Autor: Dariusz (dariusj_at_poczta.onet.pl)
Data: Sun 25 Mar 2001 - 12:36:27 MET DST
> Chyba czegoś nie rozumiesz. Niby dlaczego wojsko miałoby dać solidną
> gwarancje czegoś co wychodzi na to, że i inni nie mogą dać ?
> Jakim niby cudem te gwaracje maja być bardziej solidne od codziennej wręcz
> przy śniadaniu weryfikacji samego kodu ?
To przeciez jest trywialne.
Istotny jest zakres odpowiedzialnosci.
W pracy grupowej w internecie, odpowiedzialnosc kazdego czlonka grupy
jest zadna.
To jest dzialalnosc non-for-profit, czyli spoleczna, z powodow
ambicjonalnych.
Czy naprawde uwazasz, ze samochod zaprojektowany i wyprodukowany grupowo
przez internautow bedzie lepszy, mniej palik, byl bardziej bezpieczny
niz samochod wyprodukowany w fabryce ?
> Co Ci po gwaracji skoro w razie wpadki wojsko nie wypłaci Ci i tak
> odpwiedniego odszkodowania za poniesione straty ?
Bo tych strat nie bedzie, bo produkt bedzie klasy profesjonalnej,
a nie amatorskiej.
(przy open rozwiżaniu niby
> też ale przynajmniej masz osobistą kontrolę nad tym czego używasz).
Nie mam zadnej kontroli. To jest jedynie mit otwartosci.
Znajdz mi w Polsce 10 osob ktore analizowaly algorytmy, kod PGP GnuPG
i zamierzaja to czynic w przyszlosci.
> Dlaczego wosku miałbym bardziej wierzyć niż grupie ludzi publicznie
> dostępnych, których prace są przynajmeniej teoretycznie weryfikowanelne ?
To proste.
Praca grupowa zwalnia od odpowiedzialnosci indywidualnej.
> Przecież to też ludzie .. tak samo omylni czy też narażeni na pokusy.
Ale podlegajacy rygorom pracy zawodowej i odpowiedzialnosci sluzbowej,
ludzie ktorzy sa placeni na konkretna prace i ktorych mozna rozliczac z
wykonanej pracy.
>
> Łel .. to w takim razie dlaczego to się nie przyjęło na taką skalę jak PGP ?
To jest oczywiste.
Gdybys przeczytal pelny draft X.509 to bys zrozumial ze to jest
budowanie struktury administracyjnej obok stroktury administracji
panstwowej.
Nie mozna budowac i panstwo nie powinno dopuszczac budowy struktur
zaufania, nie poddajacych sie jakiejkolwiek kontroli.
Struktura zaufania typu CA istnieje od setek lat i nazywa sie
kancelaria notarialna.
Jezeli sprawdzila sie przez dziesiatki lat, to nie nalezy tworzyc
struktury pseudo-zaufania , opartej na komercyjnych spolkach
realizujacych zadania CA wynikajace z X.509.
Ja naprawde nie widze powodu dlaczego mialbym miec zaufania do spolki
A222 czy B333, tylko dlatego ze uzyskala jakies uprawnienia.
Przeciez autorzy X.509 wyraznie zastrzegaja sie i podkreslaja, ze
pomyslnosc X.509 opiera sie na zaufaniu uzytkownikow do CA.
Aniby dlaczego ma powstac jakiekolwiek zaufanie do prywatnych podmiotow
gospodarczych i czemu, gdy zaufanie pozostaje przy sadach, notariuszach.
Panstwowa struktura administracyjna daje bardzo wysoki komfort
bezpieczenstwa i stabilnosci, a poza tym jest prawnie umocowana od lat i
testowana. X.509 buduje nowa infrastrukture, obok administracji.
Kto zapewni srodki na jej dlugotrwale i bezpieczne funkcjonowanie ?
> Czy przypadkiem nie są tu kluczowe kwestie zauwfania i rozsądnego sposobu
> weryfikacji całośći ? (kosztów wykonywania tych operacji itd.)
Autorzy X.509 jednak wyraznie podkreslaja, aby zaufac tylko wtedy, gdy
sie ma pelne zaufanie.
A do czego w infrastrukturze X.509 mozna miec pelne zaufanie i niby
dlaczego ?
Powstal grupowy projekt i to wszystko.
Rownie dobrze inny projekt moglby zostac opracowany w Polsce, czy
Niemczech.
I trudno z gory powiedziec czy lepszy czy gorszy.
Po prostu inny.
Podsumowujac.
Grupowa praca nad narzedziami kryptograficznymi stanowi zaprzeczenie
sensu istnienia kryptografii.
Producent sejfow bankowych nie produkuje sejfow prowadzac grupowe
dyskusje w internecie.
Wszystko co jest dobre to jest poufne i objete tajemnica,
co jest niehandlowe, nie ma wartosci dodanej, jest publikowane w
internecie.
Oczywiscie szanuje odmienne opinie, ale podam przyklad na czym polega
praca grupowa np. nad Linuxem.
Gdy szukalem sterownika do karty telewizyjnej, obslugujacej teletext
to jeden z czlonkow zespolu mi odpowiedzial zebym sobie sam pokombinowal
z kodem, bo teraz nie ma czasu i nie planuja opracowania sterownika w
ciagu najblizszego roku.
I cenie go za szczerosc.
Praca grupowa to jest nadal czyn spoleczny, ale nawet juz bez
kierownika. Ludzie robia co chca, kiedy chca i ile chca.
Jak im sie znudzi to odchodza, zastepowani przez innych.
I tak dziala sie w strukturach non-for-profit.
Ale zeby na tym opierac bezpieczenstwo transakcji internetowych,
bezpieczenstwo wlasnych finansow, przyszlosc rozwoju swojej firmy,
to jest to duza nieroztropnosc.
Zatem pierwsze co trzeba wykazac to to , czy praca grupowa
non-for-profit prowadzi do lepszych wynikow niz praca zaplacona, w
strukturze firmy.
Doswiadczenie od lat wykazuje jednak, ze struktura powstala w wyniku
pracy grupowej ulega przeksztalceniu w strukture pracy for-profit
i na bazie pracy grupowej powstaje spolka ktora komercyjnie realizuje
plany, projekty z pracy grupowej.
I to jest naistotniejszy obstacle.
Dlaczego ktos ma pracowac w grupie za frico na 100% wydajnosci,
gdy potem inna grupa skomercjalizuje produkty i na nich zrobi duza kase,
nie oplacajac czlonkow otwartego projektu.
Dlatego nie widze powodzenia dla X.509 i PGP czy GnuPG, o ile
ochrony,bezpieczenstwa, zaufania i finansowania nie zapewnia struktury
panstwowe.
W historii kryptografii infrastruktura klucza publicznego stanowi tylko
jeden z tysiecy pomyslow, ktory bardziej lub mniej, poddal sie
rozpowszechnieniu lub wdrozeniu.
Dariusz
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:45:58 MET DST