id: Гость   вход   регистрация
текущее время 12:08 29/03/2024
Автор темы: Alex_B, тема открыта 11/11/2007 14:14 Печать
Категории: инфобезопасность, сеть доверия
https://www.pgpru.com/Форум/Офф-топик/СозданиеСервиса
создать
просмотр
ссылки

Создание сервиса


Доброго времени суток,


Здесь (www.pgpru.com) есть сервис Keyserver. В статье «Сеть доверия» описаны возможные способы применения этого сервиса.


В частности:

  • интерфейс депозитария
  • визуализатор цепочек сертификации
  • запрос в статистику Сети доверия
  • анализ ключа в Сети доверия

Правильно ли я понял, что не все из выше перечисленного реализовано?


Я бы хотел попробовать выполнить одну из задач, более всего меня интересуют:

  • запрос в статистику Сети доверия и
  • анализ ключа в Сети доверия

Что является более нужной задачей? Что является более простой задачей?
Возможно ли это?
Где можно получить более подробную информацию?


Спасибо.


p.s. Я хотел бы сделать эту тему моей дипломной работой, однако мой уровень понимая данной темы близок нулю – буду благодарен за любые замечания по данному вопросу.


 
Комментарии
— SATtva (12/11/2007 12:24, исправлен 12/11/2007 12:29)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
В статье «Сеть доверия» описаны возможные способы применения этого сервиса.

Это устаревший материал. На нашем старом сайте доступ к серверу ключей и к службам Сети доверия был на одной странице (поэтому такие ссылки в названной статье), теперь он разделён. Работа над интерфейсом серверов ключей закончена; над службами Сети доверия работу веду сейчас. Завершу через 3-7 дней, вероятно.

Правильно ли я понял, что не все из выше перечисленного реализовано?

Можно сказать и так.

Я бы хотел попробовать выполнить одну из задач, более всего меня интересуют ...

Имеете в виду, сделать для нашего сайта?.. Вообще, и раньше, и теперь у нас будут использоваться данные службы wotsap (разница в том, что раньше мы просто использовали собственную веб-форму для передачи параметров этим инструментам, а теперь данные из неё будут приниматься для собственной переработки на нашей стороне и выдачи результата в, надеюсь, чуть более дружелюбном виде, хотя я ещё думаю о том, стоит ли всю работу выполнять здесь). Wotsap — это несколько написанных на питоне программ, выполняющих статистический анализ на основе слепка данных от депозитария ключей. Такой слепок весит около полутора мегабайт.

Если интересно, посмотрите исходники, найдёте там много полезного. Думаю, наиболее ценным вкладом была бы оптимизация программы: вычисления там тяжёлые, и наверняка есть простор для улучшений.
— Alex_B (13/11/2007 16:26)   профиль/связь   <#>
комментариев: 143   документов: 31   редакций: 143
А как это по настоящему работает, если есть возможность расскажите на пальцах?

1.
Я создал свой ключ с помощью winPT, далее игрался с GPA и отправил свой открытый ключ на random.sks.keyserver.penguin.de
Затем я воспользовался сервисом keyserver для проверки и убедился что ключ зарегистрирован.

Однако на серверах предлагаемых по умолчанию сервисом
  • keyserver.noreply.org
  • keyserver.kjsl.com
  • pgp.mit.edu

я не регестровал свой ключ? Как он туда попал?


2.
Затем я попробовал воспользоваться http://www.lysator.liu.se/~jc/wotsap/search.html, но что бы я ни ввел в поле Bottom key всегда пишет что ключ введенный в это поле не найден.
(я пробовал вводить и id ключа SATtva)

Есть уверенность, что этот сервис работает?


3.
Где непосредственно хранятся сертификаты (серитификаты OpenPGP), используемые в сети доверия?
Где можно получить список этих серверов?


4.
Отвлеченный вопрос
Свой ключ может создать каждый желающий, должно быть таких ключей очень много – и кто-то хранит всю эту информацию совершенно бесплатно?


Спасибо.

хотя я ещё думаю о том, стоит ли всю работу выполнять здесь

Я хочу попробовать оформить все это дело в виде SOAP сервиса, клиента для такого сервиса можно написать на любом языке. И, возможно, сделать красивый web интерфейс на FLEX.
(если сервис получится применимым на практике было бы здорово если он пригодится для проекта pgpru.com)
— SATtva (13/11/2007 17:03)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
1. Почти все общественные серверы ключей (одно большое исключение — это keyserver.pgp.com) входят в децентрализованную сеть pgp.net и синхронизируют друг с другом свои базы данных. Поэтому когда Вы загружаете ключ на один из депозитариев, спустя несколько дней он оказывается уже на всех серверах.

2. Скорее сервис не мог найти не мой ключ, а Ваш, поскольку он не входит в прочный набор Сети доверия. Посмотрите эту статью, чтобы понять, что всё это значит.

3. Сертификаты (они же ключи PGP) хранятся на серверах ключей. Единый их список Вы вряд ли где-то найдёте — депозитарии, особенно не слишком крупные, появляются и исчезают, — но кое-что можете нарыть из корня. Однако, сервис wotsap использует собственную базу данных .wot (её спецификации смотрите на официальном сайте сервиса и в дистрибутиве программы), являющуюся, по сути, выжимкой из базы данных сервера ключей, из которой исключены все ключи периферийного набора, сам ключевой материал, вся прочая нерелевантная информация, а структура оптимизирована для более быстрого объединённого поиска. Сам .wot-файл, используемый сервисом, генерируется на швейцарским депозитарии http://wwwkeys.ch.pgp.net.

4. Да, есть такие люди. Почти все депозитарии pgp.net расположены в академических учреждениях. Ключей на сегодня около двух с половиной миллионов, а объём Большой связки (если правильно помню) — близко к 10 Гб.
— SATtva (13/11/2007 17:29)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
что бы я ни ввел в поле Bottom key всегда пишет что ключ введенный в это поле не найден.
(я пробовал вводить и id ключа SATtva)

Перепроверил. Действительно, ключ не обнаруживается. Но это беда для многих депозитариев, они не находят мой ключ по ID, только по имени или мэйлу. ПО серверов ключей в большинстве плохо работает с подключами, может быть в этом здесь дело.
— Alex_B (13/11/2007 19:01, исправлен 13/11/2007 19:03)   профиль/связь   <#>
комментариев: 143   документов: 31   редакций: 143
SATtva, спасибо за ответы.

Поэтому когда Вы загружаете ключ на один из депозитариев, спустя несколько дней он оказывается уже на всех серверах.

Для моего ключа это произошло в течении минуты :)


1.
Скорее сервис не мог найти не мой ключ, а Ваш, поскольку он не входит в прочный набор Сети доверия

Таким образом получается, что такой параметр как MSD в принципе не вычисляем при помощи сервиса wotsap ?


MSD (mean strong set distance) – средняя удалённость от прочного набора. Средневзвешенный индекс, обозначающий количество степеней (звеньев цепи сертификации), отделяющих данных ключ от любого ключа, входящего в прочный набор.


Тогда каким образом может быть выполнен «запрос в статистику Сети доверия», о котором упоминается в статье:
Для сбора дополнительных сведений о любом ключе можно использовать другой инструмент – запрос в статистику Сети доверия, что позволяет по индексу MSD (mean strong set distance, средняя удалённость от прочного набора; см. ниже) составить представление о положении ключа в системе Сети доверия, по количеству и составу поручителей примерно оценить компетентность его владельца и "вес" издаваемых им подписей.

2.
Сертификаты (они же ключи PGP) хранятся на серверах ключей.

Тут у меня некоторая путаница, ведь сертификат и ключ это разные вещи…
— SATtva (13/11/2007 19:47)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Таким образом получается, что такой параметр как MSD в принципе не вычисляем при помощи сервиса wotsap ?

Зачем создавать инструмент, который принципиально не действует? :-))

MSD (mean strong set distance) – средняя удалённость от прочного набора.

Здесь имелось в виду "средняя удалённость от всех ключей, входящих в прочный набор". А как Вы собираетесь вычислять MSD для ключа, не имеющего путей сертификации из прочного набора?

Ещё раз подчёркиваю: wotsap работает только для ключей из прочного набора. Его база данных содержит на сегодня около 35 тыс. ключей, только они и учитываются в статистике.

Сертификаты (они же ключи PGP) хранятся на серверах ключей.

Тут у меня некоторая путаница, ведь сертификат и ключ это разные вещи...

Ключ (ключевой материал) и сертификат, формально, — разные вещи, но сертификаты OpenPGP (куда входит и ключевой материал) исторически называют просто "ключами PGP" (PGP keys). Ради простоты и краткости написания.
— Alex_B (13/11/2007 20:42, исправлен 13/11/2007 20:42)   профиль/связь   <#>
комментариев: 143   документов: 31   редакций: 143
сертификаты OpenPGP (куда входит и ключевой материал)

"ключ PGP" содержит в себе все сертификаты которые подтверждают что данный ключевой материал принадлежит именно этому человеку?
Т.е. имея "ключ PGP" (без подключения к Серверу-депозитария) можно получить информацию сколько людей (и каковы их ключи) его подтверждают (подписали)?
— SATtva (13/11/2007 21:10)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Уточню терминологию и упрощённую структуру:



Элементы 5 и 6 технически идентичны, просто 5 генерируется с помощью собственного ключевого материала 2. Именно 5 связывает криптографический материал ключа с сертификатом, образуя "ключ PGP".

Всё, что содержится в 6 — это [от каждого из чужих ключей, подписавших данных] цифровая подпись на данном UID и ID ключа заверителя. Сами сертификаты заверителей в Ваш сертификат, разумеется, не входят (иначе ключ раздулся бы до непомерных размеров). Но если на Вашей связке эти ключи присутствуют, Ваша OpenPGP-программа самостоятельно сверит подписи и вычислит степень достоверности ключа. Именно так Сеть доверия и работает. (Конечно, если ключей заверителей на Вашей связке нет, то Вы увидите, что ключ просто заверен такими-то ID.)

Отличие wotsap в том, что на его "связке" (в базе данных .wot) содержатся все ключи из ядра Сети доверия. Имея такой набор данных, программа строит граф, определяя веса всех вершин, исходя из их взаимосвязей.
— Alex_B (14/11/2007 17:48, исправлен 14/11/2007 17:49)   профиль/связь   <#>
комментариев: 143   документов: 31   редакций: 143
SATtva, еще раз больше спасибо.

Имея на руках чужой Ключ PGP, я могу узнать id ключей подписавших этот ключ.

Однако я не могу узнать, сколько и какие ключи подписаны данным ключом, если речь не идет о ключе из ядра Сети доверия.

Рассчитывая достоверность открытого ключа, PGP проверяет уровни доверия всех сертифицирующих его подписей.
(Как PGP определяет подлинность ключей)

А дальше второго звена проверка не ведется?
В том плане, что возможно один из ключей подписавший данный будет подписан ключом, которому я безоговорочно доверяю.


А какие еще параметры для ключа не в ходящего в ядро Сети доверия могут быть вычислены?
(необязательно, что это реализовано – просто какие еще характеристики таких ключей могут быть)
— SATtva (14/11/2007 18:33)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Однако я не могу узнать, сколько и какие ключи подписаны данным ключом, если речь не идет о ключе из ядра Сети доверия.

Депозитарии с LDAP-интерфейсом (keyserver.pgp.com, единственный общественный, известный мне) позволяют выполнять поиск ключей по сложным условиям. Можно найти и все ключи, подписанные данным.

А дальше второго звена проверка не ведется?

Напрямую — нет, это было бы опасно. Можно так:
  1. Вы подписываете ключ А и устанавливаете ему полное доверие.
  2. Ключом А заверен ключ Б, он становится достоверным. Однако, подписанный им ключ В сохраняет прежний уровень достоверности. Поэтому Вы устанавливаете полное доверие и ключу Б.
  3. Ключ В становится достоверным, но достоверность, опять же, не распространяется.
  4. Вы можете повторять эту процедуру на 10 звеньев от непосредственно подписанного Вами ключа А.
Дальше 10 звеньев доверие не распространяется (что разумно, оно "рассеивается" на такой дистанции), поэтому, если у Вас на связке имеется более длинная цепочка сертификации, Вам придётся лично проверить и подписать один из промежуточных ключей, чтобы распространить доверие дальше.

А какие еще параметры для ключа не в ходящего в ядро Сети доверия могут быть вычислены?

Всё интересное уже учли. :-)
— SATtva (14/11/2007 19:20)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Вот Вам ещё до кучи: http://pgp.cs.uu.nl/plot/. Поизучайте на досуге. :-)
— Alex_B (16/11/2007 10:29)   профиль/связь   <#>
комментариев: 143   документов: 31   редакций: 143
Спасибо.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3