id: Гость   вход   регистрация
текущее время 16:29 28/03/2024
Автор темы: Alex_B, тема открыта 19/12/2007 12:21 Печать
Категории: право, политика
https://www.pgpru.com/Форум/Содействие/ХочуПополнитьРазделразработки
создать
просмотр
ссылки

Хочу пополнить раздел "разработки"


Я начал разработку сервиса временных меток, примерно суть его в следующем:


Web-сервис выдает сертификаты, предназначенные для доказательства авторства над сертифицируемой информацией (статьи, программы, изображения и д.р.).
Сертификаты снабжены меткой времени сертификации, для предотвращения попыток доказательства ложного авторства (плагиат) путем повторной сертификации после публичного обнародования информации или иных действий, в результате которых злоумышленник получил к ней доступ.


Сам сервис будет выполнен в виде web-сервиса XML, общающегося с клиентами по средствам SOAP-сообщений, и написан на C#. Net. (начало уже положено).


Планируется использование ключей PGP.


Мне бы хотелось воспользоваться разделом «Разработки» для ведения проекта. Это было бы удобно, потом я мог бы узнать мнение экспертов по множеству возникших вопросов. Вообще это было бы полезно для моего проекта, и я думаю интересно для «openPGP в России».


У меня есть некоторые вопросы:
Все материалы на данном сайте не предназначены для коммерческого использования. Сейчас это так и для моего проекта (он создается в учебных целях), однако не возникнет ли проблем, если разработка будет достаточно удачной для коммерческого использования?


 
Комментарии
— SATtva (19/12/2007 13:02, исправлен 19/12/2007 13:36)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Мне бы хотелось воспользоваться разделом «Разработки» для ведения проекта.

Для старта любых работ предназначен раздел /ЧерноWiki. Выберите там подходящий раздел, создайте в нём документ (или несколько иерархически структурированных страниц, т.е. кластер), заполните основным содержимым, и я перенесу его в /Разработки. В общем, покажите, что Вы не забросите дело на полпути, как иногда бывает.

Все материалы на данном сайте не предназначены для коммерческого использования. Сейчас это так и для моего проекта (он создается в учебных целях), однако не возникнет ли проблем, если разработка будет достаточно удачной для коммерческого использования?

Просто укажите лицензию явным образом, правила сайта это допускают. Для Вашего случая подойдёт CC-BY-SA. Просто поставьте в начало или в конец своего документа такой вызов:



Если у Вас будет несколько документов (кластер), добавьте в действие ещё один параметр: cluster=1.

[Добавлено:]
С другой стороны, если Вы будете вести разработку единолично, то и использовать в дальнейшем свою работу сможете любым подходящим способом, в том числе и коммерчески, даже не указывая лицензию явно.

Начинаю замечать, что в последнее время тема лицензий и коммерческого/некоммерческого использования становится наиболее обсуждаемой на этом сайте. Может пора отдельный раздел в форуме открыть?
— ntldr (19/12/2007 14:36)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
Идея хорошая, но нужно сразу решать проблему с доверием к сервису.
Имхо сделать это можно только в том случае, если вы будете гарантировать выплату достаточно большого штрафа за создание ложных подписей (задним числом). Ну а если вы не несете ответственности за правильную работу такого сервиса, то и доверия к вам тоже не будет.
— Alex_B (19/12/2007 14:41)   профиль/связь   <#>
комментариев: 143   документов: 31   редакций: 143
Ясно, спасибо за информацию.
— SATtva (19/12/2007 14:48)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
ntldr, служба меток времени только выдаёт метки и ведёт аудиторский след, блокирующий подделку меток и выдачу фиктивных (всё обеспечивается криптографическими методами). Как Вы их используете — это Ваше дело. Сама служба не обязана давать какую бы то ни было гарантию, чтобы оставаться полезной: это прекрасно доказал Stamper.
— serzh (19/12/2007 14:57)   профиль/связь   <#>
комментариев: 232   документов: 17   редакций: 99
Все материалы на данном сайте не предназначены для коммерческого использования.


Просто укажите лицензию явным образом, правила сайта это допускают. Для Вашего случая подойдёт CC-BY-SA.

Для программы лучше подходит "GPLv3 или выше".

Имхо сделать это можно только в том случае, если вы будете гарантировать выплату достаточно большого штрафа за создание ложных подписей (задним числом).

Необходимо использовать "связывание подписей" и одновременно публиковать хэши, т.е. использовать криптографические инструменты.
— SATtva (19/12/2007 15:48)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Для программы лучше подходит "GPLv3 или выше".

Исходный код на этом сайте (если не указано иное) и так публикуется под GPL.
— ntldr (19/12/2007 15:56)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20

Служба обязана давать гарантию того, что не выдаст метку времени "задним числом".
Ну а связывание подписей не есть достаточная защита от этого, так как след может быть подделан целиком от требуемой записи до конца. К тому же нет адекватных инструментов для проверки этого следа, так что такой проверкой врядли кто-нибудь будет заниматься.
Из этого делаем вывод:
1 – нужно иметь инструменты позволяющие по следу проверить подделку
2 – нужно нести ответственность за подделку всей цепочки подписей.
— SATtva (19/12/2007 16:13)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ну а связывание подписей не есть достаточная защита от этого, так как след может быть подделан целиком от требуемой записи до конца.

Это реалистично при коротком аудиторском следе (например, для недавно запущенной или мало используемой службы). Если Ваш след составляет миллионы изданных подписей, подделать его нереально.

Грамотный дизайн предполагает дополнительные механизмы и здесь. Это может быть распределённое заверение метки по консенсусу (когда есть несколько независимых друг от друга серверов, контролируемых разными лицами), публикация связанных отчётов на ресурсах, не допускающих последующих исправлений (ньюс-группы, к примеру) и т.д.

Всё это напоминает ситуацию с отрытым исходным кодом. Мы вроде бы все согласны, что его наличие делает ниже вероятность преднамеренных потайных ходов (хотя и не исключает полностью). Это репутационная система. Если разработчик opensource-программы или оператор службы меток времени вносит предумышленную ошибку, которая с вероятностью так или иначе будет выявлена в будущем, его продукт просто перестанут использовать.
— Alex_B (25/12/2007 17:04)   профиль/связь   <#>
комментариев: 143   документов: 31   редакций: 143
Будет ли в формате данного сайта публикация мануалов по использованию библиотеки bccrypto для криптографических операций по стандартам openPGP?
Насколько мне удалась узнать – это единственный бесплатный проект для . NET связанный с openPGP, доживший до наших дней. Однако никакой документации не существует, по крайней мере сейчас.


Конечно, это не будет исчерпывающей документацией, а скорее простенькие примеры, на подобии таких.
— SATtva (25/12/2007 21:48)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Всё, что связано с OpenPGP, — в формате этого сайта. :-)
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3