Re: PGP jest tak bezpieczne jak twoje zaufanie do administratora ?

Autor: Jacek Piskozub (piskozub_at_ucsd.edu)
Data: Sat 24 Mar 2001 - 23:24:29 MET

• Następna wiadomość: Gotfryd Smolik - listy dyskusyjne: "Re: PGP nie jest juz bezpieczne?"
• Poprzednia wiadomość: Gotfryd Smolik - listy dyskusyjne: "Re: Socjalistyczna wlasnosc domen Re: Nie ma wlasnosci nazw"
• W odpowiedzi na: Michal Zalewski: "Re: PGP jest tak bezpieczne jak twoje zaufanie do administratora ?"
• Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

Michal Zalewski wrote:

> On Sat, 24 Mar 2001, Jacek Piskozub wrote:
>
>
>> No niezupelnie. Do kompletu powinienes te tresci, ktore chcesz komus
>> wyslac zakodowane twoim kluczem produkowac na tym samym komputerze
>> "1000 m od sieci". I cywilizacji w ogolnosci. Bo co Ci przyjdzie z
>> klucza na dyskietce, kiedy Twoj email, juz w momencie jego pisania,
>> przechwytywany bedzie np. przez czytanie bufora klawiatury przez
>> rezydentna pluskwe? Lub chociazby odbior przez radio sygnalu
>> wysylanego do monitora (podobno mozliwez kilkudziesieciu metrow)?
>
>
> Hola hola. Jesli dobrze rozumiem, cala afera polega na tym, ze
> administrator (lub intruz posiadajacy prawa odczytu naszych plikow) jest w
> stanie mieszac z naszym kluczem nie znajac hasla. Jesli jednak trzymam
> klucze na serwerze, to kto - pytam, kto - zabroni mu modyfikacji aplikacji
> uzywanej do sygnowania tak by zapisala gdzies haslo czy w inny sposob
> funkcjonowala innaczej niz planujemy? Hasla do kluczy sa na ogol
> zabezpieczeniem takim sobie - jesli ktos ma uprawnienia, by je odczytac, w
> znacznej wiekszosci przypadkow bedzie w stanie tez wplywac na dzialanie
> uruchamianych aplikacji.
Wydaje mi sie, ze mowimy o tym samym. Potworne zabezpieczanie kluczy nic
i tak nie da gdy komputer i jest "compromised" (to znaczy gdy ktos
niewlasciwy ma do jego zasobow dostep, a juz szczegolnie fizyczny). Ale
patrzac na ten sam problem z drugiej strony, niezwykle skomplikowana
technologia kodowania kluczy jest niepotrzebnym wysilkiem, bo jesli ktos
ma dostep do twoich plikow, to moze dobrac sie do twoich tajemnic inna
droga (przyklady podalem w poprzednim postingu).

Zgadzamy sie?

A nawiasem mowiac z tego co zrozumialem z wszystkich metnych enuncjacji
na ten temat, nie chodzi o "odczytanie" hasla z pliku z kluczami
prywatnymi, a raczej jego zgadniecie metoda "brute force". To nie to
samo, ale jednak oczywiscie szybciej da sie to zrobic niz zlamac same
kodowanie o dlugim kluczu binarnym.

Jacek

• Następna wiadomość: Gotfryd Smolik - listy dyskusyjne: "Re: PGP nie jest juz bezpieczne?"
• Poprzednia wiadomość: Gotfryd Smolik - listy dyskusyjne: "Re: Socjalistyczna wlasnosc domen Re: Nie ma wlasnosci nazw"
• W odpowiedzi na: Michal Zalewski: "Re: PGP jest tak bezpieczne jak twoje zaufanie do administratora ?"
• Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:45:57 MET DST