id: Гость   вход   регистрация
текущее время 23:39 28/03/2024
Автор темы: Гость, тема открыта 28/01/2005 19:36 Печать
https://www.pgpru.com/Форум/ОбщиеВопросы/ТекстовыйКомментарий
создать
просмотр
ссылки

текстовый комментарий


Я добавил бы возможность прикрепления к ключу небольшой текстовой заметки, в которой хозяин ключа, по желанию, мог бы сделать какие-либо комментарии. 8)


 
Комментарии
— SATtva (28/01/2005 20:14)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Зачем? Что бы, скажем, Вы написали?
— Гость (29/01/2005 09:06)   <#>
Что меня навело на эту мысль? Я создал ключ, и отправил его на сервер. После по неопытности я утратил свой секретный ключ, а от ящика отказываться то же не дело. Ключ с бесконечным сроком действия теперь лежит в депозитарии и мне не хочется получить как – нибудь письмо, которое я не смогу прочесть. Аннулировать или поставить ключу конечный срок действия нет возможности. Вот я и подумал, создать новый ключ с текстовым комментарием, пишите мол с применением вот этого ключа, а такой-то не применяйте, или, что ключ такой-то не действителен (в ситуации, когда человек ищет ключ по User ID он найдет 2 ключа).
А вообще я понимаю Ваш вопрос, не было ранее и кажется не зачем, я бы то же этот вопрос может задал. Я вот как думаю. У кого-то это может быть приветствие, у кого-то просьба, у кого-то какая-либо подпись к фотографии (кстати, фотография то же скорее всего появилась не в первой же версии PGP), у кого-то лозунг, кто на что горазд. Ведь обрастают наши квартиры и автомобили всякими разными удобствами, которых не было ранее, порой эти удобства совсем незначительны, но черт, ведь удобно! В автомобилях к примеру появились маленькие зеркальца с подсветкой на откидном противосолнечном козырьке внутри салона, и ручка на липучке, а ведь в принципе все это можно и в бардачок положить. На клавиатурах компьютеров появились новые кнопки, запустить калькулятор к примеру, или почтовую программу! Думаю такое маленькое и почти незначительное добавление совсем не повредит.
Что бы я написал, даже не утратив ключ. Да к примеру хоть Ваш же лозунг (если Вы не против): «Есть на свете, мой друг Горацио…», – хорошая фраза.
С уважением.
— SATtva (29/01/2005 14:23)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ну, допустим, Вашу проблему можно решить и подручными средствами. Просто создаёте новый ключ, добавляете к нему ещё одну запись сертификата, где вместо имени пишите "Do not use key ID 0x12345678 after 29.01.05" и отправляете ключ на сервер. Только это малопрактично.

Представим такую ситуацию. У Вас есть ключ, которым Вы благополучно пользуетесь. Но находится злоумышленник, который генерит ключ с именем Вашего и приведённой выше строчкой, куда подставляет ID Вашего реального ключа, и загружает это всё на сервер. Если Ваши корреспонденты дружно кинутся загружать, подписывать и использовать новый ключ, то лучше бы Вам себе других корреспондентов подыскать.

Это типичная социальная инженерия. Вы не должны полагаться ни на какие записи сертификата, если не можете подтвердить их достоверность объективным (или доверенно-субъективным) путём, иначе сами можете стать её жертвой.

Так что в целом Ваше предложение о комментарии не имеет смысла. Если нужно, можете просто написать какой-то текст, а потом заверить его цифровой подписью и распространять вместе со своим ключом (конечно, на сервере не выложишь, но идею комментария в качестве имени ключа я уже предложил). То же самое касается рассмотренного случая. Обычная практика исходит из того, что если на сервере при поиске по имени или email обнаруживается несколько ключей, нужно использовать самый свежий (см. Creation Date). Если же владелец по каким-то причинам не может его применять, он возвращает отправителю просьбу шифровать сообщения другим. И тогда уже от отправителя требуется решать, можно ли доверять такой просьбе, достоверен ли этот запрос и подписавший его ключ и так далее. Для исследования этих аспектов ключа есть некоторые средства. Большую часть я выложил тут: http://www.pgpru.com/keyserver/ .

P. S. Что касается "небольшого дополнения", это не совсем так. Если бы помимо раздела форума "Что стоит добавить в PGP" у нас был раздел "Что стоит добавить в OpenPGP", Вашу идею нужно было бы размещать в последнем. Видите ли, это не предложение к какой-то одной группе или компании. Его пришлось бы вносить в рабочую группу IETF по разработке стандарта RFC 2440 (как сейчас с ГОСТовскими алгоритмами) и убеждать её участников и разработчиков приложений в целесообразности такого шага, т.е. в обновлении стандарта и всех программ, основанных на нём, ибо в противном случае ключи оказались бы несовместимы. Будьте уверены, если бы я внёс такую идею, то получил бы тот же ответ, что получили от меня Вы — это не имеет смысла.

Фотографии были добавлены в стандарт ещё в те времена, когда основан на нём был практически только один PGP, и развивался стандарт только силами разрабочиков программы (версия 6.0, основанная на обновлённой версии стандарта, вышла в сентябре 98-го, когда GnuPG был ещё на очень ранних стадиях разработки). На мой взгляд, фото стало просто небольшим украшательством. Но авторы стандарта могли тогда позволить себе подобную вольность, поскольку в то время это не влекло таких проблем наследования, как сегодня.

Фото не оказывает влияния на безопасность. Единственный способ хоть как-то (но незначительно) связать его с безопасностью ключа — это собственным почерком написать на листе бумаги ID, а лучше отпечаток ключа, и сфотографироваться, держа в руках написанный текст. Но учитывая размеры и детализацию фото, оно не будет защищено от подделки, хотя, конечно, его подделка — нетривиальный шаг.

Согласитесь, аналогия с зеркальцем в машине и кнопками на клавиатуре не совсем корректна. Это предметы удобства и комфорта. Здесь же мы рассматриваем аспекты безопасности, которые с удобством вообще уживаются редко. Чаще всего удобство и безопасность — это две альтернативы, между которыми нужно выбирать. Ну, может с зеркальцем в машине оба аспекта объеденились: дабы прекрасная половина человечества среднее зеркало не направляла на себя любимых. :) Но это определённо исключение из правил.
— unknown (29/01/2005 17:54)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Что меня навело на эту мысль? Я создал ключ, и отправил его на сервер. После по неопытности я утратил свой секретный ключ, а от ящика отказываться то же не дело.

В GnuPG при создании ключа лучше сразу создать отзывающий сертификат. Его копии можно распечатать, разложить в зашифрованном виде по разным носителям. Если злоумышленник украдет этот сертификат, это не страшно, он лишь сможет аннулировать Ваш ключ. Слишком далеко прятать его не надо. Зато Вы всегда сможете достать заветную бумажку, потратить минут двадцать на перепечатывание ее на клавиатуре (или сканирование с распознаванием текста), скачать свой ключ с сервера, подействовать отзывающим сертификатом и положить отозванный ключ обратно на сервер.
— SATtva (29/01/2005 18:25)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
В GnuPG при создании ключа лучше сразу создать отзывающий сертификат.

Свои предостережения к использованию "заготовленных" KRC я излагал здесь (прокрутите вниз до "Предварительного резервирования KRC"). Всё-таки лучше резервные копии ключей, а не отзывающих сертификатов иметь.
Общая оценка документа [показать форму]
страница еще не оценена