id: Гость   вход   регистрация
текущее время 08:45 29/03/2024
Владелец: unknown (создано 26/08/2010 11:34), редакция от 30/08/2010 10:01 (автор: unknown) Печать
Категории: криптография, анонимность, протоколы, аутентификация
https://www.pgpru.com/Новости/2010/DAA-SIGMAПротоколОбменаКлючамиСоВзаимнойАнонимнойАутентификацией
создать
просмотр
редакции
ссылки

26.08 // DAA-SIGMA: протокол обмена ключами со взаимной анонимной аутентификацией


Исследователи Джесс Уокер и Джангтао Ли из лаборатории Intel в своей работе "Key Exchange with Anonymous Authentication using DAA-SIGMA Protocol" предложили улучшенный метод аутентификации при сохранении анонимности. При этом они рассмотрели предшествовавшие решения этой противоречивой проблемы, совмещающей два противоположных свойства: аутентификацию (удостоверение подлинности, идентичности, личности) и сохранение анонимности одновременно.


Анонимные цифровые подписи, такие как групповые подписи, прямая анонимная аттестация (DAA) и анонимные удостоверения играют важную роль в технологиях продвижения приватности. Они позволяют объекту (пользователю или аппаратному устройству) создавать подписи без раскрытия своей идентичности. Анонимные подписи также позволяют осуществлять анонимную аутентификацию объекта.


Концепция схемы групповых подписей была впервые представлена Чаумом и Ван Хейстом в 1991 году. В схеме групповых подписей все члены группы совместно используют групповой открытый ключ, однако каждый участник имеет уникальный закрытый ключ. Групповая подпись, созданная членом группы, анонимна для проверяющего, но выслеживаема со стороны доверяемого управляющего группой. Было предложено много схем групповых подписей. Прямая анонимная аттестация (Direct Anonymous Attestation — DAA) была впервые представлена Брикелем, Кэйменишем и Ченом для удалённой анонимной аутентификации на модуле доверенных аппаратных вычислений (Trusted Platform Module — TPM). DAA может рассматриваться как специальная схема групповой подписи без возможности выслеживания. DAA привлекла много внимания в сообществе исследователей доверенных вычислений и многие схемы DAA были реализованыы в этой сфере.


Анонимные цифровые подписи привлекают внимание индустрии в последние годы. Например, группа доверенных вычислений (Trusted Computing group — TCG), организация глобальных промышленных стандартов, приняла схему DAA для стандартизации в TCG TPM спецификации версии 1.2. Эта же схема DAA была ранее принята ISO/IEC как международный стандарт. DAA выполнена и уже сегодня поставляется с миллионами TPM-устройств. Intel выполнил расширениее DAA, называемое Enhanced Privacy ID в чипсете Intel P55 lbex Peak. Недавно ISO/IEC начали разработку двух новых международных стандартов: одного для анонимных цифровых подписей, включая групповые подписи и схемы DAA и другого для анонимной аутентификации объектов с использованием анонимных цифровых подписей.


(Прим. перев.: Данные исследования возможно иллюстрируют преимущественный интерес к работе с групповыми анонимными идентичностями в индустрии управления цифровых прав и контроля копирайта при номинальной сохранности приватности пользователя при вторжении в его компьютер или специализированное электронное устройство с целью проверок (если нарушений не обнаружено или автоматическом отключении доступа к копирайт-материалам без выслеживания пользователя-нарушителя). Однако эти протоколы интересны сами по себе и могут быть использованы в других целях. Слово "приватность" и "доверие" могут трактоваться совершенно по-разному, в зависимости от того, кому принадлежат ключи в реализации протокола и каким целям служит его реализация).


DAA может быть использовано для анонимной аутентификации непосредственно следующим образом: проверяющий посылает сообщение вызова члену группы; член группы может аутентифицироваться перед проверяющим анонимно, используя свой приватный ключ для создания DAA-подписи на сообщении. После проверки DA-подписи проверяющий соглашается с тем, что член группы — это действительно DAA-подписавший, но не может узнать, кто конкретно создал подпись. Модули доверенных вычислений (TPM) используют этот метод для анонимной аутентификации для получения свидетельства об идентифицирующем ключе анонимного удостоверения издателя. Этот метод аутентификации ограничен, поскольку участник группы не може проверить удостоверение самого проверяющего и в процессе аутентификации между ними не получается совместно произведённого ключа.


Более общий способ использования DAA в анонимной аутентификации — это встраивание DAA в протокол обмена ключами Диффи-Хеллмана так, что два объекта могут аутентифицировать друг друга и совместно произвести ключ сессии для последующей коммуникации. Было составлено множество предложений для внедрения DAA в протоколы обмена ключами. Бэлф и др. предложили анонимную аутентификацию в файлообменных (peer-to-peer) сетях путём встраивания DAA в TLS и IPsec. Леунг и Митчелл представили протокол анонимной аутентификации на основее DAA. Недавно Цесена и др. предложили протокол анонимной аутентификации на основе TLS и DAA, включающий образец реализации.


Несмотря на множество предложений по использованию DAA в протоколах обмена ключами Диффи-Хеллмана, опубликованных в литературе ранее, авторам неизвестно никакой формальной модели доказательства безопасности, которая бы использовалась для обоснования стойкости этих протоколов. Создание такой модели послужило мотивацией этой работы.


Ими были внесены вклады такого рода:


Модель безопасности для обмена ключами с анонимной аутентификацией. Было предложено тщательное рассмотрение анонимной аутентификации и предложена новая модель безопасности для обмена ключами с анонимной аутентификацией, которая была выведена из модели обмена ключами Канетти-Кравчика. В модели Канетти-Кравчика идентичность играет важную роль в доказательстве безопасности. Однако в анонимной аутентификации идентичность объекта, который хочет остаться анонимным в процессе аутентификации не может быть раскрыта в ходе обмена ключами. Это создаёт значительные трудности в определении безопасности модели и в разработке протокола обмена ключами.


Безопасный протокол обмена ключами с анонимной аутентификацией. Авторы разработали новый протокол обмена ключами на основе DAA и SIGMA-семействе протоколов обмена ключами в стандартах IPsec и Internet Key Exchange (IKE). Этот протокол был назван DAA-SIGMA. При этом дан формальный анализ безопасности протокола DAA-SIGMA в рамках модели, представленной авторами.


Помимо протокола DAA-SIGMA, авторами предложен протокол и для встраивания групповых подписей в обмен ключевыми параметрами по Диффи-Хеллману. Соответствующий протокол назван GS-SIGMA.


В протоколе DAA-SIGMA рассмотрена возможность использования (вместо идентичностей) сертификатов на основе открытых ключей удостоверяющих центров. Также в DAA предусмотрены возможности использования контролируемой пользователем выслеживаемости (возможность включать своё имя в параметры создания подписи) и отзыва (возможность доказать проверяющему непринадлежность к списку отозванных ключей).


Самое парадоксальное свойство, в наибольшей степени сочетающее взаимоисключающие на первый взгляд требования, это возможность взаимной анонимной аутентификации. И хотя авторы не видят смысла использовать такое свойство в интернете, они предполагают такое использование в рамках модели физически близко находящихся друг к другу устройств (например мобильные устройства или автомобили), вероятно, чтобы не производить накопления идентифицирующей информации при информационном взаимодействии.


В дальнейшем авторы планируют предоставить формальные доказательства безопасности взаимной анонимной аутентификации и изучить способ внедрения DAA в SSL/TLS протокол с сохранением доказуемой безопасности в рамках новой модели, которая её описывает.


Источник: Cryptology ePrint Archive


 
На страницу: 1, 2 След.
Комментарии [скрыть комментарии/форму]
— Гость (29/08/2010 17:07)   <#>

unknown, опять ничего не понятно!


Надо добавить больше логических связей и мостиков между высказываниями, а пока смотрится так, как будто взяли готовый текст и хорошенько перемешали все предложения — теперь понять в каком порядке их читать очень затруднительно.

Групповая подпись, созданная членом группы анонимна для проверяющего, но выслеживаема со стороны доверяемого управляющего группой. Было предложено много схем групповых подписей. [логиечский провал] Прямая анонимная аттестация (Direct Anonymous Attestation — DAA) была впервые представлена Брикелем, Кэйменишем и Ченом для удалённой анонимной аутентификации на модуле доверенных аппаратных вычислений (Trusted Platform Module — TPM).
При этом выше пишется
такие как групповые подписи, прямая анонимная аттестация (DAA) и анонимные удостоверения
т.е. данные три метода фиксируются у читателя как (почти) взаимоисключающие. В цитируемом абзаце речь идёт про групповые подписи, а потом вдруг как снег на голову про прямую аттестацию. Также, аналогично тому, как это сделано для групповых подписей, следовало бы здесь кратко описать прямую аттестацию (описана ниже) и анонимные удостоверения (не описаны вообще). Фиксируется вот так, смотрите: вместо
Групповая подпись, созданная членом группы анонимна для проверяющего, но выслеживаема со стороны доверяемого управляющего группой. Было предложено много схем групповых подписей. Прямая анонимная аттестация (Direct Anonymous Attestation — DAA) была впервые представлена Брикелем, Кэйменишем и Ченом для удалённой анонимной аутентификации на модуле доверенных аппаратных вычислений (Trusted Platform Module — TPM). DAA может рассматриваться как специальная схема групповой подписи без возможности выслеживания.
надо:
Групповая подпись, созданная членом группы,2 анонимна для проверяющего, но выслеживаема со стороны доверяемого управляющего группой. Было предложено много схем групповых подписей, среди которых стоит отметить прямую анонимную аттестацию (Direct Anonymous Attestation — DAA), впервые представленную Брикелем, Кэйменишем и Ченом для удалённой анонимной аутентификации на TPM3. DAA может рассматриваться как специальная схема групповой подписи без возможности выслеживания.


Общая схема: методы (протоколы), их недостатки, что было улучшено новым предложенным методом.
Как я понял, недостатки:
  • Групповая подпись — депонирование анонимности1
  • Прямая анонимная аттестация (вид групповой подписи) — депонирование анонимности + участник групы не может аутентифицировать того, кому депонируется анонимность
  • Анонимные удостоверения — ... (кстати, я про них ничего в тексте не нашёл — это нормально?)

Например, группа доверенных вычислений (Trusted Computing group — TCG), организация глобальных промышленных стандартов, приняла схему DAA
Многословные определения в русском языке отделяются с помощью тире, либо пишутся в скобках:
Например, TCG4 — организация глобальных промышленных стандартов — приняла схему DAA

Intel выполнил расширениее DAA, называемое Enhanced Privacy ID,2 в чипсете Intel P55 lbex Peak.

Модули доверенных вычислений (TPM) используют этот метод для анонимной аутентификации в порядке получения свидетельства об идентифицирующем ключе анонимного удостоверения издателя.
Здесь выражение "в порядке" никак не может стоять — мой парсер ломается (заменить на "для"?). В контексте абзаца, где это предложение упоминается, я его вообще понять не могу. Кто здесь "издатель"? Сколько сторон участвуют в процессе? Как вы называете каждую из сторон? В подобных предложениях можно угадать смысл после прочтения всего текста в сотый раз, решая "обратную задачу": каким должно быть истиное высказывание (текст), чтобы не противоречить ничему в расшифровываемом тексте. Ещё хуже, когда таким неясным языком пишут учебники (очень частый случай).

участник группы не может проверить

Однако,5 в анонимной аутентификации идентичность объекта, который хочет остаться анонимным в процессе аутентификации не может быть раскрыта в ходе обмена ключами.
Не понятно, что в точности имеется в виду под "раскрытием идентичности". Никто из группы не может сказать, кто именно опубликовал данное сообщение (за исключением доверенного?)? Или речь идёт об идентичности исключительно для процесса обмена ключами?

рассмотрена возможность использованиея сертификатов

Собственно, итог-то в чём? Пишется, что все протоколы основаны на DAA так или иначе, а там есть депонирование анонимности ("доверенный" может раскрыть анонимность), так? Значит оно есть и в DAA-SIGMA? Если так, то в чём смысл? Ведь депонирование анонимности, как я уже написал выше, — тривиальный способ.

Теперь несколько общих замечаний:
  1. Вред от неуместного обобщения. Допустим, нечто применимо для широкого класса случаев, и потенциально всё может быть изложено в "наиболее общем виде" — например, через громоздкие общие неудобовоспринимаемые формулы в математике или через излишне общие определения в русском языке. Минус таких обобщений в том, что они очень тяжело воспринимаются читателем. Для обхода этой трудности в обучающих материалах используется такой приём: вначале нечто объясняется на простейшем частном примере, затем — на чуть более общем, и лишь когда читатель ухватил основную идею, пишут в самом общем виде. В научных же материалах чаще делается так: излагается всё для умеренно общего случая, заведомо не самого общего, а в конце пишется: "обобщение изложенного метода на такой-то класс задач тривиален", или "для остальных случаев доказывается по аналогии". Применительно к обсуждаемой новости: вам не следовало вводить понятие "объект" — лучше бы вы всюду писали "пользователь", который ассоциируется с человеком и легко воспринимается читателем, который в момент чтения этих абстрактных абзацев пытается представить частный пример с группой людей, подходящий под описание; а в конце можно написать (а можно и не писать, т.к. это итак всем понятно), что человек может быть заменён машиной, или программой или ещё каким-то там TPM.
  2. Вред от использования синонимов. Когда вводится новое понятие, действительно уместно дать все его синонимы, используемые в литературе. Однако, в самом изложении лучше избегать синонимов: для читателя они новы, ему и так тяжело воспринимать массу новых терминов, а его ещё и их синонимами загружают. Я пока читал текст, много раз возвращался к началу, чтобы уяснить что и как было определено и что к чему синоним. Предлагаю всюду использовать устоявшиеся аббревиатуры, типа DAA.
  3. Определяющие существительные как паразиты. Что-то типа "cхемы метода модели атуентификации пользователя члена группы анонимной сети" (перекликается с проблемой "излишних обобщений", в то время как читателю и так ясно из контекста о чём конкретно идёт речь).

P.S.: unknown, ваши комментарии почти всегда достаточно понятны, но когда вы пишете новости или статьи, преображаетесь. Что с вами происходит? Подробный комментарий к таким новостям по размеру будет совпадает с новостью — это ненормально. Нужны какие-то толкователи-талмудисты, которые бы поясняли что же имелось в виду. Может быть, вам стоит писать больше для народа? Ведь цель — чтобы понимали, а не "ритуал презентативности". Мне хотелось вам всё это сказать ещё после публикации общей статьи по анонимным сетям, которая написана настолько тяжёлым и сложным языком, что для удобовоспринимаемости её пришлось бы менять почти полностью (редактировать большую часть предложений) — более-менее понятны в ней только те куски, которые уже изрядно обсуждались на форуме, типа главы про Tor. По поводу русского языка: чувствую, что после многократного чтения сайта уже и сам стал делать ошибки в тех местах, где раньше никогда их не делал. И напоследок: именно благодаря бесструктурному изложению материала я ничего не понимал на лекциях — вуз прошёл мимо меня :(

1Да? так написать протокол анонимной аутентификации с депонированием анонимности — тривиал, который любой может на коленке собрать, разве нет?
2Деепричастный оборот в русском языке всегда выделяется запятыми.
3TPM (Trusted Platform Module) — модуль доверенных аппаратных вычислений [советский способ перевода иностранных терминов на русский язык не увенчался успехом, не так ли? Что такое TPМ народ худо-бедно знает, а вот что такое "модуль доверенных аппаратных вычислений" — нет, так что расшифровку следует давать лишь для тех, кто совсем не в теме, а в самом тексте всюду использовать аббериватуру.]
4TCG (Trusted Computing group) — группа доверенных вычислений.
5Вводные слова в русском языке всегда отделяются запятыми с обеих сторон.
— Гость (29/08/2010 17:18)   <#>
Вдогонку:
Intel выполнил расширениее DAA, называемое Enhanced Privacy ID, в чипсете Intel P55 lbex Peak.
Точнее, причина второй запятой тут другая: это правый причастный оборот (стоит правее определяемого существительного), который всегда выделяется запятыми с обеих сторон.
— unknown (29/08/2010 17:59, исправлен 29/08/2010 18:06)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Произошло переполнение чьей-то чаши терпения. Ну где ж вы были раньше, пока процесс уже не принял практически необратимый характер?


По поводу косноязычия, избыточности, ужасного построения предложений и пунктуации — принимается. Мне это уже говорили, могу конечно в будущем поработать над собой, но на особо впечатляющий результат надеяться не стоит.


Теперь про остальное:


  1. В форуме больше разговорной речи, неформального изложения материала, взаимодействия со спрашивающими. Поэтому воспринимается легче.
  2. В работах такого рода авторы пишут текст часто предельно сжато, полагая, что читатель уже полностью знаком с терминологией в соответствующей области или он уйдёт по ссылкам читать соответствующие работы. Проработать все ссылки нереально. Я обычно догадываюсь или знаю в общем виде, на что опираются авторы (иначе вообще не пишу новость), но вносить своё толкование не хочу, так что на месте "логических провалов" — просто ссылки на соотв. работы.
  3. Всё больше новостей стало переводиться "как есть". В качестве конспекта актуальных препринтов. "Для себя" и на случай, если зададут на форуме вопрос про интересный протокол, чтобы поднять соотв. работу. А в таких работах авторы нередко сами довольно косноязычны (это не в качестве самооправдания). Во многих случаях, даже если они будут представлять работу специалистам в своей узкой области, там на рассмотрении будут "чесать репу" и думать над половиной предложений — что они хотели сказать/доказать.

По поводу TPM. Если не сказать, "модуль TPM", то предложение часто не построить из-за несклоняемости аббревиатуры и не вспомнить сходу, что это. А "модуль TPM" — это RAS-синдром.


Мне хотелось вам всё это сказать ещё после публикации общей статьи по анонимным сетям, которая написана настолько тяжёлым и сложным языком, что для удобовоспринимаемости её пришлось бы менять почти полностью (редактировать большую часть предложений)

Просто Epic Fail какой-то внезапный. Считал одной из лучших статей, в которой нужно строго придерживаться авторского языка и ничего менять там нельзя.


P.S. Новость возникла как ответ на openPGP для анонимов. То, что для соблюдения почти взаимоисключающих требований аутентификации и анонимности нужны специально разработанные протоколы. Их и разрабатывают, правда как оказывается больше в целях DRM.

— Гость (29/08/2010 20:01)   <#>
Ну где ж вы были раньше, пока процесс уже не принял практически необратимый характер?
Здесь был, здесь: /comment40433, /comment34635, /comment36557, /comment38585. Не нашёл только один наиболее информативный комментарий, где после очередной порции моих претензий к какой-то из ваших статей или к комментарию SATtva намекнул (и ещё кто-то поддакнул), что многие не говорят на русском ежедневно (не родной для них язык? иная страна пребывания?), и потому требовать от них безукоризненного языка — моветон. Основная претензия здесь не к косметике типа запятых или технических опечаток, которые были упомянуты лишь попутно, а к тому, что приходится несколько раз перечитывать, чтобы понять, а часто и это не помогает. Большая часть замечаний — ошибки уровня 6-7 класса, не выше, т.е. такого ученика в 8ой класс бы не перевели. Конечно, от взрослого, а тем более учёного, который много опытней 12-13летнего ребёнка и уже успел прочитать массу литературы, разумно ождать хорошего языка.

В работах такого рода авторы пишут текст часто предельно сжато, полагая, что читатель уже полностью знаком с терминологией в соответствующей области или он уйдёт по ссылкам читать соответствующие работы. ... Во многих случаях, даже если они будут представлять работу специалистам в своей узкой области, там на рассмотрении будут "чесать репу" и думать над половиной предложений — что они хотели сказать/доказать.
Да, это кризис научных публикаций, есть такое явление. Тем не менее, в почти любой статье первые 25-30% — краткое введение в тему и обзор, также отдельно пишутся обзорные статьи по теме, направленные на широкую аудиторию и понижающие "барьер входа в отрасль".

Я обычно догадываюсь или знаю в общем виде, на что опираются авторы (иначе вообще не пишу новость), но вносить своё толкование не хочу
А вот, ИМХО, зря не хотите. Мне понятны минусы такого толкования, но это наименьшее из зол. Как смысл лекции, семинара, обсуждения состоит в том, чтобы своими словами кратко рассказать суть предмета, не заставляя слушателя вникать в тонны литературы, так и смысл подобных статей должен заключаться в этом же. Пусть поймут не совсем правильно, но хотя бы как-то, чем не извлекут для себя ничего. В советской традиции это было не принято, а вот на западе очень популярны объяснения на пальцах, свободным языком. Даже на профессиональных конференциях, где сидят только специалисты, доклады делаются на уровне, пнятном среднестатистическому обывателю за вычетом каких-то мелких техдеталей. Доклад (а новости ближе к такому докладу, чем к строгой статье по смыслу) — способ прорекламировать результат, заинтересовать слушателя, "передать основной message", а не загрузить деталями. Кстати, может быть вы заметили, мои посты всегда очень многословны — иногда даже обвиняют в графомании; это как раз из-за стремления написать понятно, однозначно.

С другой стороны, если опустить все формализмы, "message для читателя" уместился бы в один абзац: сделали такой-то протокол для таких-то целей — теперь можно анонимно делать то-то и то-то и худо-бедно это обосновано; недостатки протокола такие-то. Хотите верьте, хотите нет, но я не могу сейчас написать такой абзац-экстракт из текста новости — не достаточно хорошо понял, либо не уверен в своих выводах.

предложение часто не построить из-за несклоняемости аббревиатуры
Что за вздор? Ну несклоняется и пусть не склоняется — это не нарушает никаких правил в предложении. Если сильно хочется просклонять, слоняйте: TPM, TPM'а, TPM'у, TPM, TPM'ом, о TPM'е. Гугл говорит о 86ти упоминаниях TPM в pgpru — т.е. целевая аудитория данной статьи итак прекрасно знакома с термином, а остальные и читать её не будут.

Считал одной из лучших статей
Она лучшая в плане востребованности и уместности на pgpru — безусловно. Я прочитал за раз, понял мало что. Местами технические грамматические перегрузки были настолько сложными, что решил себя не мучить попытками понять. И ещё одно замечание, забыл сказать: мне кажется, что вы часто стараетесь перевести как можно ближе к оригинальному тексту в ущерб литературности языка. Так не следует делать, т.к. это слишком затрудняет чтение, и почти не даёт никакого профита для читателя по сравнению с традиционным переводом. На буквальном переводе уместно писать "подстрочники" или пояснения каких-то тонких моментов, но переводить так весь текст — явный перебор.

Новость возникла как ответ на openPGP для анонимов.
Да я догадался :) Только интересующийся темой почему-то внимания на эту новость не обратил.
— unknown (30/08/2010 09:49, исправлен 30/08/2010 11:20)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Было предложено много схем групповых подписей, среди которых стоит отметить прямую анонимную аттестацию

Абзацем выше эти схемы были перечислены. Они уже отмечены вниманием и курсивом. Указано на их важность, поэтому логического провала нет.

Групповая подпись — депонирование анонимности. Да? так написать протокол анонимной аутентификации с депонированием анонимности — тривиал, который любой может на коленке собрать, разве нет?

Я бы не решился так утверждать, не рассмотрев до кучи полностью работу Дэвида Чаума, он всё таки основоположник сетевой анонимности, а работа опять же была опубликована в Advances in Cryptology. Там тривиал не публикуют. Есть тонкости.

Анонимные удостоверения — ... (кстати, я про них ничего в тексте не нашёл — это нормально?)

Да, авторы их не рассматривают. Только дают ссылки на работы. Точное (и даже приемлемо достоверное) определение анонимных удостоверений дать не могу. Опять же, при написании новости слишком возрастает число работ, с которыми нужно ознакомиться и привести из них выдержки. Это затратно по всем ресурсам: времени, объёму, усилиям.


Общий мессадж именно такой: на основании таких-то штук делается такой-то протокол. Т.е. с помощью криптографии можно делать и не совсем обычные вещи, нестандартные протоколы. Стоит ли разъяснять при этом все экзотические примитивы и подпротоколы, которые лежат в основе этого?


Например, группа доверенных вычислений (Trusted Computing group — TCG), организация глобальных промышленных стандартов, приняла схему DAA
Многословные определения в русском языке отделяются с помощью тире, либо пишутся в скобках

Так и написано в скобках. Я ими злоупотребляю для компактности и запаковывания многословности, но легко отделаться от этого не могу. Тире — ещё хуже. Они больше для разговорной речи. Оделить тире с двух сторон — это как-то слишком эмоционально получается — как разговорная речь, текст выступления, стихи (если ещё с рифмой), нет?


Модули доверенных вычислений (TPM) используют этот метод в порядке для анонимной аутентификации в порядке получения свидетельства об идентифицирующем ключе анонимного удостоверения издателя.

Здесь выражение "в порядке" никак не может стоять — мой парсер ломается (заменить на "для"?). В контексте абзаца, где это предложение упоминается, я его вообще понять не могу. Кто здесь "издатель"? Сколько сторон участвуют в процессе? Как вы называете каждую из сторон?

Заменено. А вот для чего конкретно используется протокол в интеловых железках — непонятно. Он в общем виде дан. Работа должна быть больше понятна тем, кто занят с DRM, а рассмотрения этого хотелось избежать.


Применительно к обсуждаемой новости: вам не следовало вводить понятие "объект" — лучше бы вы всюду писали "пользователь", который ассоциируется с человеком и легко воспринимается читателем

Они намеренно так написали в целях своей работы. Почти во всех остальных работах обычно пишут про "субъект" и это автоматом заменяется на "пользователь" или "лицо" при переводе. Здесь работа акцентирована на железках и авторы только намекают, что протокол может использоваться и для другого. В отличие от читателей сайта, анонимная аутентификация групп тайных сообществ их не волнует, хотя намёки они дают (p2p сети).


рассмотрена возможность использованиея сертификатов

Собственно, итог-то в чём? Пишется, что все протоколы основаны на DAA так или иначе, а там есть депонирование анонимности ("доверенный" может раскрыть анонимность), так? Значит оно есть и в DAA-SIGMA? Если так, то в чём смысл? Ведь депонирование анонимности, как я уже написал выше, — тривиальный способ.

Сертификаты — частный случай для иерархических структур. Для использования списков отозванных ключей, что нетривиально в аутентификации анонимных групп.


Собственно, итог-то в чём? Пишется, что все протоколы основаны на DAA так или иначе, а там есть депонирование анонимности

Из работы:

DAA может рассматриваться как специальная схема групповой подписи без возможности выслеживания.

А "возможность взаимной анонимной аутентификации" точно это исключает и может быть использована для построения самых неожиданных протоколов, но даже специалисты в этой области не смогут пока точно сказать каких именно.


Т.е. разнообразные возможности для сочетания аутентификации и анонимности есть. С их помощью можно создавать анонимные сети, прикручивать к TLS/SSL. Хотя в готовом виде это до конца и не проработано. Это и есть мессадж новости.


Работа авторов слишком специфична и на её основании показать это всё трудно без отсебятины или переводов кучи связанных работ и введения множества экзотических понятий. Нужно ли рассматривать все виды анонимной аутентификации? Так целый большой реферат получится по любопытной, но периферийной теме.


также отдельно пишутся обзорные статьи по теме, направленные на широкую аудиторию и понижающие "барьер входа в отрасль".

В криптографии/анонимности/стеганографии столько узких тем, что таких статей ничтожно мало.


Вот "Системы для анонимных коммуникаций" — редкая, почти уникальная обзорная работа. Не думаю, что она трудно воспринимается только из-за возможно плохого перевода. Там рассчитано, что всё равно читатель общие представления об анонимности имеет. Причём на уровне проводимых исследований. Более лёгких статей нет.


Ну также как если в статье используется понятие "слепая подпись", "однонаправленный сумматор", "знание с нулевым разглашением", то этих понятий могут не раскрывать, подразумевая, что если читатель берётся за такой материал, то он это знает, это устоявшиеся в определённой области термины. А кратко изложить по ссылкам с работы трудно.


Напомнило п.5 и п.6.


Как с этим поступать в новостях — не знаю. Чаще привожу как есть. Что полагаясь на "эти вещи" авторы смогли сделать "нечто", что в перспективе может использоваться для "того-то".


Читателю интересно знать, что "такие штуки существуют", но менее интересно знать про каждую деталь досконально. Если заинтересует, то будем подробно рассматривать или разбирать в форуме.


Это частности. Общий подход к переводам отчасти принимается и может обсуждаться.

— Гость (30/08/2010 14:45)   <#>
Абзацем выше эти схемы были перечислены. Они уже отмечены вниманием и курсивом. Указано на их важность, поэтому логического провала нет.
Провал есть. Выше было перечислено — да, но не сказано что одна из схем есть частный случай другой, а потому эти схемы по умолчанию отмечаются у читателя как разные (независимые). В обсуждаемом абзаце "Концепция схемы групповых подписей ..." первые 4 предложения явно, как и должно быть, относятся к групповым подписям. Соответственно, у читателя весь абзац отмечается, как посвящённых групповым подписям. И ВНЕЗАПНО в 5ом предложении ни с того, ни с сего пишется про какую-то DAA (для читателя на данный момент DAA и групповая подпись — разные методы). Конечно, в 6ом предложении объясняется, что про DAA написали, т.к. это лишь частный случай групповых подписей. Т.е. по логике вещей после 4го предложения сначало должно быть прочитано 6ое, а лишь потом — 5ое(!). В итогие абзац как минимум отнимает лишнее время (я понял подставу только когда уже пост начал писать, между прочим), и как максимум будет просто непонятен читателю. Вы в исходнике программы переставьте произвольные 2 строки местами и сразу вылезет ошибка — никогда не задумывались почему? Каждое следующее предложение-высказывание должно логически следовать из предыдущих, иначе получается окрошка.

Если вам трудно сразу писать в такой строгой форме, попытайтесь описать (хотя бы мысленно) всё в кванторах: Пусть дано то-то и то-то, из теоремы того-то известно про это; тогда (=>) имеем то-то. И т.д. Здесь слова "пусть", "следует", "допустим", "всегда", "для любого" — это кванторы, обозначаются матсимволами; любой логически связный текст можно (и тем более матдоказательство) изложить в кванторах. Я уже не знаю как это вам объяснить. Либо чувство языка и логики есть, либо его нет. Это может показаться мелкой косметикой, но именно из-за неё теряется смысл вообще во всём. Новость была опубликована ещё очень давно, никто не написал комментария — значит "вопросов нет", т.е. понятно либо всё, либо ничего. Вот, кстати, мнение со стороны — не моё, про эту новость:
Про перевод — ну да, у меня тоже сложилось впечатление наспех сделанного перевода. Т.е. стилистически это вообще не русский — ни литературный, ни технический, ни юридический и.т.д.

Я бы не решился так утверждать, не рассмотрев до кучи полностью работу Дэвида Чаума, он всё таки основоположник сетевой анонимности, а работа опять же была опубликована в Advances in Cryptology. Там тривиал не публикуют. Есть тонкости.
Вы могли бы объяснить почему? Допустим, есть доверенное лицо в группе, которое всех знает и перед которым нет никакой анонимности. Стороннее лицо обращается к доверенному, дабы оно подтвердило, что подпись сделана членом группы. Пусть для простоты между членами группы и доверенным налажена система PGP-подписи. Доверенное лицо сверяет подпись участника группы, и, если подпись валидна, убирает её, после чего подписывает сообщение уже своим ключом, отправляя результат стороннему лицу. Вот и всё.

Стоит ли разъяснять при этом все экзотические примитивы и подпротоколы, которые лежат в основе этого?
Здесь надо поступать по-македонски*: либо не лезть в потроха вообще и не грузить пользователя тонкостями терминологии, а лишь объснить смысл, либо же писать всё. Когда же пишется часть потрохов, возникают вопросы.

Так и написано в скобках. Я ими злоупотребляю для компактности и запаковывания многословности, но легко отделаться от этого не могу. Тире — ещё хуже. Они больше для разговорной речи. Оделить тире с двух сторон — это как-то слишком эмоционально получается — как разговорная речь, текст выступления, стихи (если ещё с рифмой), нет?
Да, первое определение было написано в скобках, второе — через запятые (вы же хотели сказать, что TCG — организация глобальных промышленных стандартов, так?). Через запятые тоже пишут, но для многословных определений и пояснений чаще используются скобки или тире (это пунктуация за 8ой класс, ЕМНИП). Я даже могу пояснить почему запятые здесь неудачны: это ведёт к неоднозначности. Может быть, то есть просто перечисление: две разные компании (TCG и какая-то "организация глобальных промышленных стандартов") приняли схему DAA — могу ли я так понять? Формально, да. Хороший стиль требует избегать неоднозначности толкования. Иногда через тире отделяют целые маленькие предложения-пояснения, и это наоборот считается хорошим стилем, разговорность здесь ни при чём. Смотрите здесь, 2ой пост, пункт 3; а также здесь, правило 174, пункт 2:
Старший урядник — бравый престарелый казак с нашивками за сверхсрочную службу — скомандовал «строиться». Перед дверями клуба — широкого бревенчатого дома — гостей ожидали рабочие со знаменами.

Здесь работа акцентирована на железках и авторы только намекают, что протокол может использоваться и для другого.
Ну тогда можно использовать "чип" или что-то подобное. Слова объект/субъект слишком общи, от них сразу веет какой-то философией и расплывчатностью, юридизмом, тем более когда объектов/субъектов много и читатель начинает путаться кто здесь объект, кто субъект и почему (например, я помню, что объект и субъект имеют разный смысл, но тонкости отличия сходу не припомню).

Сертификаты — частный случай для иерархических структур. Для использования списков отозванных ключей, что нетривиально в аутентификации анонимных групп.
Ну не суть. Т.е. всё-таки речь всё равно идёт о депонировании анонимности. И снова замечание: надо
Сертификаты — частный случай для иерархических структур, для использования списков отозванных ключей, что нетривиально в аутентификации анонимных групп.
Т.е. нельзя поставить точку там, где хочется! Каждое предложение — это логическая смысловая единица, в нём должны быть подлежащее и сказуемое. Где оные у вас во втором предложении? (Да, есть исключения из правила, безличные предложения и прочее, но то как специи для пищи, а не основа).

DAA может рассматриваться как специальная схема групповой подписи без возможности выслеживания.
Выслеживания кем? Сторонним лицом? Или доверенным лицом группы?

"возможность взаимной анонимной аутентификации" точно это исключает и может быть использована для построения самых неожиданных протоколов
Откуда у них реальная "взаимная анонимная аутентификация"? У них одно депонирование. Чего они на нём построят? У них нет самого "атома" протокола — того примитива, который делает всех членов группы анонимными перед всеми без исключений. Из того что написано, я вижу только такую перспективу: члены группы при общении с доверенным используют DAA, чтобы перенести доверие на другое лицо, с которым тоже потом можно использовать DAA, чтобы перенести доверие на третье лицо... и в итоге всё это будет эквивалентно одной группе и одному доверенному.

С их помощью можно создавать анонимные сети
С депонированием анонимности? :) Они ещё актуальны?

Хотя в готовом виде это до конца и не проработано. Это и есть мессадж новости.
Некоторое время назад была от вас новость на сайте про математику vs криптографию, где говорилось о сложившихся традициях публикации работ, и, в частности, отмечалось, что в математике принято публиковать работу, когда она сделана и доведена до ума, в отличие от криптографии. Наглядный пример.

Нужно ли рассматривать все виды анонимной аутентификации? Так целый большой реферат получится по любопытной, но периферийной теме.
С депонированием анонимности — нет, смысла нету. А вот добротные протоколы без депонирования как раз инетересны. Я понимаю, что сложно, но здесь нет промежуточных стадий: если протокол без депонирования есть, то он вероятно будет востребован в связке c Tor, для анонимных сообществ, аутентификации на форумах и т.д. Если же есть депонирование — оно никому в народе не надо (проприетарщики не в счёт).

Напомнило п.5 и п.6.
Да, я как раз на этот текст выше и хотел сослаться :)

Читателю интересно знать, что "такие штуки существуют", но менее интересно знать про каждую деталь досконально. ... что полагаясь на "эти вещи" авторы смогли сделать "нечто", что в перспективе может использоваться для "того-то".
У меня нет к этому никаких возражений, но вы хватанули такой "фронтир", что в итоге "использоваться где-то для того-то" превратилось в
может быть использована для построения самых неожиданных протоколов, но даже специалисты в этой области не смогут пока точно сказать каких именно.
Т.е. что-то типа "может использоваться на работе для работы работягой, пока не понятно какой именно работы" :) Я, как некриптограф, очень далёк от этой области, но... авторы прям вот так и пишут в научной статье? Типа "мы предложили классную вещь", "наверняка можно использовать много где, сами не знаем где". Может быть, не совсем так, и можно как-то понятнее объяснить какие практически интересные задачи их протокол (криптопримитив?) может решать, если случай депонирования анонимности вообще не в тему.

*Когда Александру Македонскому, изнемогающему от жажды со своим войском в пустыне, принесли немного воды, он сказал: "Мне этой воды много, а моему войску — мало", и приказал вылить её на землю.
— unknown (30/08/2010 16:14, исправлен 30/08/2010 16:22)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Даже если глянуть на викистатьи,


Direct_Anonymous_Attestation
Group_signature


то для построения анонимных сообществ больше годится кольцевая подпись:


Ring_signature


DAA действительно предназначен впервую очередь для выслеживания нарушителей DRM при сохранении приватности остальных и использовать его для построения анонимных сообществ неудачно.


Согласно работе, на которую ссылаются авторы "Trusted Computing: Providing Security for Peer-to-Peer Networks", DAA гарантирует анонимность пользователю в P2P сети, но привязывает его к TPM. Если его железо накроется, то накроются его данные (там обсуждаются возможности/сложности бэкапов). Выслеживание явно не описано, пользователь не знает секрет своего чипа, но за счёт этого он получает уникальный несменяемый псевдоним.


Переводилось как есть, абзац в абзац с авторами, что и позволило выявить несоответствие цели.
Подбор статьи к новости оказался неудачным. Лучше было бы сделать материал по действительно анонимным кольцевым подписям, и протоколам нацеленным на анонимность пользователя без требований закрытых решений и учёта копирайта, чем пытаться что-то выцепить из DRM-ных протоколов.


Даже если производители внедрят кристально честное TPM-решение без закладок в железе, протоколах и программах и не будут запрашивать секретные параметры чипа через секретные команды или получать уникальные данные от пользователя, а общаться только по анонимному протоколу, то всё равно большой шанс, что они сдадут список всех TPM-ключей "кому следует" и вскрыть секрет TPM-чипа можно будет простым перебором списка, а следовательно разрушить любой протокол.

— Гость (30/08/2010 19:45)   <#>
Ясно. Спасибо за объяснение.

шанс, что они сдадут список всех TPM-ключей "кому следует" и вскрыть секрет TPM-чипа можно будет простым перебором списка, а следовательно разрушить любой протокол.
Может я чего-то недопонимаю, но, как мне казалось, потенциально "секрет" любого чипа можно извлечь используя современную аппаратуру, хотя это может оказаться дорого [зато окупится, если у всех стоит один и тот же секрет (а именно этот случай, я так понял, рассматривается в вики-статье про DAA)].
— unknown (30/08/2010 23:54, исправлен 31/08/2010 00:27)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
окупится, если у всех стоит один и тот же секрет (а именно этот случай, я так понял, рассматривается в вики-статье про DAA

Это там приведено как наивное решение, помните публикацию одинакового для всех ключа для CSS/DVD?


Идея DAA в том, чтобы позволять TPM'у что-то делать, но не нарушать приватность. TPM не передаёт свой уникальный ID в подписи, а доказывает принадлежность к группе "хороших". И за плохое поведение его можно удалённо отключить, поместив в список отозванных/скомпрометированных, но (возможно, не уверен), сам список останется анонимным и привлекать за нарушения никого не будут (сами в сервис побегут и будут покупать новый TPM).


потенциально "секрет" любого чипа можно извлечь используя современную аппаратуру

А можно удалённо прослушать протокол и порушить TPM'ную анонимность в сети не приезжая к пользователю за взломом. Всё-таки секрет аутентификации по крайней мере там зашит уникальный, в отличие от того, что дорого использовать шифрование на индивидуальный ключ каждому, хотя и на это протоколы оптимизации есть. Не пройдёт чип аутентификацию — не получит данные по сети от сервиса.


Ясно. Спасибо за объяснение.

Спасибо всем, кто заметил недостатки изложения и помог мне развеять иллюзии на счёт протоколов, изначально предназначенных для TPM. Они родственны потенциальным протоколам организации анонимных сообществ, но привести такой протокол в качестве примера было ошибкой. Поскольку это смежные области, то за развитием нужно следить (также как за исследованиями по стеганографии внедрения водяных знаков защиты копирайта), но работы читать нужно внимательнее.


Кто оказался принципиальнее и поступил "по-македонски" — выиграл эту битву полемику. Признаю свои многочисленные ошибки. ;-)


P.S. Немного для самооправдания. Авторы действительно излагают идеи в своей работе (и аналогичных про TPM) так, чтобы отрекламировать свою заботу о приватности пользователя. Также, как это было в своё время с депонированным шифрованием (железка Clipper). Когда сталкиваешься с депонированной анонимностью (причём этот термин всячески маскируется и избегается), можно попасть в ловушку, если не быть таким же внимательным, как критики новости. Готовых отзывов о депонированной анонимности (у Шнайера там или EFF) и как её распознать не попадалось, поэтому интересно, что возможно мы первые обратили внимание на проблему.


P.S.S. Напомнило статью "Доводы в пользу квантового распределения ключей". Там критика тоже была интересней самой статьи.

— Гость (31/08/2010 02:55)   <#>
Спасибо всем, кто заметил недостатки изложения и помог мне развеять иллюзии на счёт протоколов
Пока кроме меня и вас никто поучаствовать в сраче дискуссии не решился :(

Признаю свои многочисленные ошибки. ;-)
Вам простительно — другие участники вообще почти ничего не публикуют фундаментально-теоретического на тему криптографии :-)

депонированной анонимностью (причём этот термин всячески маскируется и избегается)
Каков конвенциональный перевод этого термина на английский?

Готовых отзывов о депонированной анонимности (у Шнайера там или EFF) и как её распознать не попадалось, поэтому интересно, что возможно мы первые обратили внимание на проблему.
Мне кажется, что Шайер больше пишет о приватности, а не анонимности (это чуть разные степени одного и того же, ну или разные оттенки смысла, я бы сказал). EFF работает и над анонимностью, но проект пока молод, чтобы охватить всё. P.S.: мысль родилась: написать Шнйеру — пусть напишет в своём блоге про депонирование анонимности :)

[offtop]
Там критика тоже была интересней самой статьи.
И "критик" тот же, если вообще это уместно назвать критикой, скорее — вопросы из-за непонимания изложенного.
[/offtop]
— unknown (31/08/2010 10:53, исправлен 31/08/2010 11:04)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Enhanced Privacy ID — технология Intel.


Из работы:


Both DAA and group signatures are group-based anonymous signature schemes. That is, there is an issuer in both schemes who creates a group of members and a group public key. Each group member has an individual private key. A DAA signature or a group signature can be verified using the corresponding group public key. Group signatures are different from DAA in that group signatures can be opened by a trusted authority and the identity of the actual signer can be extracted, whereas DAA signature cannot be opened.

Вот ещё что интересного пропустил: в обеих схемах (групповые подписи и DAA) выпускающий создаёт группу и раздаёт всем закрытые ключи, но при этом открытый ключ у них будет одинаковый. При этом в групповой подписи выпускающий (издатель, issuer) может установить, кто сделал подпись, а в DAA (хотя есть разные варианты DAA) утверждается, что нет. Анонимность не совсем депонируется, выпускающий может только забивать кого-то в список исключённых.


Another important feature of DAA is revocation. A revocation method in DAA proposed in [8, 10] is called signature-based revocation, where the issuer can revoke a DAA signer without knowing the signer's private key. In this revocation method, the issuer put DAA signatures that are suspicious or involved in malicious transaction a revocation list denoted as sRL

Т. е. написал участник группы гадость, его из групы исключили, но он остался анонимным, выпускающий (управляющий) не знает кто это. И при блокировании и при любой транзакции персональный ID не раскрывается.


Однако, поскольку всё завязано на TPM, то надо делать какие-то выводы дальше, чем это чревато. Например, как упомянуто выше, можно ли использовать выпускающему данные всех приватных ключей для проведения MITM (домыслы).


A DAA scheme is secure if it is correct, user-controlled-anonymous, and user-controlled-traceable.

Анонимность с выпускающим группы — как-то так. Correctnes, User-Controlled-Anonymity, User-Controlled-Traceability — опять же, несмотря на то, что в работе дано формальное определение, неясно, может ли там быть подвох.


Допустим, есть доверенное лицо в группе, которое всех знает и перед которым нет никакой анонимности. Стороннее лицо обращается к доверенному, дабы оно подтвердило, что подпись сделана членом группы. Пусть для простоты между членами группы и доверенным налажена система PGP-подписи. Доверенное лицо сверяет подпись участника группы, и, если подпись валидна, убирает её, после чего подписывает сообщение уже своим ключом, отправляя результат стороннему лицу. Вот и всё.

Это proxy-signatures. Нужно интерактивно или пошагово взаимодействовать с кем-то для каждой транзакции и по анализу трафика (времени запросов) можно догадаться, кто это делает. Ну даже если анализ трафика затруднить — это будет что-то типа ремейлера. У Чаума каждый подписывается сам. Всем раздали ключи на группу (заметим, что разные, а не один общий расшаренный), а дальше подписывайся каждый сам сколько влезет — подпись будет групповой (неразличимой, одинаковой для наблюдателя) от разных закрытых ключей. Раздающий ключи правда может всех различить, а вот в кольцевых подписях нет и этого (и самого раздающего). DAA где-то посредине, да ещё и во множестве вариантов, не надо было описывать протокол, который непонятен, не изучив базовые работы.


Но всё-таки для анонимных сообществ более привлекательными выглядят кольцевые подписи:



In this paper we formalize the notion of a ring signature, which makes it possible to specify a set of possible signers without revealing which member actually produced the signature. Unlike group signatures, ring signatures have no group managers, no setup procedures, no revocation procedures, and no coordination: any user can choose any set of possible signers that includes himself,and sign any message by using his secret key and the others’ public keys, without getting their approval or assistance. Ring signatures provide an elegant way to leak authoritativ secrets in an anonymous way, to sign casual email in a way which can only be verified by its intended recipient, and to solve other problems in multiparty computations. The main contribution of this paper is a new construction of such signatures which is unconditionally signer-ambiguous, provably secure in the random oracle model,and exceptionally efficient:adding each ring member increases the cost of signing or verifying by a single modular multiplication and a single symmetric encryption.

"How to Leak a Secret", © Ronald L. Rivest, Adi Shamir and Yael Tauman



Возможно ещё однонаправленные сумматоры тоже перспективны. Можно ли использовать какой-то вариант DAA без TPM с управляемой выпускающим (но не депонированной) приватностью, под вопросом.

— Гость (03/09/2010 04:16)   <#>
Однако, поскольку всё завязано на TPM, то надо делать какие-то выводы дальше, чем это чревато. ... Можно ли использовать какой-то вариант DAA без TPM с управляемой выпускающим (но не депонированной) приватностью, под вопросом.
Да, согласен. Казалось бы, они в своём протоколе не используют закрытость и невскрываемость чипа TPM — тогда можно TPM заменить "вледельцем группы" или как-то так. Во всяком случае, то, как вы преподнесли теперь DAA, уже вызывает некоторый интерес :) Я думаю, по крайней мере, управляющий группой знает общее число членов группы.

the issuer put DAA signatures that are suspicious or involved in malicious transaction a revocation list denoted as sRL
Получается, что проверяющие должны ещё и за (публичным) списком отозванных "ключей" следить, хотя это не большое упущение.
— unknown (03/09/2010 14:01, исправлен 03/09/2010 14:04)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Это аналог бана на форуме. Там приведён пример, когда TPM-устройство посылает много запросов в единицу времени, что может квалифицироваться как попытка что-то взломать, за это его вносят в этот список. Опять же, статья действительно изначально мутная (несмотря на мой личный вклад в ухудшение смысла при переводе). Скорее всего пользователи в списке могут опционально (в зависимости от настроек протокола) оставаться анонимными (их переводят из группы анонимов, которым всё разрешено в группу анонимов, которые забанены — тогда им выгодно молчать и не высовываться) или владелец группы их раскрывает полностью. Но эти настройки контролируются пользователем во избежания злоупотреблений (что и рекламируется как сохранение приватности), так что можно сделать и без раскрытия.


TPM здесь точно нужен для того, чтобы пользователь не смог легко обзавестись новой анонимной идентичностью (создать новый псевдоним, включённый в анонимную группу). Больше не видно для чего он нужен.

— Гость (03/09/2010 15:34)   <#>
Вместо TPM какая-нибудь репутационная система не позволит легко обзаводиться новой полноценной идентичностью.
— Гость (03/09/2010 16:00)   <#>
В качестве репутационной системы (вместо TPM) также можно взять номера вебмани: хочешь новую идентичность — предъяви тикет на N рублей.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3