Autor: Krzysztof Halasa (khc_at_intrepid.pm.waw.pl)
Data: Mon 02 Apr 2001 - 14:41:00 MET DST
"Vizvary II Istvan" <vizys_at_poczta.onet.pl> writes:
> > Jakiego klienta?
>
> Jakbys nie zauwazyl, moja uwaga dotyczyla zdanie, ze AUTORZY PGP od poczatku
> zwracali uwage ... Komu zwracali uwage ? Sobie ?
Autor PGP byl, o ile pamietam, jeden.
Nie slyszalem by sprzedawal PGP.
Zwlaszcza jesli poczatkiem nazwiemy kilka pierwszych lat - pozniej
istotnie PGP bylo takze sprzedawane, ale mysle ze ilosc sprzedanych
licencji byla nieporownywalnie mniejsza od ilosci uzywanych licencji
darmowych.
> Nie ma roznicy. HD,CD,FDD. Z kazdego trzeba pobrac klucze, sa mozliwe do
> kopiowanie i obrobki na spokojno. Amatorszczyzna.
Raczej skalkulowane ryzyko. Jesli kopiowanie jest niezbedne, to od tego
nie da sie uciec.
> Temat bardzo skomplikowany, wielowatkowy. Nie mam czasu rozwinac. Nie wiem
> rowniez dlaczego Linux nie moze korzystac rownie latwo jak robi to MS we
> wszystkich Windowsach.
Nie znam Windows na tym polu.
> Odpowiednie drivery (i do czytnikow i do kart) niby
> istnieja, Nestcape rowniez potrafi certyfikaty X509 wykorzystac. Coz jednak
> chyba przeszkadza, jesli moi koledzy, zapaleni zwolennicy Linux'a a
> jednoczesnie zaawansowani karciarze twierdza ze nie moze.
Znam jednak Linuxa (chociaz zaczalem go uzywac juz po dolozeniu do niego
stosu TCP/IP, wiec moge miec pewne braki). Moge Cie zapewnic, ze Linux
nijak nie przeszkadza w uzywaniu kart. Klopot moze byc oczywiscie
np. z driverami.
Netscape to bym do tego raczej nie mieszal, polaczenie produktu ktory
nie pofrafi weryfikowac podpisywanych/itp tresci z produktem ktory
ma dluga historie pozwalania na rozmaite ingerencje z zewnatrz (prawie
dorownujac IE) moze dac bardzo niebezpieczna mieszanke. Zwlaszcza, jesli
"klient" bedzie przeswiadczony ze jest to bezpieczne, i bedzie uzywal
tego do czegos wiecej niz ukrywania korespondencji z kochanka.
> >Naprawde
> > zwiekszenie bezpieczenstwa daje dopiero uzywanie osobnego urzadzenia
> > kryptograficznego (ktore jest w stanie m.in. pokazac uzytkownikowi co
> > ten za chwile podpisze, a takze np. umozliwic przygotowanie tekstu do
> > zaszyfrowania).
>
> Drogie to, ale na pewno bezpieczniejsze. Uwazasz ze jesli prezydenta USA nie
> stac bylo rok temu, to w ciagu najblizszych lat przecietnego obywatela lub
> podatnika bedzie stac?
O czym Ty piszesz?
Glupawe notesy (mieszcza sie w kieszeni, choc sa wieksze od karty ISO)
pozwalaja na zabezpieczenie ich haslem (to taki PIN, tylko moze lepszy),
mozna im wpisac soft ktory bedzie robil szyfrowanie/podpisywanie wraz
z edycja wiadomosci, i nie kosztuje to wiecej niz tygodniowa pensja
prezydenta USA. Zaszyfrowana/podpisana wiadomosc mozna wyslac przez RS232
lub przez IrDA (w tej fazie podsluch nam juz nie grozi, nie?).
Oczywiscie, taki notes mozna rozmontowac i probowac wyciagnac z niego
informacje (kto wie jak to jest szyfrowane?), albo przynajmniej podmienic
notesy i niech ten drugi transmituje haslo wpisane z klawiatury.
Przeciwko kartom jest jednak wiecej atakow, a raczej sa one bardziej
praktyczne.
Chociaz masz czesciowo racje - przecietnego obywatela swiata zapewne
nie stac na takie urzadzenie. Indie i Chiny maja > 1 mld mieszkancow,
to moze pogarszac statystyke. Przypuszczalnie przecietnego Polaka
tez na to (dzisiaj) nie stac, z drugiej strony taki przecietny Polak
nie potrzebuje czegos takiego.
> Brak mozliwosci backupu jest w niektorych zastosowaniach przeszkoda
> eliminujaca kart z wenatrz generowanymi kluczami. Czasami nie przeszkadza.
Czasami - oczywiscie. Ale w wiekszosci zastosowan (powaznych, gdzie nie
mozna pozwolic sobie na utrate klucza) jest to zasadniczy problem.
> Mi ostatnio zniszczyla sie karta z dwoma certyfikatami, raczej istotnymi.
> Nawet nie musialem zastrzec, bo "same sie zastrzegly". Tyle ze byly one
> wykorzystane tylko do podpisu i kodowania poczty.Gdybym wykorzystal je do
> kodowania dysku, mialbym przerabane. I tak kilka listow kodowanych na te
> certyfikaty nie moge odczytac, bo rzada wlozenie karty :-((
Otoz to.
Karty (takie jakie one dzisiaj sa, czyli bez interfejsu uzytkownika)
niewatpliwie sa najlepsze do srednio-powaznych rzeczy, takich jak jakies
tam przelewy na male sumy czy szyfrowanie niezbyt istotnych listow.
Trudno wymagac by np. ktos, kto ma srednio 500 zl na koncie bankowym,
kupowal drozsze niz te 500 zl urzadzenie kryptograficzne, zas oczywiscie
na karte za pare dolarow go stac (i jest to sensowne). Nie mozna jednak
twierdzic ze taka karta jest w ogole lepsza/bezpieczniejsza, zwlaszcza
jesli nie bierzemy pod uwage cen obu urzadzen.
A tak w ogole, to nie ma urzadzen calkowicie bezpiecznych. Wszystko
jest w porzadku, jesli uzytkownik jest swiadomy niebezpieczenstw
zwiazanych z uzywaniem takich rzeczy. W przypadku oprogramowania
sciagnietego z sieci zapewniac to powinien odpowiedni dokument
opisujacy takie niebezpieczenstwa, w przypadku rozwiazan komercyjnych
powinien to robic sprzedawca/producent. W przeciwnym przypadku
beda i caly czas sa przypadki, ze ktos uzywa np. najprostrzej pastylki
Dallasa jako klucza (do garazu itp), nie bedac swiadomym, ze podrobienie
takiej pastylki jest trywialne.
-- Krzysztof Halasa Network Administrator
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:46:51 MET DST