Насколько безопасен FireGPG?
Нашел супер-плагин для Firefox + gpg:http://ru.getfiregpg.org/index.php?page=nv&v=0.7.5
Позволяет шифровать прямо в браузере и встраивается в Gmail!
Только вот думаю, пароли никуда не уедут?
Можно ли доверять этой софтине?
Самой софтине можно, но лишь в том смысле, что автор не делал ошибок в коде злонамеренно. Поскольку браузер – это самое дырявое приложение на десктопе, доверять ему настоящий ключ крайне не предусмотрительно. Советуется создать отдельный ключ, который использовать только для FireGPG, и который подписывать настоящим своим, самым ценным ключом. Аналогичное часто справедливо и для jabber-клиентов, и для других приложений.
А как создать этот "отдельный ключ" для браузера?
Имеется в виду еще один просто ключ, отдельный новый, или какой-то дополнительный как подпись основного моего ключа?
Еще один просто ключ, отдельный новый. Чтобы дилегировать доверие к нему, подпишите его своим основным ключом.
А какой толк от еще одного ключа, если этот новый ключ не расшифруется моим первым ключем?
Получается параллельное использование нескольких ключей для одного адреса почты, так?
Да, так. Ну дело здесь в том, что разные ключи могут иметь разную степень доверенности. Например, временный ключ создаётся сроком действительности на месяц или пол года, и потом постоянно продляется. В случае компрометации или утечки из-за программных ошибок можно легко сменить временный ключ (который для firegpg), создать новый и подписать своим освновным, самым ценным ключом. Если же у вас только один ключ и вдруг он оказался скомпрометирован – как вы перенесёте доверие на новый ключ? Ну есть возможность создать сертификат отзыва и где-то его хранить на такой случай, но всё равно это не есть полноценное решение. А так вы всех честно предупреждаете: у меня есть ключ, который будет использоваться в не очень безопасной среде, и я его буду периодически менять и/или продлять. Если кто-то хочет вам передать что-то предельно ценной и важное, вы можете вручную сохранить пришедший на почту файл и потом командной строкой gpg его расшифровать, так сказать, используя минимум посреднических программ, в которых могут быть ошибки. Кто-то сочтёт что такой подход перебор в его случае, кто-то – нет. Допустим, я пока, для себя, могу позволить использовать свой основной ключ в jabber, а вот к браузеру бы никогда его не подцепил (а если надо – создал бы отдельынй ключ для браузера).
Все дело в том, что хозяин ключа может не узнать об утечке. Пусть я сделаю хоть 100 ключей на каждую программу, продление и установка доверий – лишь дополнительная работа. С другой стороны, я разделю свои информационные потоки на количество, равное количеству ключей. Как следствие, это уменьшит потери информации, попавшей третьим лицам с кражей ключа. Но с другой стороны, если речь идет только об одном направлении использования шифрования – почта, вышеописанная метода не принесет никакой пользы.
Периодически меняя ключ можно уменьшить потери от такого сюжета развития событий. Как пример, вы можете постфактум обнаружить что нашли критическую уязвимость в FireGPG, которая позволяет угнать ваш приватный ключ... если у вас предложення схема реализована, вы просто обновляете FireGPG, и меняете временный ключ. А если этот ключ единственный? Браузеры настолько дырявы, что уязвимости, позволяющие выполнить произвольный код с привелегиями пользователя там находят едва ли ни еженедельно, и никто серьёзно безопасность их кода не принимает в расчёт, ибо быдлу нужны поддержка ФИЧ (а как же без флэша и джавы??) и поддержка стандартов (а вдруг какой-нибудь быдлосайт не откроется браузером? Планктон это не переживёт и уйдёт на конкурирующий браузер).
Вообще, есть такая система организации интерфейса, когда доступ к данным и общение программ между собой контролируется сторонней программй, например, ядром системы, и тогда уязвимость в одной проге не повлечёт за собой фатальных последствий для всего аккаунта. Но пока это в процессе разработки, прикручивания SeLinux'а прочих... ну или доморощеных костылей.
Можно отписать проблему на форуме продукта http://forum.getfiregpg.org/
У большенства, которому нужы ФИЧИ, больших секретов нет. А вот сделать для них "однокнопочную" установку прозрачной шифрованной переписки не помешало бы. В том числе и для блага "зубров", поскольку бодьшая часть разведданных собирается из открытых источников – например из вашей переписки с партнёром, которого вы не смогли уговорить использовать GPG по классической схеме.
Плагин классный, но только не пойму для чего это -
"desactivate inline for this site" ??
Inline detection
FireGPG is able to detect PGP blocks in any page (for example a public key), and lets you easily manage these different blocks.
Убивает[link1] всю малину. Тяжко прийдётся тем, у кого "different architecture".
Если это про не-вин, то под "линупсами" всё отлично работает, проверено.
Кроме линупса есть другие ОС, причём не винда и не гламурный пидорский макинтош.
Кое что есть и для других ос. Вот[link2] например пошаговое описание компиляции libipc.so и ipc.xpt для FreeBSD/amd64
Спасибо. Возможно, это реалистично адаптировать под другие ОС. Год назад читал общие инструкции по компиляции и своим
опытнымвзглядом определил, что это недолго. Задача стояла скомпилить под NetBSD/i386.