Comments | arkanoid: Про PKI

arkanoid

Про PKI

Oct 11, 2010 15:03

Не знаю, для кого я это пишу. Мне кажется, что те, кто знает основы функционирования инфраструктуры публичных ключей и так в курсе, а остальным это неинтересно и непонятно. Однако, vitus-wagner меня спровоцировал на этот пост своим утверждением, что концепции PKI не укладываются у людей в голове и сурово осуждал использование самоподписанных сертификатов, как ( Read more... )

computers, security, itblogs

Comments 39

pustota1 October 11 2010, 11:08:17 UTC

А откуда дровишки про Etisalat?

arkanoid October 11 2010, 11:13:02 UTC

Да ты чо, известный скандал, гуглится по Etisalat spyware :-) Лично я у Шнаера увидел.

pustota1 October 11 2010, 11:16:45 UTC

Один и тот же скандал может быть известен разным людям под разным углом :-).
Я ведь не даром на BBC ссылки давал.

arkanoid October 11 2010, 11:33:14 UTC

Когда я это писал, я в основном читал обсуждения в mozilla.dev.security.policy . А есть какие-то еще важные нюансы, которые я мог упустить?

Thread 7

legolegs October 11 2010, 11:22:32 UTC

Когда в университете нам рассказывали про идею этих сертификатов (а я уже до того был знаком с PGP) я никак не мог понять: то ли я то-то не понимаю, то-ли система дурацкая. Теперь вроде забрезжил свет понимания, спасибо.

_slw October 11 2010, 11:26:05 UTC

Кстати, говорят, в некоторых смартфонах от доверия конкретных приложений или даже доступа к wifi публичным рутам так просто и не откажешься.
не пропарсил.

arkanoid October 11 2010, 11:30:00 UTC

Если сертификат WiFi сети подписан от публичного CA, очень сложно объяснить, что не надо такую сеть считать доверенной и искать в ней свой radius чтобы выложить там свои пароли.

_slw October 11 2010, 11:32:46 UTC

у wifi сети бывает сертификат?!

arkanoid October 11 2010, 11:37:02 UTC

Ну да, еще скажи, что никогда не видел!

Thread 10

mcmurphy October 11 2010, 11:35:33 UTC

Очень познавательно. В очередной раз убедился - если непонятно, зачем это наворочено, значит внутри скрыта какая-то хрень.

msh October 11 2010, 12:14:18 UTC

Ну так уже всем стало очевидно, что построенная для веба инфраструктура сертификатов - это fail. Поэтому на нее плюнули и ввели поверх нее новую - EV ;-)

arkanoid October 11 2010, 12:26:06 UTC

Которая тоже fail и отличается только размером песочницы, потому что первая стала слишком большой.

msh October 11 2010, 12:34:44 UTC

Она чуть менее fail - например, там есть разделение зон доверия - CA дает сертификаты только внутри определенных юрисдикций

arkanoid October 11 2010, 12:51:00 UTC

Ну все в основном упирается в типичные костыли: правила построже, субординированные CA и wildcards отменены. На системное решение не тянет, скорее похоже на попытку "сделать, как было 15 лет назад".

Thread 5