Autor: Grzegorz Szyszlo (znik_at_avalon.wbc.lublin.pl)
Data: Wed 03 Jan 2001 - 08:17:16 MET
Nastapilo wiele niedomowien, ktore niestety we wszystkich sa
utwierdzane takze przez dokumentacje. Wiekszosc tego postu
dotyczy klotni na temat:
1. co to znaczy klucz prywatny i publiczny. terminy klucz szyfrujacy
i deszyfrujacy nie budza watpliwosci, bo w przypadku sesji
szyfrowania partnerowi dawany jest jeden klucz, a w przypadku
podpisu elektronicznego (autentykacji) drugi klucz.
2. co to znaczy autentyfikacja przez klucze. otoz przez domniemanie
przyjmuje sie, ze klucze sluza do autentykacji. okazuje sie ze
autentykacja jest efektem ubocznym mozliwosci zdeszyfrowania
przychodzacej wiadomosci.
reszta w tekscie. ale tyle juz zostalo powiedziane, ze oprocz tego
co jest, nie mam nic do dodania :)
Jan Stożek wrote:
> A jesteś pewien, że to Cisco rzeczywiście stosuje szyfrowanie kluczem
> prywatnym/publicznym, a nie np. 3des z utworzonym ad hoc hasłem? Bo
> IPSec, o ile pamiętam, używa kluczy właśnie do potwierdzania
> tożsamości, a nie do szyfrowania.
do potwierdzenia tozsamosci takze jest uzywany 3des. poza tym o ile
mi wiadomo, 3des posluguje sie wlasnie idea klucza
publicznego/prywatnego.
> Zresztą - napisałem nieściśle. Oczywiście, można używać systemu
> klucza publicznego do szyfrowania, ale ze względu na złożoność
> obliczeniową może się okazać, że trzeba w tym celu dość radykalnie
> skrócić klucz.
i tak faktycznie jest. przy generowaniu pary kluczy sesyjnych, procesor
routera sie bardzo mocno obciaza. w czasie transmisji takze jest
niezle obciazony (przy 3des bo przy 1des jest spoko). wlasnie do tego
jest modul VPN ktory ma procesor zajmujacy sie
szyfrowaniem/deszyfrowaniem,
aby zdjac obciazenie z procesora glownego.
> > co do potwierdzenia tozsamosci. niezupelnie jest tak. kucz nie tyle
> > potwierdza tozsamosc,
>
> Przecież dalej napisałeś, że jednak tak.... przeczytaj dokładnie.
o jedny........ potwierdzenie tozsamosci jest efektem ubocznym braku
mozliwosci zdekodowania wiadomosci.
> > klucz prywatny jedynie szyfruje, do deszyfracji sie nie nadaje.
> > klucz publiczny tylko deszyfruje, nie da sie nim szyfrowac.
>
> Nadaje się i da się, bo to, który klucz jest prywatny, a który
> publiczny to czysta umowa - dla algorytmu są one całkowicie wymienne.
uech...... kluczem prywatnym nie da sie deszyfrowac wadomosci. te klucze
wzgledem siebie sa niewymienne i maja scisle okreslone przeznaczenie.
> Wiadomość zaszyfrowaną kluczem prywatnym będzie mógł odczytać każdy
> posiadacz klucza publicznego "od kompletu" (czyli teoretycznie każdy)
> - na tym przecież polega potwierdzenie tożsamości nadawcy (i podpis
> elektroniczny, btw): szyfruje się dokument (albo jego wyciąg, żeby
> było krócej) kluczem prywatnym, a pomyślne odszyfrowanie dokumentu
> (wyciągu) kluczem publicznym
no i tez sobie przeczysz :))) wczesniej napisales ze to umowa ktory jest
prywatny. a faktycznie tylko prywatnym szyfrujesz.
> oznacza, że nadawca jest tym, za kogo się
> podaje. Natomiast wiadomość poufną szyfruje się kluczem publicznym
> odbiorcy i tylko odbiorca - mając swój klucz prywatny - będzie mógł ją
> odczytać.
kluczem prywatnym jesli juz. poza tym do tego celu odbiorca generuje
sobie druga pare kluczy do takich zadan, inaczej traci swoja
autentycznosc.
> A poza tym w czasie kolejnych sesji jeżeli klucz publiczny serwera
> się zmieni albo zachowany klucz publiczny nie pasuje do klucza
> prywatnego serwera, to klient podnosi wrzask i ponownie pyta o zgodę
> na ściągnięcie klucza publicznego. Serwer chyba też może podjąć jakąś
> akcję w rodzaju odmówienia zgody na połączenie jeżeli klient zmieni
> swoje klucze. Tak przynajmniej jest w SSH (jest to element systemu
> zabezpieczeń utrudniający podszywanie się).
dokladnie tak jest.
> Ujawnienie klucza prywatnego po prostu nic nie daje.
jak to nic nie daje? daje innym mozliwosc wygladania tak, jak
prawowity wlasciciel klucza, czyli wlasciciel traci autentycznosc.
-- /===================================\ oOOo (C) Publikacja tego | http://avalon.wbc.lublin.pl/~znik/ \===\__/==\ artykulu lub jego | Grzegorz Szyszlo mailto:znik_at_wbc.lublin.pl | fragmentow w Gaz.Wyb. \==============================================/ surowo wzbroniona.
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Tue 18 May 2004 - 15:29:47 MET DST