MonkeySphere – openPGP заверение/проверка сертификатов сервисов


Навеяно собственными мыслями[link1] после многочисленных сообщений о взломах и злоупотреблениях со стороны УЦ:

Пора бы такую систему разработать на уровне стандарта и ввести в браузеры как альтернативную, хотя бы на уровне плагинов: чтобы по-крайней мере ограниченный круг параноиков желающих мог ею пользоваться "для себя". Затем и банки и др. крупные организации подтянутся.


Собственно, уже всё есть:
http://web.monkeysphere.info/
Publishing host services to OpenPGP with Monkeysphere[link2].

В составе Debian есть пакет с демоном, тулсами и плагином для Firefox/Iceweasel. Аналогично, Ubuntu and other Debian derivatives, FreeBSD, Slackware, Redhat Fedora, ArchLinux.

Заверяются SSH и HTTPS-соединения. Проверять OpenPGP-подписи можно на любом сертификате, хоть самоподписанном, хоть выданном УЦ. Эта модель полностью совместима с существующей и не требует ничего менять.

Непонятно только, сочетается ли безопасность использования с анонимностью? Нет ли утечки при запросе ключей при посещении сервисов? Или это можно отключать? Для SSH чтобы ничего в нём не менять, реализована работа через некий демон. Не приведёт ли это к дополнительным утечкам данных и уязвимостям?

Комментарии
Гость (12/02/2012 21:08)   
По моему скромному мнению, ни PKI, ни Web of Trust не решают проблемы. Что они предлагают? Сеть доверия? Кто вообще участвует в сетях доверия? Я смотрю на здешний форум и мне не кажется, что key signing parties сколь-нибудь популярны. Если есть какой-нибудь банк, то он должен при выдаче документов каждому клиенту выдавать отпечаток ключа (или PGP-ключ, которым этот отпечаток подписывается), т.е. проблема чисто административная. В случае сайтов общего назначения всё начинается с доверия PGP-ключу админа. Что характерно, в местах повышенной криптографической культуры (скрытые сервисы Tor) такая мера, как публикация ключа админа на главной, вполне поопулярна.
Гость (12/02/2012 23:50)   
Monkeysphere – неудачное название для "раскрутки" серьёзной идеи. Вызывает ассоциации с monkey bysiness[link3].
— unknown (13/02/2012 11:38)   

Например, внезапно каждый год сертификат сайта pgpru.com меняется. SATtva подписывает отпечатки нового сертификата своим ключом и выкладывает уведомление, которое (тем кто посещает сайт нерегулярно) надо искать где-то в новостях или форуме.

Можно конечно вручную искать эти уведомления, но представим, что таких сайтов будет несколько, не все посещаются пользователем регулярно, искать и отслеживать эти уведомления надоест.

Поскольку пользователи не доверяют УЦ, которым подписан этот сертификат, но доверяют ключу админа, то возможно, достаточно было бы воспользоваться "обезъяним" (или аналогичным) плагином, который бы проверял всё в фоне.

Админ подписывает сертификат "обезъянней" утилитой. Для распространения подписи сертификата используется стандартная сеть серверов ключей OpenPGP (пока не разобрался на счёт тонкостей: что именно идёт через сеть, а что включается в поле сертификата; по крайней мере обновление ключей пользователю предполагается делать самостоятельно, что уже хорошо — плагин не будет делать лишних фоновых запросов).

Как устанавливать доверие к отпечатку ключа админа — другой вопрос. Будет ли он широко опубликован (как у банка в офиц. документах), будет ли использована сеть доверия (или её огрызок вокруг онлайн-сообщества по интересам). Всё это не так важно — вопрос не в первоначальном установлении доверия, а в его более удобной передаче пользователю и управлении им.

Так же как не критично неприятие каких-то вариантов этой схемы. Сети доверия на основе keysigning party непопулярны, поскольку вызывают конфликт интересов между приватностью и анонимностью (псевдонимностью). Этот вопрос неоднократно обсуждался у нас на форуме.

Пользователям можно полностью игнорировать эту схему. Тогда сайт может использовать купленный валидный сертификат. Те, у кого установлен MonkeySphere, будут выявлять случаи смены сертификата на неподписанный ключом админа (подложные сертификаты). Другие пользователи смогут пользоваться как обычным https-сайтом.

Поскольку плагин оперирует только открытыми GPG-ключами сервисов, то доверить ему работу с GnuPG (при условии, что нет доступа к связке персональных закрытых ключей) не так страшно.

Может у проекта неудачное название или исполнение, но он интересен как концепт.
— unknown (13/02/2012 15:29)   
Кажется, параноикам, желающим сохранять анонимность, MonkeySphere не очень подойдёт: проверка происходит не только через плагин, но и через обращение к проверочному агенту, который обращается к серверам ключей.

А сама проверка стартует только если обычная проверка через установленные в браузере УЦ не прошла. Т.е. изначально всё-таки для самоподписанных сертификатов.
Гость (14/02/2012 13:30)   
Не совсем в тему, но тем не менее.

В настройках Certificate Patrol галки оставил только на "Show details of all certificate changes..." и "Show details of on already accepted ...". Опцию "Show details of newly accepted..." убрал, и обе опции в поле "Notification bar" убрал. При этом объём всплывающих окон колоссален. Наверное, это из-за современного HTTPS Everywhere? Т.е., меня спрашиваю про всякие изменения сертификатов фейсбуков, гуглов и прочих даже если я не хожу на эти сайты. По-видимому, на посещаемых страницах (то есть почти всюду) стоят счётчики с гугла, фейсбука и других, потому эти сайты и их сертификаты запрашиваются каждый раз куда бы ни пошёл. Как исправить — даже идей нет. Я в принципе рад получать уведомления о смене сертификата когда целево иду на гугл и т.п. сайты (они используют много разных сертификатов, они постоянно меняются, но тем не менее), но не каждый же раз при посещении любой веб-страницы. Нужна какая-то хитрая прокся для вырезания всяких google analytics или чего там...
Гость (14/02/2012 17:08)   

Список счётчиков можно брать например отсюда[link4]. А может и сам этот плагин пригодится.
Гость (14/02/2012 22:21)   
Да, добрый плагин. Спасибо.

Э-э-й, Eridan! Почему его в списке[link5] нет?!
— SATtva (22/02/2012 17:41)   
Т.е., меня спрашиваю про всякие изменения сертификатов фейсбуков, гуглов и прочих даже если я не хожу на эти сайты. По-видимому, на посещаемых страницах (то есть почти всюду) стоят счётчики с гугла, фейсбука и других, потому эти сайты и их сертификаты запрашиваются каждый раз куда бы ни пошёл.

Проблему усугубляют системы балансировки нагрузок на таких тяжеловесных ресурсах — каждый из узлов в такой системе обычно использует собственный сертификат, из-за чего они меняются взад-вперёд по несколько раз в день.

Ссылки
[link1] https://www.pgpru.com/comment50322

[link2] http://www.debian-administration.org/article/660/Publishing_host_services_to_OpenPGP_with_Monkeysphere

[link3] http://www.classes.ru/dictionary-english-russian-Mueller-term-27309.htm#apresyan

[link4] http://www.ghostery.com/

[link5] https://www.pgpru.com/soft/rasshirenijafirefox