Криптографы IACR не хотят использовать Java
Криптографы международной криптологической ассоциации (IACR) боятся использовать JAVA.
Использование Java было признано самым серьёзным возражением против внедрения системы электронных голосований Helios, предназначенной для внутренних целей IACR.
В документе IACR по внедрению Helios опубликованы самые доставляющие комментарии:
For example, one member wrote:
Requiring Java seems like a non-starter for me. There's been a bunch of security vulnerabilities in the Java runtime that had remained unpatched for too long, and I have explicitly and consciously decided to uninstall it. To ask me to make the trade-off between the convenience of electronic voting and the risk of enabling Java is probably not a great idea: I'm going to say that the risks of using Java is not worth it.
Another member had the following comment in the same vein:
I don't have Java for a reason [...] When I talk about trusting Sun, I'm not talking about trusting Sun with my vote. I'm talking about trusting Sun, and the code produced by Sun, with all the information on my computer, which is more valuable than my vote in an IACR election.
Given this feedback, it seems clear that if we adopt Helios we must offer members an additional Java-free solution. <...> Разрабатываются версии отдельно от браузера и на Python <...>
Некоторые вообще боятся загружать код:
Beyond Java-specific issues, some members pointed out a "deeper" problem with using downloaded code. One member wrote:
Once I started the voting system, I had no clue whether the applet running in my browser was actual ly the Helios voting application or some other application trying to mimic the Helios voting system. [...]
Another member added:
More generally, the use of downloaded code, whether Java, Javascript, Flash, .NET, or any other language, is unacceptable. Because the code is downloaded every time anew from the server, the user has no assurance that the code that has undergone a security review is the code that is currently running in the browser.
Так, что по уровню паранойи участники нашего сайта приближаются к ведущим мировым криптографам, но ещё не дотягивают. Есть к чему стремиться. Все кто ещё не успел — дружно удалили Java, Flash и отключили Javascript :)
комментариев: 11558 документов: 1036 редакций: 4118
RAS-синдром? :)
комментариев: 9796 документов: 488 редакций: 5664
http://www.iacr.org/elections/.....lios_2010-09-27.html
Часть криптографов решила примерно так: пусть лучше наши голоса подтасуют (скорее подсмотрят) на сервере, но JAVA мы всё равно не поставим. Комитет принял решение: считать, что несмотря на возможные злоупотребления лучше
забить на всёпринять полумеры и шифровать голоса несогласных на условно доверяемом (но заинтересованном в нарушении приватности) сервере, пойти на компромисс в разделении полномочий администрирования, но голосование считать легитимным.А локальный доверяемый клиент так и не написали. Криптографы пока не смогли внедрить надёжной системы криптологического голосования. Более того, осознавая все её недостатки, они отговаривают от её применения в ответственных случаях:
Я вот пробовал смотреть рыжелисом с gnash, одно время работало, потом перестало, орет, что нужен эдобовский flash. Я итоге, я забил на YouTube, но вообще иногда хотелось бы и посмотреть.
Если этот сраный flash запущенны с браузером, поднимаемым под прозрачно торифицированным юзером, а сам компьютер не имеет внешнего ip, чем это может грозить?!
комментариев: 9796 документов: 488 редакций: 5664
GnuPG в будущем хочет использовать Java-библиотеку gcrypt для исполнения криптографических операций? Посмотрите список рассылок:
http://www.gnupg.org/documenta.....ailing-lists.en.html
P.S. В настоящее время используется Си библиотека Libgcrypt? Или Libgcrypt выросла из GnuPG?
комментариев: 11558 документов: 1036 редакций: 4118
С чего Вы взяли, что libgcrypt написан на Java?
Это параллельный проект g10code. GnuPG переводят на libgcrypt для большей модульности кода.
Получается, libgcrypt и gcrypt это то же самое?
То есть, GnuPG пока еще не использует libgcrypt в качестве криптографической библиотеки?
Смотрел исходники обоих, они идентичны (в отношении крипто). Кто у кого дерет не понятно, но думаю, все таки libgcrypt берет из GnuPG.
комментариев: 11558 документов: 1036 редакций: 4118
Libgcrypt, gcrypt и GNU Crypt — всё суть одно и то же.
Насколько понимаю, это реализовано в девелоперской gpg 2.1.
Что значит, "дерёт"? Их пишут одни и те же люди.
суть – да, всё это криптобиблиотеки, но реализация различная.
Всё же, GNU Crypt это не libgcrypt. GNU-Crypt написан на java, libgcrypt на си. А под gcrypt скорее всего понимается libgcrypt, хотя я и не уверен в этом.
http://lists.gnu.org/archive/h.....005-02/msg00003.html
Нужно в этом вопросе. Это принципиально.
комментариев: 11558 документов: 1036 редакций: 4118
Если Вы о GNU Crypto, разрабатывавшемся в рамках проекта GNU, то как самостоятельная библиотека он более не существует.
gcrypt и libgcrypt — это ровно одно и то же, несколько названий для одной реализации. Отношения к Java (в отличие от вышеназванного GNU Crypto) она не имеет.
ftp://ftp.gnupg.org/gcrypt/alpha/gnupgjava/
комментариев: 11558 документов: 1036 редакций: 4118