> Там, вроде как, не про GitHub была речь, а про qwerty123-подобное поведение
> конечных пользователей и тупо публикацию своих логинов-паролей.Предыдущий себеседник, приводил пример, что если персона аутефицирована, то автоматом можно верить его ключам. Я привел пример, что в случае как на гитхабе - это не работает.
> При такой культуре IT никакая технологий не поможет защитить данные.
Не совсем, если бы PGP ключи использовались так же как в SSL, то потеря логина/пароля к эккаунту не позволила бы нарушения целостности подписаного проекта.
> А даже если бы утекали пароли из базы GitHub-а (что вряд ли),
> то они поддерживают двух-факторную авторизацию (в том числе по всяким Trezor-ам).
2FA авторизация тоже не панацея, уже была масса взломов эккаутов защищенных 2FA.
В общей массе 2FA привязывают к телефону и в случае его компроментации все накрывается ... ну вы знаете чем.
>> Где эта самая достоверность в PGP/GPG ?
> После того, как публичный ключ был аутентифицирован по сторонним каналам, PGP даёт
> достоверность автора сообщений (подписи) и безопасность содержимого от посторонних лиц
> (шифрование)
Вот именно это я и пытаюсь сказать. Проблема то в том, что никто не делает эту самую проверку в случаях как с гитовскими публичными репами или проверка достоверности мэйнтеров пакетов в OS-ях.
> Ну и стоит отметить, что в PGP есть Web-Of-Trust, и при грамотном
> приминении это тоже является инструментом аутентификации (когда доверенные лица произвели
> аутентификацию по сторонним каналам за вас, а вы уже используете этот
> результат).
Я вам скажу больше, что я сам наивно играл в Web-of-trust, посидеть в кафешки, поболтать с такими же чекнутыми фанатиками как и сам и сделать перекрестные подписи ключей... Это все работает к сожалению только для малых груп фанатиков-параноиков. Я же акцентирую на том, что даже эти механизмы не применяются в крупных проектах и мы слепо верим что очередной релиз какой нибудь OS и правда подписан теми за кого они себя выдают. Тоже самое относится к популярным гитхабовским проектам.
Как много вы там видели перекрестно-подписанных ключей?
Если раньше можно было еще покопаться на публичных PGP-key серверах чтобы найти правду, то сейчас эти сервера дышат на ладан, даже MIT очень часто падает в 503. Плюс отсутствие элементарной защиты емэйлов на таких серверах, отворачивают желание людей публиковать там ключи, ибо спамеры не спят
> Все известные мне активные пользователи инфраструктуры PGP ведут себя именно так. Жаль
> только, что таких мало.
Вот и я об этом же, что нас мало, а остальные, не побоюсь сказать - большинство, вообще не заморачиваются с проверками ключей, а свято верят в PGP, не понимая механизма его работы.
> Не понял вас. Под вопросами я имел в виду вопросы одного пользователя
> PGP-инфраструктуры к другому по сторонним/доверенным каналам (обычно IRL или посредством
> почты для которой уже проведена аутентификация ключа) на тему чему именно
> из этого доверять.
Мой самый первый пост относительно PGP:
Если PGP ключи перепроверены, переданы из рук в руки или на худой конец сверены по телефону, то все Ok. Если же этого не делать (что есть массово) то PGP - не работает, это тоже самое как просто свято верить...
> Элементарная MitM-атака? Это как? Как она становится элементарной? Просто провести атаку
> на BGP/DNS и PKI одновременно, чтобы перехватить письмо, в надежде, что
> его ещё пошлют зашифровав неверным ключом?
а кто по вашему делает MITM атаки?
Те, у кого есть техническая возможность. Это абсолютно нормальная практика в больших конторах для предотвращения утечек, я уж не говорю о товарищах майорах.
> Да, такие риски действительно присутствуют, но если мы говорим в контексте неграмотного
> использования PGP, то не такие уж они и высокие.
Ну это все относительно. Если чувак послал своей девушке PGP просьбу прислать пароль от ее инстаграма, то скорей всего он на фиг никому не нужен, а вот если что посерьёзней, так для этого есть 5 eyes и яровая.
