Pidgin + GPG – есть ли плагин для совместной работы?
Работаю в линукс. Пользуюсь Pidgin 2.3, протоколы ICQ и Jabber. Появилась необходимость приватных бесед. Есть ли возможность прицепить GPG к Pidginу? Плагин какой-нибудь? Сам пытался найти, пусто. Есть какой то заменитель со своей реализацией RSA, но это не подходит из-за ограниченности подхода. Кто нибудь сталкивался? Какие предложения могут быть?
По всей видимости, ваша проблема в том, что вы не понимаете, что обычно считается, что открытый ключ известен всем. У меня может быть 10 адресатов, и каждый из них использует мой открытый ключ. Если мне послал сообщение один адресат или другой, я не могу их различить техническими средствами, каждый потенциально может выдать себя за другого.
Вы можете отойти от стандартной модели PGP и считать, что ваш открытый PGP-ключ секретен, и он разный для разных адресатов. В этом случае — да, подмену сделать будет не так просто, но и тут не всё идеально: противник, имея какие-либо догадки о содержимом сообщений, может переотправлять их вам, выдавая себя за адресата. Если какое-то сообщение содержит «да», и противник вам отправит его в нужный момент, вы получите ложное сообщение и ничего не сможете распознать. Проверка целостности и отсутствия перепосылок должна быть частью протокола более высокого уровня, но даже на низком уровне проставляется метка времени при использовании PGP-подписи. Глядя на неё, можно делать выводы о том, была ли переотправка сообщения. Ещё противник может перехватить какие-то сообщения так, что до адресата они не дойдут, а потом вбросить их в канал спустя долгое время. Короче, есть много тонкостей. Кстати, при шифровании без подписи метка времени проставляется? Уже не помню.
Лучше, чем ничего, но хуже PGP-подписей с шифрованием, поскольку требуется безоговорочное доверие третьей стороне — mail-серверу. По умолчанию доверие в End2End-шифровании только к концевым точкам: конечному отправителю и конечному получателю. Если они не скомпрометированы, то всё работает, а у вас потребуется доверие ещё какой-то стороне.
Я понял о чем Вы, но заставить всех корреспондентов еще и подписывать ((( Тут шифрование сообщений сложно добиться. Про консоль вообще молчу.
комментариев: 9796 документов: 488 редакций: 5664
Смешивать две модели аутентификации, одну на OpenPGP, другую на PKI? Причём доверие в PKI зависит от того, что поставит удостоверяющий центр, потенциальное мошенничество которого стороны, скорее всего, каждый раз проверять не будут. Если вообще этим хоть раз озадачатся.
Необязательно. Представьте, что идёт онлайновое общение в IM, каждую минуту посылается куча сообщений. Если какие-то из них будут искажены или попросту не дойдут, вы даже не заметите этого.
Подпись часто сопуствует шифрованию.
- Зашифровать, не подписывая: gpg -e filename
- Зашифровать с подписью (считаем, что приватный ключ у вас один): gpg -es filename
Отличие лишь в одной букве. Если хочется, чтоб шифртекст был в читабельном формате (но он так весить будет больше), добавляете опцию a: пишете -ea или -esaкомментариев: 9796 документов: 488 редакций: 5664
Точно сказать не могу, т.к. использую свою шпаргалку с полным набором опций для нужных команд.
комментариев: 9796 документов: 488 редакций: 5664
Всё-таки лучше в интерфейсах почтовиков автоматизировать шифрование с подписью, чем совмещать два разных протокола. Наверняка такая настройка есть. И будет уверенность в том, что отправитель — владелец ключа и метка времени при подписи ставится. Т.е. такую метку может подделать только сам отправитель, а не прослушивающая сторона, которая будет пытаться весьти игру с переотправкой.
Кстати, ещё такой совет: не давайте слишком простых, односложных ответов. Кто-то может спросить в шифрованной переписке: "Ответь, да или нет?" и получить ответ "нет". Если шифрующая сторона по размеру сообщения и контексту общения догадается об ответе, она может пытаться вбросить это сообщение повторно в качестве ответа на другой вопрос. Также это касается таких простых вещей, как время, координаты, денежные суммы и пр.
комментариев: 9796 документов: 488 редакций: 5664
Нумеровать, обращать внимание на время подписи, цитировать предыдущий вопрос, пересправшивать важное.
Э. Сноуден в переписке с журналистами упоминал, что АНБ проводит семантический анализ шифртекста PGP-сообщений, вероятно по таким простейшим признакам, как размер. Правда, в его случае, это было скорее для определения утечки документа по характерному приблизительному размеру шифртекста.