Здравствуйте!
Пользуюсь Jabber в виде Pidgin и OTR, связка работает более-менее, хотя сесиия иногда подвисает.
Но вопрос не в этом, в OTR есть одна фича: "аутентификация контакта", использовать которую мне никак не удается, потому что мой собеседник, кстати, грамотный программист и вообще весьма эрудированный человек, отказывается от ее использования.
Его мотив: он не видит никакой от нее никакой пользы, скорее даже вред.
Разъясните пожалуйста, в чем полезность этой фичи, моих скромных знаний для этого не хватает.
Пользуюсь Jabber в виде Pidgin и OTR, связка работает более-менее, хотя сесиия иногда подвисает.
Но вопрос не в этом, в OTR есть одна фича: "аутентификация контакта", использовать которую мне никак не удается, потому что мой собеседник, кстати, грамотный программист и вообще весьма эрудированный человек, отказывается от ее использования.
Его мотив: он не видит никакой от нее никакой пользы, скорее даже вред.
Разъясните пожалуйста, в чем полезность этой фичи, моих скромных знаний для этого не хватает.
Предотвращение атаки "человек посередине". Механизм примерно тот же, что и при сверке отпечатков PGP-ключей (в новых версиях OTR он частично спрятан под капот). Ваш собеседник неправ, никаких негативных побочных эффектов с точки зрения безопасности у этой операции нет.
Спасибо! Насчет защиты от "атаки посредине" я примерно так и догадывался.
Но к сожалению, мой приятель требует более веских доказательств полезности, требуя для аутентификации кнтакта либо второй отдельный канал для передачи секретного "вопрос-ответ", либо использования ваших же методик, которые он нашел на вашем сайте – https://www.pgpru.com/bibliote.....1/podlinnostjdoverie[link1] и https://www.pgpru.com/faq/kriptografijapraktika#h1792-3
Его вывод таков:
"Без выполнения этой процедуры (которая слишком сложна для такого случая, чтобы ей заморачиваться), этот вопрос не имеет практического смысла".
Я тоже против таких малопонятных простому пользователю сложностей, особенно PGP.
Но зато у меня есть предложение как их обойти более простым путем.
Допустим, для аутентификации контактов мы обмениваемся запросом "Вопрос-Ответ" по открытому каналу, и ответ даже знает противник посредине, но все равно потдверждаем контакты.
Далее мы начинаем общаться с аутентификацией. И если мы, собеседники, хорошо знаем друг друга, то при общении очень скоро выяснится, со своим собеседником мы разговариваем, или чужим.
Поскольку есть определенные обороты речи, тематика, которую мы обычно обсуждаем, общие взгляды, и в результате, после разговора даже не слишко большой продолжительности "подстава", если она была, обнаружится.
Это все равно, что разговаривать по телефону, и если чужой голос, то это быстро выяснится.
Как вам такой подход по надежности аутентифакции?
Замечательный метод. Прорыв в криптографии. Нужно Чубайсу предложить. Он спец по таким проектам.
Так он и должен передаваться out-of-band, само собой (иначе это как подписать отпечаток ключа PGP этим же самым ключом — маловато смысла). См. детали здесь[link2].
Почему Вы решили, что MITM будет вмешиваться в разговор? Он может просто перехватывать ваш диалог, ретранслируя его без изменений.
Никак, он ничего не решает.
Понял, спасибо. Значит остается самое надежное дополнительный защещенный канал, имхо.