Autor: Dariusz (dariusj_at_poczta.onet.pl)
Data: Sat 24 Mar 2001 - 18:28:51 MET
> Im tutaj chodziło o komercyjne NAI PGP, które zawierało m.in. funkcje
> odzyskiwania klucza (key recovery) i oczywicie było sprzedawane bez
> ródeł.
Nie chodzilo im o komercyjne NAI PGP,
ale o PGP Zimmermanna z niekompletnymi zrodlami.
(odsylam do zrodla)
>
> GNU PG było rozwijane od paru lat zanim dostało wsparcie rzšdowe.
O tym wszyscy wiemy, ale finansowanie przez rzad to sa miliony zywej
gotowki dla zespolu.
Z tego
> sprzedawania w sklepach też chyba nic na razie nie wyszło, tzn. nie ma
> żadnych znaków żeby GNU PG miało ewoluować w projekt komercyjny.
Ty sie pytasz, czy odpowiadasz ?
To co napisalem to jest komentarz autorow a nie moj.
>
> Z tego samego powodu projekt GNU PG wystartował w Niemczech i w fazie
> rozwoju nie przyjmowano żadnego kodu od Amerykanów (bo znów byłyby jaja
> z eksportem z USA).
To zrozumiale.
GnuPG ma stac sie niemieckim produktem do sprzedazy w Europie dla
bezpiecznego internetu, bez backdorsow .
>
> Standardem bezpieczeństwa poczty w Internecie promowanym oficjalnie jest
> raczej S/MIME i cała infrastruktura X.509.
Mowisz o probie zbiurokratyzowania kryptografii opartej na kluczu
publicznym.
Ale gdy przecztasz w calosci X.509 czy S/Mime, to zauwazysz, ze
to jest nadal bardzo proste, tyle ze usiluje robic wrazenie
rozbudowanej struktury biurokratycznej.
I mysle ze X.509 nie jest odpowiednim standardem na warunki europejskie.
Nie uwzglednia logistyki.
Dlaczego mam uznawac certyfikaty, klucze publiczne on-line czy off-line,
gdy przy kazdej waznej transakcji handlowej w obrebie kraju, moge w
ciagu 1 dnia i placac 200 zl za benzyne, zweryfikowac autentycznosc
kazdego kluczu w jednym osrodku.
Dlaczego niby nam wierzyc jednej z kilkunastu CA, gdy ich nie znam, ani
nie wiem czy przetrwaja rok czy 5 lat.
Dla mnie CA VeriSign czy RSA naprawde niewiele znacza, gdy bezposrednio
nie sprawdze jak pracuja, co robia, jakie maja plany i kto ich
finansuje.
PGP jest natomiast majšcym
> już prawie 10 lat standardem de facto, raczej bez szans na uwzględnienie
> przez ustawy itp. I pewnie tym standardem pozostanie tam, gdzie nie
> opłaca się wprowadzać X.509, lub gdzie na jego wprowadzenie nie pozwala
> brak zaufania do komercyjnych implementacji X.509.
Nie tyle implementacji, ile administracji X.509.
Np. gdybym miał do
> wyboru używać jakiegokolwiek amerykańskiego oprogramowania szyfrujšcego
> bez ródeł albo PGP, to wybrałbym to ostatnie.
Przeciez GnuPG wyraznie sie powoluje na brak kompletnych zrodel do PGP i
opiera na tym finansowanie przez niemieckie ministerstwo.
A poza tym, czy ktokolwiek te zrodla czyta i analizuje, poza samymi
zainteresowanymi >?
Proste twierdzenie matematyczne, napisane w kilku linijkach moze zajac
tygodnie na udowodnienie, a gdy ktos bedzie znal zapis algorytmu w
kodzie czy nie, to co to zmieni.
Mnie sie wydaje, ze czlonkom zespolow wokol kryptografii klucza
publicznego, brakuje przekonania i zaufania, ze te procedury
kiedykolwiek beda bezpieczne.
I znow powracamy do najbezpieczniejszego sejfu na swiecie, bo z
zamknietymi w srodku kluczami.
Patrze na nazwiska osob pracujacych dla poszczegolnych projektow i
wiekszosc jest mi nieznana, nie wiadomo skad sie wzieli, gdzie pracuja,
czemu sie akurat tym zajmuja i z czego sie utrzymuja.
Razi mnie ten demokratyzm, to kolektywna praca, to publikowanie
wszystkich materialow.
Po co na co i dlaczego ?
Standardem w kryptografii byla tajemnica sluzbowa,
a tutaj setki przypadkowych osob pracuja zespolowo nad czyms, co ma
chronic wielu innych i codziennie moge przeczytac o stanie ich prac,
czytac zapisy dyskusji, referaty z konferencji itd.
Widac slabosc koncepcji i slabosc finansowania.
Co innego Linux wedlug licencji GNU z Free Software Foundation.
To jest system operacyjny.
Ale zeby publicznie codziennie dyskutowac o kryptografii i pokazywac
swoje braki, to tego nie rozumiem.
Chcialbym aby kryptografia powrocila do wojska i wojskowi opracowali
standardy, za ktore beda reczyc i gwarantowac bezpieczenstwo
a produkt bedzie komercyjny i bezpieczny.
Przeciez jak wojsko projektuje nowe rakiety, bomby, to nie zaprasza
internautow do dyskusji, nie publikuje codziennie informacji w
internecie.
Dlatego uwazam ze bledne sa zalozenia pracy grupowej nad produktami
kryptograficznymi.
Albo nie ma zapotrzebowania na rynku i nikt nie chce tego finansowac,
albo panuje taka niemoc, ze nie znalazl sie osrodek, ktory samodzielnie
mogl to opracowac.
Praca grupowa, demokracja w kryptografii jest podstawowym bledem.
Publiczny projekt infrastruktury klucza publicznego Internet X.509
z pewnoscia jest pokazem, jak nie nalezy pracowac nad produktami
kryptograficznymi.
Dariusz
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:45:57 MET DST