id: Гость   вход   регистрация
текущее время 01:34 31/05/2024
Автор темы: YuriW, тема открыта 13/12/2007 20:17 Печать
Категории: софт, gnupg, инфобезопасность, защита im
https://www.pgpru.com/Форум/РасширенияИДополнения/PidginGPG-ЕстьЛиПлагинДляСовместнойРаботы
создать
просмотр
ссылки

Pidgin + GPG – есть ли плагин для совместной работы?


Работаю в линукс. Пользуюсь Pidgin 2.3, протоколы ICQ и Jabber. Появилась необходимость приватных бесед. Есть ли возможность прицепить GPG к Pidginу? Плагин какой-нибудь? Сам пытался найти, пусто. Есть какой то заменитель со своей реализацией RSA, но это не подходит из-за ограниченности подхода. Кто нибудь сталкивался? Какие предложения могут быть?


 
На страницу: 1, 2, 3, 4, 5, 6 След.
Комментарии
— Гость (23/06/2013 21:04)   <#>
Можно создать, например SSL сертификат и прикрутить в почтовике к адресу отправителя и своему. Это даст автоматическую проверку подлинности адреса отправителя, а уже в сообщение класть зашифрованный текст. Как такая схема? Создать сертификат можно не только по приведенной ссылке, но и в программах на ПК пользователя.
— Гость (23/06/2013 22:41)   <#>

По всей видимости, ваша проблема в том, что вы не понимаете, что обычно считается, что открытый ключ известен всем. У меня может быть 10 адресатов, и каждый из них использует мой открытый ключ. Если мне послал сообщение один адресат или другой, я не могу их различить техническими средствами, каждый потенциально может выдать себя за другого.

Вы можете отойти от стандартной модели PGP и считать, что ваш открытый PGP-ключ секретен, и он разный для разных адресатов. В этом случае — да, подмену сделать будет не так просто, но и тут не всё идеально: противник, имея какие-либо догадки о содержимом сообщений, может переотправлять их вам, выдавая себя за адресата. Если какое-то сообщение содержит «да», и противник вам отправит его в нужный момент, вы получите ложное сообщение и ничего не сможете распознать. Проверка целостности и отсутствия перепосылок должна быть частью протокола более высокого уровня, но даже на низком уровне проставляется метка времени при использовании PGP-подписи. Глядя на неё, можно делать выводы о том, была ли переотправка сообщения. Ещё противник может перехватить какие-то сообщения так, что до адресата они не дойдут, а потом вбросить их в канал спустя долгое время. Короче, есть много тонкостей. Кстати, при шифровании без подписи метка времени проставляется? Уже не помню.


Лучше, чем ничего, но хуже PGP-подписей с шифрованием, поскольку требуется безоговорочное доверие третьей стороне — mail-серверу. По умолчанию доверие в End2End-шифровании только к концевым точкам: конечному отправителю и конечному получателю. Если они не скомпрометированы, то всё работает, а у вас потребуется доверие ещё какой-то стороне.
— Гость (23/06/2013 23:18)   <#>
что ваш открытый PGP-ключ секретен, и он разный для разных адресатов
Так и есть. Понятно что неудобно, но есть еще круче схема – ключ на каждый день недели для каждого адресата сроком на 2 недели.

а у вас потребуется доверие ещё какой-то стороне.
Я понял о чем Вы, но заставить всех корреспондентов еще и подписывать ((( Тут шифрование сообщений сложно добиться. Про консоль вообще молчу.
— Гость (23/06/2013 23:21)   <#>
что до адресата они не дойдут, а потом вбросить их в канал спустя долгое время
Это похоже на мелкое пакастничество. Понятно же, что если сообщение не дошло и на него не получен ответ, это инициирует повторный запрос.
— unknown (23/06/2013 23:51)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Смешивать две модели аутентификации, одну на OpenPGP, другую на PKI? Причём доверие в PKI зависит от того, что поставит удостоверяющий центр, потенциальное мошенничество которого стороны, скорее всего, каждый раз проверять не будут. Если вообще этим хоть раз озадачатся.
— Гость (24/06/2013 03:14)   <#>
Это похоже на мелкое пакастничество. Понятно же, что если сообщение не дошло и на него не получен ответ, это инициирует повторный запрос.

Необязательно. Представьте, что идёт онлайновое общение в IM, каждую минуту посылается куча сообщений. Если какие-то из них будут искажены или попросту не дойдут, вы даже не заметите этого.
— Гость (24/06/2013 03:19)   <#>
Я понял о чем Вы, но заставить всех корреспондентов еще и подписывать

Подпись часто сопуствует шифрованию.
  • Зашифровать, не подписывая: gpg -e filename
  • Зашифровать с подписью (считаем, что приватный ключ у вас один): gpg -es filename
Отличие лишь в одной букве. Если хочется, чтоб шифртекст был в читабельном формате (но он так весить будет больше), добавляете опцию a: пишете -ea или -esa
— Гость (24/06/2013 03:22)   <#>
В винде, правда, надо писать gpg.exe вместо gpg вроде.
— unknown (24/06/2013 10:09)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
По умолчанию, вроде, во многих интерфейсах и стандартных конфигах шифрование идёт с подписью или её по-крайней мере предлагается сделать.

Точно сказать не могу, т.к. использую свою шпаргалку с полным набором опций для нужных команд.
— Гость (24/06/2013 10:19)   <#>
подпись идет отдельной операцией, хотя в Том же TheBat со встроенным модулем можно эту операцию совместить. Однако в нем старый pgp.
— Гость (24/06/2013 10:23)   <#>
что поставит удостоверяющий центр,
Сертификат можно создать самому.
— unknown (24/06/2013 10:36, исправлен 24/06/2013 11:41)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Всё-таки лучше в интерфейсах почтовиков автоматизировать шифрование с подписью, чем совмещать два разных протокола. Наверняка такая настройка есть. И будет уверенность в том, что отправитель — владелец ключа и метка времени при подписи ставится. Т.е. такую метку может подделать только сам отправитель, а не прослушивающая сторона, которая будет пытаться весьти игру с переотправкой.


Кстати, ещё такой совет: не давайте слишком простых, односложных ответов. Кто-то может спросить в шифрованной переписке: "Ответь, да или нет?" и получить ответ "нет". Если шифрующая сторона по размеру сообщения и контексту общения догадается об ответе, она может пытаться вбросить это сообщение повторно в качестве ответа на другой вопрос. Также это касается таких простых вещей, как время, координаты, денежные суммы и пр.

— Гость (24/06/2013 11:17)   <#>
Имеется ввиду взять такой порядок общения за правило? Чтобы односложные ответы диссонировали?
— unknown (24/06/2013 11:41, исправлен 24/06/2013 11:44)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Нумеровать, обращать внимание на время подписи, цитировать предыдущий вопрос, пересправшивать важное.


Э. Сноуден в переписке с журналистами упоминал, что АНБ проводит семантический анализ шифртекста PGP-сообщений, вероятно по таким простейшим признакам, как размер. Правда, в его случае, это было скорее для определения утечки документа по характерному приблизительному размеру шифртекста.

— Гость (24/06/2013 15:48)   <#>
Видимо не совсем понимаю основы, потому возникает вопрос. Предполагал, что при использовании OTR сообщения im переписки не могут быть прочитаны третьей стороной, и подделаны. Но получается это не так, можно mitmom влезать в зашифрованный диалог и подделывать сообщения? Или подразумувается что сами ключи переписки необходимо передавать по другим каналам, или pgp и тогда их просто ну будут знать, и влезть в диалог не смогут, правильно?
На страницу: 1, 2, 3, 4, 5, 6 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3