего, чтобы иметь хоть какие-то гранатии, что, в свою очередь, всё равно будет бессмысленно, т.к. более высокий уровень безопасности достигается куда более простыми в настройке и пользовании средствами (тот же XMPP+PGP).
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3