forum.opennet.ru

Составление сообщения

Исходное сообщение

"Представлен более эффективный метод определения префиксов ко..."
Отправлено anonymous, 15-Май-19 20:20

> Здесь в соседней новости про взлом Github-овских экаунтов...
> Помогла аутентификация?
Там, вроде как, не про GitHub была речь, а про qwerty123-подобное поведение конечных пользователей и тупо публикацию своих логинов-паролей.
При такой культуре IT никакая технологий не поможет защитить данные.
А даже если бы утекали пароли из базы GitHub-а (что вряд ли), то они поддерживают двух-факторную авторизацию (в том числе по всяким Trezor-ам). А даже если бы этот механизм был дискредитирован, то это лишь говорит о том, чтобы не использовать GitHub для этих целей (каждый сам управляет рисками и надёжностью какого-либо метода аутентификации).
В общем, IMHO, плохой пример :)
> Где эта самая достоверность в PGP/GPG ?
После того, как публичный ключ был аутентифицирован по сторонним каналам, PGP даёт достоверность автора сообщений (подписи) и безопасность содержимого от посторонних лиц (шифрование)
Ну и стоит отметить, что в PGP есть Web-Of-Trust, и при грамотном приминении это тоже является инструментом аутентификации (когда доверенные лица произвели аутентификацию по сторонним каналам за вас, а вы уже используете этот результат).
> И много вы знаете реальных людей, которые вообще смотрят за ключами и добросовестно сверяют с публичными key серверами сколько там ключей? Это хорошо если они там вообще опубликованы.
Все известные мне активные пользователи инфраструктуры PGP ведут себя именно так. Жаль только, что таких мало. Я сам являюсь самым халатным пользователем PGP из данного локального окружения, как мне кажется, но даже я проверяю при поиске/добавлении новых ключей.
> Вот именно, что кроме вызывания вопросов, текущая культура примения PGP ключей не вызывает больше ничего.
Не понял вас. Под вопросами я имел в виду вопросы одного пользователя PGP-инфраструктуры к другому по сторонним/доверенным каналам (обычно IRL или посредством почты для которой уже проведена аутентификация ключа) на тему чему именно из этого доверять.
> Элементарная MITM атака и прийдет пушистый, белый арктический зверек
Элементарная MitM-атака? Это как? Как она становится элементарной? Просто провести атаку на BGP/DNS и PKI одновременно, чтобы перехватить письмо, в надежде, что его ещё пошлют зашифровав неверным ключом?
Да, такие риски действительно присутствуют, но если мы говорим в контексте неграмотного использования PGP, то не такие уж они и высокие. Для людей, кому действительно важно сократить риски, могут тупо грамотно применять PGP, а не слать что попало куда попало и как попало.

Исходное сообщение
"Представлен более эффективный метод определения префиксов ко..." Отправлено anonymous, 15-Май-19 20:20
> Здесь в соседней новости про взлом Github-овских экаунтов... > Помогла аутентификация? Там, вроде как, не про GitHub была речь, а про qwerty123-подобное поведение конечных пользователей и тупо публикацию своих логинов-паролей. При такой культуре IT никакая технологий не поможет защитить данные. А даже если бы утекали пароли из базы GitHub-а (что вряд ли), то они поддерживают двух-факторную авторизацию (в том числе по всяким Trezor-ам). А даже если бы этот механизм был дискредитирован, то это лишь говорит о том, чтобы не использовать GitHub для этих целей (каждый сам управляет рисками и надёжностью какого-либо метода аутентификации). В общем, IMHO, плохой пример :) > Где эта самая достоверность в PGP/GPG ? После того, как публичный ключ был аутентифицирован по сторонним каналам, PGP даёт достоверность автора сообщений (подписи) и безопасность содержимого от посторонних лиц (шифрование) Ну и стоит отметить, что в PGP есть Web-Of-Trust, и при грамотном приминении это тоже является инструментом аутентификации (когда доверенные лица произвели аутентификацию по сторонним каналам за вас, а вы уже используете этот результат). > И много вы знаете реальных людей, которые вообще смотрят за ключами и добросовестно сверяют с публичными key серверами сколько там ключей? Это хорошо если они там вообще опубликованы. Все известные мне активные пользователи инфраструктуры PGP ведут себя именно так. Жаль только, что таких мало. Я сам являюсь самым халатным пользователем PGP из данного локального окружения, как мне кажется, но даже я проверяю при поиске/добавлении новых ключей. > Вот именно, что кроме вызывания вопросов, текущая культура примения PGP ключей не вызывает больше ничего. Не понял вас. Под вопросами я имел в виду вопросы одного пользователя PGP-инфраструктуры к другому по сторонним/доверенным каналам (обычно IRL или посредством почты для которой уже проведена аутентификация ключа) на тему чему именно из этого доверять. > Элементарная MITM атака и прийдет пушистый, белый арктический зверек Элементарная MitM-атака? Это как? Как она становится элементарной? Просто провести атаку на BGP/DNS и PKI одновременно, чтобы перехватить письмо, в надежде, что его ещё пошлют зашифровав неверным ключом? Да, такие риски действительно присутствуют, но если мы говорим в контексте неграмотного использования PGP, то не такие уж они и высокие. Для людей, кому действительно важно сократить риски, могут тупо грамотно применять PGP, а не слать что попало куда попало и как попало.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру