forum.opennet.ru - "Google опубликовал библиотеку для выявления проблемных криптографических ключей" (38)

"Google опубликовал библиотеку для выявления проблемных криптографических ключей"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Google опубликовал библиотеку для выявления проблемных криптографических ключей"	+/–
Сообщение от opennews (ok), 26-Авг-22, 09:36
Участники Google Security Team опубликовали открытую библиотеку Paranoid, предназначенную для выявления ненадёжных криптографических артефактов, таких как открытые ключи и цифровые подписи, созданных в уязвимых аппаратных (HSM) и программных системах. Код написан на языке Python и распространяется под лицензией Apache 2.0... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57679
Ответить \| Правка \| Cообщить модератору

Оглавление

Скрыто модератором, dullish (ok), 09:36 , 26-Авг-22, (1) +2

Скрыто модератором, anonymous (??), 09:38 , 26-Авг-22, (2) +1
Скрыто модератором, Жироватт (ok), 09:48 , 26-Авг-22, (4) +2
Скрыто модератором, пох. (?), 09:55 , 26-Авг-22, (6) +2

Хоть кто-то пишет полезный софт , Аноним (3), 09:46 , 26-Авг-22, (3) +3

В чем полезность Нет, кроме шуток, в чем полезность, если реальные проблемы с т, Жироватт (ok), 09:52 , 26-Авг-22, (5) +1

Это не менее реальные проблемы, о которых любители сферического дебиана могут и , Аноним (3), 10:03 , 26-Авг-22, (8) +3

Теперь гугл решает, какой сертификат - правильный Прям Министерство Правды , Аноним (15), 13:25 , 26-Авг-22, (15) +2

Нет, в этом контексте он не решает, а предлагает всем желающим самим проверять с, вакцина (?), 14:23 , 26-Авг-22, (16) –2

Он не предлагает, а действует , Аноним (15), 15:53 , 26-Авг-22, (25) +4

Самое примечательно как всегда в конце Почти как в той песне про День Выборов , Бывалый смузихлёб (?), 10:21 , 26-Авг-22, (9) +2
проблемных с точки зрения гугла, Аноним (14), 10:44 , 26-Авг-22, (14) –1

У Гугла, судя по твоему комменту, какая-то своя волшебная криптография, несовмес, Аноним (29), 17:56 , 26-Авг-22, (29) –2

Причем тут криптография Сами сертификаты, их содержимое, их хранилища, центры с, bOOster (ok), 08:30 , 27-Авг-22, (36)

Ну всё забраковал уже, даже не одну тысячу Дальше-то что Публичные УЦ вроде Le, Аноним (29), 21:38 , 27-Авг-22, (37)

Че за чушь ты пишешь Тебе сообщение назад написали что именно такие сертификаты, bOOster (ok), 09:43 , 28-Авг-22, (38)

Выявление осуществляется путём отправки ключей на серверы гугла и дальнейшего ан, Аноним (17), 14:56 , 26-Авг-22, (17)

И что Ключи общедоступны , anonymous (??), 15:37 , 26-Авг-22, (20)

Ты путаешь открытый и общедоступный Ещё часто путают открытый и свободны, Аноним (15), 15:51 , 26-Авг-22, (22) –1

https en wikipedia org wiki Public-key_cryptographyЧто тут перепутано Ключи м, anonymous (??), 16:01 , 26-Авг-22, (26)

May это возможно а может и нет , may not это жёстко нет но может и утечь и тог, Аноним (3), 05:28 , 27-Авг-22, (35) –2

Google Securityбиблиотеку ParanoidОо-о-оКе-е-ей , Аноним (18), 15:14 , 26-Авг-22, (18) +1
В очередной раз Гугл за день делает для безопасности интернета больше, чем все к, Аноним (29), 15:25 , 26-Авг-22, (19) –1

А потом у неугодного сайта - херак - и не станет сертификата , Аноним (15), 15:49 , 26-Авг-22, (21) +2

Если решить проблему жесткой рукой в конце концов эта рука начнет всех душить , Аноним (24), 15:52 , 26-Авг-22, (24) +2
Ну вот, безопастно же ж сделали вам Нет сайта - нет опастностей Ходите на goog, Гугель (?), 17:07 , 26-Авг-22, (27)
Ага Гугл отключит математику у неугодного сайта и сессионный ключ невозможно бу, Аноним (29), 17:58 , 26-Авг-22, (30) –1

За это гуглу деньги и платят А опеннетчики сидят тут бесплатно Некоторые за 15, Аноним (24), 15:51 , 26-Авг-22, (23)

А, точно, местный растаман как раз на своём канале рассказывал, что его творчест, Аноним (15), 17:22 , 26-Авг-22, (28) +1
Аноним неплохо зарабатывает, надо бы его замотивировать делиться , Аноним (34), 02:56 , 27-Авг-22, (34)

Очередной день рандомному анону из опеннета не дают покоя рандомные же комментар, Мимокрокодилъ (?), 23:29 , 26-Авг-22, (33)
Да, одной строкой на баше могу сделать для корректности ключей больше чем гугл з, Аноним (40), 19:11 , 01-Сен-22, (40)

У кого есть свободный комп с помощью b rng-time sh b можно проверить и разные, Аноним (41), 19:32 , 01-Сен-22, (41)

Fix code bin bash Free for not commercial usage Свободна для некомерческо, Аноним (42), 20:12 , 01-Сен-22, (42)

Чуть ошибся в оценке Чтобы выжимать возможный максимум энтропии с хеша надо 1 , Аноним (43), 20:47 , 01-Сен-22, (43)

А если просто date -N sПолучим и скорость и уникальную числовую последовател, Аноним (44), 17:52 , 03-Сен-22, (44)

Статистическое исследование энтропии из контрольных сум https www opennet ru , Аноним (45), 13:01 , 10-Июн-23, (45)

Тот самый , Аноним (39), 12:29 , 30-Авг-22, (39)

Сообщения [Сортировка по времени | RSS]

1. Скрыто модератором +2 +/–

Сообщение от dullish (ok), 26-Авг-22, 09:36

Со встроенной телеметрией и отправкой "обезличенных фрагментов" разработчикам, надеюсь?

Ответить | Правка | Наверх | Cообщить модератору

2. Скрыто модератором +1 +/–

Сообщение от anonymous (??), 26-Авг-22, 09:38

ты же можешь объяснить, почему это плохо?

Ответить | Правка | Наверх | Cообщить модератору

4. Скрыто модератором +2 +/–

Сообщение от Жироватт (ok), 26-Авг-22, 09:48

Зачем так грубо-то?
Вся содержательная работа в версии 2 будет идти на серверах гугла, остальное - лишь подготовка и обслуживание пакета из хттпс (это важно!) запросов и парсинге json (это самое важное!) с ответом. Пользователи сами все сольют, и не только "обезличенную информацию", причем с песней!

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

6. Скрыто модератором +2 +/–

Сообщение от пох. (?), 26-Авг-22, 09:55

> Со встроенной телеметрией и отправкой "обезличенных фрагментов" разработчикам, надеюсь?
Зачем это обезличенных? Вон же - "ваш сертификат не сертификат, так решил наш софт а он лучше вас знает, с этой минуты ваш сайт сосайт и у юзера не откроется", и "направлено для отзыва". Мнение владельца сертификата никого ведь не интересует.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "Google опубликовал библиотеку для выявления проблемных крипт..." +3 +/–

Сообщение от Аноним (3), 26-Авг-22, 09:46

Хоть кто-то пишет полезный софт.

Ответить | Правка | Наверх | Cообщить модератору

5. "Google опубликовал библиотеку для выявления проблемных крипт..." +1 +/–

Сообщение от Жироватт (ok), 26-Авг-22, 09:52

В чем полезность?
Нет, кроме шуток, в чем полезность, если реальные проблемы с т.н. "криптоартефактами" будут скрывать по просьбе незаметного человечка из комнаты 101А.

Ответить | Правка | Наверх | Cообщить модератору

8. "Google опубликовал библиотеку для выявления проблемных крипт..." +3 +/–

Сообщение от Аноним (3), 26-Авг-22, 10:03

Это не менее реальные проблемы, о которых любители сферического дебиана могут и не знать. Чем больше проблем, тем более широкий круг лиц может их использовать.

Ответить | Правка | Наверх | Cообщить модератору

15. "Google опубликовал библиотеку для выявления проблемных крипт..." +2 +/–

Сообщение от Аноним (15), 26-Авг-22, 13:25

> Информация ... об ... сертификатах направлена удостоверяющим центрам для их отзыва.
Теперь гугл решает, какой сертификат - правильный... Прям Министерство Правды ("1984").

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

16. "Google опубликовал библиотеку для выявления проблемных крипт..." –2 +/–

Сообщение от вакцина (?), 26-Авг-22, 14:23

Нет, в этом контексте он не решает, а предлагает всем желающим самим проверять свои сертификаты.

Ответить | Правка | Наверх | Cообщить модератору

25. "Google опубликовал библиотеку для выявления проблемных крипт..." +4 +/–

Сообщение от Аноним (15), 26-Авг-22, 15:53

Он не предлагает, а действует:
> Информация об сертификатах направлена удостоверяющим центрам для их отзыва.

Ответить | Правка | Наверх | Cообщить модератору

9. "Google опубликовал библиотеку для выявления проблемных крипт..." +2 +/–

Сообщение от Бывалый смузихлёб (?), 26-Авг-22, 10:21

>  Информация об остающихся в обиходе проблемных сертификатах направлена удостоверяющим центрам для их отзыва
Самое примечательно как всегда в конце. Почти как в той песне про День Выборов

Ответить | Правка | Наверх | Cообщить модератору

14. "Google опубликовал библиотеку для выявления проблемных крипт..." –1 +/–

Сообщение от Аноним (14), 26-Авг-22, 10:44

> Google опубликовал библиотеку для выявления проблемных криптографических ключей
проблемных с точки зрения гугла

Ответить | Правка | Наверх | Cообщить модератору

29. "Google опубликовал библиотеку для выявления проблемных крипт..." –2 +/–

Сообщение от Аноним (29), 26-Авг-22, 17:56

У Гугла, судя по твоему комменту, какая-то своя волшебная криптография, несовместимая с твоей?

Ответить | Правка | Наверх | Cообщить модератору

36. "Google опубликовал библиотеку для выявления проблемных крипт..." +/–

Сообщение от bOOster (ok), 27-Авг-22, 08:30

Причем тут криптография? Сами сертификаты, их содержимое, их хранилища, центры сертификации и т.д. весьма косвенное отношение к криптографии как таковой имеют.
Сертификаты - набор OID-ов - которые администратор может в целом сам создавать и включать в сертификат, и наверняка гугл их будет браковать - мол несоответствующие "Нашим" стандартам...

Ответить | Правка | Наверх | Cообщить модератору

37. "Google опубликовал библиотеку для выявления проблемных крипт..." +/–

Сообщение от Аноним (29), 27-Авг-22, 21:38

Ну всё забраковал уже, даже не одну тысячу. Дальше-то что? Публичные УЦ вроде Let's Encrypt тебе лично ничего не должны и даже не обещали, впрочем как и Гуглу. Не нравятся чьи-то правила — не пользуйся. УЦ как грязи, сертификаты с любыми прибамбасами стоят копейки. Рынок сертификатов перенасыщен уже лет десять, если не пятнадцать. В конце концов, подними свой PKI как большинство в итоге делает. Но тебе ж просто побубнить на опеннете про то, какой Гугл плохой, да?

Ответить | Правка | Наверх | Cообщить модератору

38. "Google опубликовал библиотеку для выявления проблемных крипт..." +/–

Сообщение от bOOster (ok), 28-Авг-22, 09:43

> Ну всё забраковал уже, даже не одну тысячу. Дальше-то что? Публичные УЦ
> вроде Let's Encrypt тебе лично ничего не должны и даже не
> обещали, впрочем как и Гуглу. Не нравятся чьи-то правила — не
> пользуйся. УЦ как грязи, сертификаты с любыми прибамбасами стоят копейки. Рынок
> сертификатов перенасыщен уже лет десять, если не пятнадцать. В конце концов,
> подними свой PKI как большинство в итоге делает. Но тебе ж
> просто побубнить на опеннете про то, какой Гугл плохой, да?
Че за чушь ты пишешь? Тебе сообщение назад написали что именно такие сертификаты как выпущенные своим PKI и будет блочить гугл, об этом и разговор..
Смотришь в книгу видишь фигу?

Ответить | Правка | Наверх | Cообщить модератору

17. "Google опубликовал библиотеку для выявления проблемных крипт..." +/–

Сообщение от Аноним (17), 26-Авг-22, 14:56

Выявление осуществляется путём отправки ключей на серверы гугла и дальнейшего анализа

Ответить | Правка | Наверх | Cообщить модератору

20. "Google опубликовал библиотеку для выявления проблемных крипт..." +/–

Сообщение от anonymous (??), 26-Авг-22, 15:37

И что? Ключи общедоступны.

Ответить | Правка | Наверх | Cообщить модератору

22. "Google опубликовал библиотеку для выявления проблемных крипт..." –1 +/–

Сообщение от Аноним (15), 26-Авг-22, 15:51

Ты путаешь "открытый" и "общедоступный". Ещё часто путают "открытый" и "свободный".

Ответить | Правка | Наверх | Cообщить модератору

26. "Google опубликовал библиотеку для выявления проблемных крипт..." +/–

Сообщение от anonymous (??), 26-Авг-22, 16:01

>> Public-key cryptography, or asymmetric cryptography, is a cryptographic system that uses pairs of keys. Each pair consists of a public key (which may be known to others) and a private key (which may not be known by anyone except the owner).
https://en.wikipedia.org/wiki/Public-key_cryptography
Что тут перепутано? Ключи мэйнтейнеров и прочих разработчиков опубликованы. В том же Арче регулярно удаляются и добавляются фингерпринты ключей. https://archlinux.org/master-keys/

Ответить | Правка | Наверх | Cообщить модератору

35. "Google опубликовал библиотеку для выявления проблемных крипт..." –2 +/–

Сообщение от Аноним (3), 27-Авг-22, 05:28

May это возможно (а может и нет), may not это жёстко нет (но может и утечь и тогда тоже возможно). Если публичный ключ подразумевался для использования ограниченным кругом лиц, то в данном случае он тоже утекает.

Ответить | Правка | Наверх | Cообщить модератору

18. "Google опубликовал библиотеку для выявления проблемных крипт..." +1 +/–

Сообщение от Аноним (18), 26-Авг-22, 15:14

>Google Security Team
>открытую библиотеку Paranoid
>для выявления ненадёжных
>таких как открытые ключи и цифровые подписи
>Информация об остающихся в обиходе проблемных сертификатах
>направлена удостоверяющим центрам для их отзыва
Google Security
библиотеку Paranoid
>для выявления
>открытые ключи
>цифровые подписи
>Информация... об проблемных сертификатах
>направлена... центрам для их отзыва
>Google
>Paranoid
Оо-о-оКе-е-ей!

Ответить | Правка | Наверх | Cообщить модератору

19. "Google опубликовал библиотеку для выявления проблемных крипт..." –1 +/–

Сообщение от Аноним (29), 26-Авг-22, 15:25

В очередной раз Гугл за день делает для безопасности интернета больше, чем все комментаторы опеннета за год.

Ответить | Правка | Наверх | Cообщить модератору

21. "Google опубликовал библиотеку для выявления проблемных крипт..." +2 +/–

Сообщение от Аноним (15), 26-Авг-22, 15:49

> Информация о проблемных сертификатах направлена центрам для их отзыва
А потом у неугодного сайта - херак! - и не станет сертификата.

Ответить | Правка | Наверх | Cообщить модератору

24. "Google опубликовал библиотеку для выявления проблемных крипт..." +2 +/–

Сообщение от Аноним (24), 26-Авг-22, 15:52

Если решить проблему жесткой рукой в конце концов эта рука начнет всех душить.

Ответить | Правка | Наверх | Cообщить модератору

27. "Google опубликовал библиотеку для выявления проблемных крипт..." +/–

Сообщение от Гугель (?), 26-Авг-22, 17:07

Ну вот, безопастно же ж сделали вам!
Нет сайта - нет опастностей! Ходите на google.com - он безопастный.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

30. "Google опубликовал библиотеку для выявления проблемных крипт..." –1 +/–

Сообщение от Аноним (29), 26-Авг-22, 17:58

Ага. Гугл отключит математику у неугодного сайта и сессионный ключ невозможно будет посчитать. Ох уж этот Гугл! Такие затейники.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

23. "Google опубликовал библиотеку для выявления проблемных крипт..." +/–

Сообщение от Аноним (24), 26-Авг-22, 15:51

За это гуглу деньги и платят. А опеннетчики сидят тут бесплатно. Некоторые за 15 рублей коммент. Некоторые за 7031 рубль за выложенную новость.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

28. "Google опубликовал библиотеку для выявления проблемных крипт..." +1 +/–

Сообщение от Аноним (15), 26-Авг-22, 17:22

А, точно, местный растаман как раз на своём канале рассказывал, что его творчество про раст вознаграждается.

Ответить | Правка | Наверх | Cообщить модератору

34. "Google опубликовал библиотеку для выявления проблемных крипт..." +/–

Сообщение от Аноним (34), 27-Авг-22, 02:56

Аноним неплохо зарабатывает, надо бы его замотивировать делиться.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

33. "Google опубликовал библиотеку для выявления проблемных крипт..." +/–

Сообщение от Мимокрокодилъ (?), 26-Авг-22, 23:29

> В очередной раз Гугл за день делает для безопасности интернета больше, чем
> все комментаторы опеннета за год.
Очередной день рандомному анону из опеннета не дают покоя рандомные же комментарии на опеннете.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

40. "Google опубликовал библиотеку для выявления проблемных крипт..." +/–

Сообщение от Аноним (40), 01-Сен-22, 19:11

> В очередной раз Гугл за день делает для безопасности интернета больше, чем все комментаторы опеннета за год.
Да, одной строкой на баше могу сделать для корректности ключей больше чем гугл за год.
Держите генератор рандома для криптухи, без зондов rng-time.sh:

#!/bin/bash
# Free for not commercial usage.
# Свободна для некомерческого использования, комерческое использование может быть разрешено только c письменного согласия.
while [ True == True ]
  do
    echo `date +%N`$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))`date +%N`$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))`date +%s` |openssl dgst -sha512 -binary
  done
На основе системного времени с наносекундным разрешением строем число от 0 до 77 цифр - вероятность повторения 1/10^77 с которой берем хеш (можно SHA512 сменить на другой) с вероятностью повторения 1/16^64 - которая и есть показателем надёжности нашего генератора псевдослучайных чисел (prng).
Установив  пакет rng-tools c програмой rngtest можно протестировать или просеять полученный рандом согласно FIPS-140-2:

rng-time.sh |dd of=random_urandom iflag=fullblock bs=1250w count=100000 status=progress
dd if=random_time status=none |rngtest

для сравнения смотрим стандартный:

dd if=/dev/urandom of=random_urandom bs=1250w count=100000 status=progress
dd if=random_urandom status=none |rngtest

и улучшенный стандартный:

dd if=/dev/urandom status=none |rngtest --pipe |dd of=random_urandom bs=1250w count=100000 status=progress
dd if=random_urandom status=none |rngtest

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

41. "Google опубликовал библиотеку для выявления проблемных крипт..." +/–

Сообщение от Аноним (41), 01-Сен-22, 19:32

У кого есть свободный комп с помощью rng-time.sh можно проверить и разные хеши:

#!/bin/bash
# Free for not commercial usage.
# Свободна для некомерческого использования, комерческое использование может быть разрешено только c письменного согласия.
while [ True == True ]
  do
    echo `date +%N`$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))`date +%N`$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))`date +%s` |openssl dgst -binary $1
  done
BLAKE2B
SHA512
SHA3-512
STRIBOG512
WHIRLPOOL

rng-time.sh -sha512 |dd of=random_SHA512 iflag=fullblock bs=1250w count=100000 status=progress
dd if=random_SHA512 status=none |rngtest
rng-time.sh -whirlpool |dd of=random_WHIRLPOOL iflag=fullblock bs=1250w count=100000 status=progress
dd if=random_WHIRLPOOL status=none |rngtest
Вот прикол будет если у какогото хеша будет слабый рандом ;)

Ответить | Правка | Наверх | Cообщить модератору

42. "Google опубликовал библиотеку для выявления проблемных крипт..." +/–

Сообщение от Аноним (42), 01-Сен-22, 20:12

Fix.

#!/bin/bash
# Free for not commercial usage.
# Свободна для некомерческого использования, комерческое использование может быть разрешено только c письменного согласия.
while [ True == True ]
  do
    echo `date +%N`$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))`date +%N`$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))`date +%N` |openssl dgst -binary $1
  done
[/code

Ответить | Правка | Наверх | Cообщить модератору

43. "Google опубликовал библиотеку для выявления проблемных крипт..." +/–

Сообщение от Аноним (43), 01-Сен-22, 20:47

Чуть ошибся в оценке. Чтобы выжимать возможный максимум энтропии с хеша надо:
1. Создавать число от 1 до 154 цифры, вероятность повторения - 1/10^154
2, Получаемый псевдорандомный ряд будет как 1/16^128
9 цифр - date +%N - надо 6 раз
5 цифр - $((RANDOM %`date +%s`)) - надо 20 раз
9*6+5*20=154
Кто будет игратся поправте prng-time.sh

Ответить | Правка | Наверх | Cообщить модератору

44. "Google опубликовал библиотеку для выявления проблемных крипт..." +/–

Сообщение от Аноним (44), 03-Сен-22, 17:52

А если просто:
  date +%-N%s
Получим и скорость и уникальную числовую последовательность, если не учитывать возможную коррекцию системного времени и теоретическое совпадение чисел.

Ответить | Правка | Наверх | Cообщить модератору

45. "Google опубликовал библиотеку для выявления проблемных крипт..." +/–

Сообщение от Аноним (45), 10-Июн-23, 13:01

> Вот прикол будет если у какогото хеша будет слабый рандом ;)
Статистическое исследование энтропии из контрольных сум: https://www.opennet.dev/openforum/vsluhforumID10/5638.html

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

39. "Google опубликовал библиотеку для выявления проблемных крипт..." +/–

Сообщение от Аноним (39), 30-Авг-22, 12:29

>Bleichenbacher, Daniel
Тот самый.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Скрыто модератором	+2 +/–
Сообщение от dullish (ok), 26-Авг-22, 09:36
Со встроенной телеметрией и отправкой "обезличенных фрагментов" разработчикам, надеюсь?
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. Скрыто модератором	+1 +/–
	Сообщение от anonymous (??), 26-Авг-22, 09:38
	ты же можешь объяснить, почему это плохо?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. Скрыто модератором	+2 +/–
	Сообщение от Жироватт (ok), 26-Авг-22, 09:48
	Зачем так грубо-то? Вся содержательная работа в версии 2 будет идти на серверах гугла, остальное - лишь подготовка и обслуживание пакета из хттпс (это важно!) запросов и парсинге json (это самое важное!) с ответом. Пользователи сами все сольют, и не только "обезличенную информацию", причем с песней!
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	6. Скрыто модератором	+2 +/–
	Сообщение от пох. (?), 26-Авг-22, 09:55
	> Со встроенной телеметрией и отправкой "обезличенных фрагментов" разработчикам, надеюсь? Зачем это обезличенных? Вон же - "ваш сертификат не сертификат, так решил наш софт а он лучше вас знает, с этой минуты ваш сайт сосайт и у юзера не откроется", и "направлено для отзыва". Мнение владельца сертификата никого ведь не интересует.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

3. "Google опубликовал библиотеку для выявления проблемных крипт..."	+3 +/–
Сообщение от Аноним (3), 26-Авг-22, 09:46
Хоть кто-то пишет полезный софт.
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Google опубликовал библиотеку для выявления проблемных крипт..."	+1 +/–
	Сообщение от Жироватт (ok), 26-Авг-22, 09:52
	В чем полезность? Нет, кроме шуток, в чем полезность, если реальные проблемы с т.н. "криптоартефактами" будут скрывать по просьбе незаметного человечка из комнаты 101А.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Google опубликовал библиотеку для выявления проблемных крипт..."	+3 +/–
	Сообщение от Аноним (3), 26-Авг-22, 10:03
	Это не менее реальные проблемы, о которых любители сферического дебиана могут и не знать. Чем больше проблем, тем более широкий круг лиц может их использовать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Google опубликовал библиотеку для выявления проблемных крипт..."	+2 +/–
	Сообщение от Аноним (15), 26-Авг-22, 13:25
	> Информация ... об ... сертификатах направлена удостоверяющим центрам для их отзыва. Теперь гугл решает, какой сертификат - правильный... Прям Министерство Правды ("1984").
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	16. "Google опубликовал библиотеку для выявления проблемных крипт..."	–2 +/–
	Сообщение от вакцина (?), 26-Авг-22, 14:23
	Нет, в этом контексте он не решает, а предлагает всем желающим самим проверять свои сертификаты.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Google опубликовал библиотеку для выявления проблемных крипт..."	+4 +/–
	Сообщение от Аноним (15), 26-Авг-22, 15:53
	Он не предлагает, а действует: > Информация об сертификатах направлена удостоверяющим центрам для их отзыва.
	Ответить \| Правка \| Наверх \| Cообщить модератору

9. "Google опубликовал библиотеку для выявления проблемных крипт..."	+2 +/–
Сообщение от Бывалый смузихлёб (?), 26-Авг-22, 10:21
> Информация об остающихся в обиходе проблемных сертификатах направлена удостоверяющим центрам для их отзыва Самое примечательно как всегда в конце. Почти как в той песне про День Выборов
Ответить \| Правка \| Наверх \| Cообщить модератору

14. "Google опубликовал библиотеку для выявления проблемных крипт..."	–1 +/–
Сообщение от Аноним (14), 26-Авг-22, 10:44
> Google опубликовал библиотеку для выявления проблемных криптографических ключей проблемных с точки зрения гугла
Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Google опубликовал библиотеку для выявления проблемных крипт..."	–2 +/–
	Сообщение от Аноним (29), 26-Авг-22, 17:56
	У Гугла, судя по твоему комменту, какая-то своя волшебная криптография, несовместимая с твоей?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Google опубликовал библиотеку для выявления проблемных крипт..."	+/–
	Сообщение от bOOster (ok), 27-Авг-22, 08:30
	Причем тут криптография? Сами сертификаты, их содержимое, их хранилища, центры сертификации и т.д. весьма косвенное отношение к криптографии как таковой имеют. Сертификаты - набор OID-ов - которые администратор может в целом сам создавать и включать в сертификат, и наверняка гугл их будет браковать - мол несоответствующие "Нашим" стандартам...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Google опубликовал библиотеку для выявления проблемных крипт..."	+/–
	Сообщение от Аноним (29), 27-Авг-22, 21:38
	Ну всё забраковал уже, даже не одну тысячу. Дальше-то что? Публичные УЦ вроде Let's Encrypt тебе лично ничего не должны и даже не обещали, впрочем как и Гуглу. Не нравятся чьи-то правила — не пользуйся. УЦ как грязи, сертификаты с любыми прибамбасами стоят копейки. Рынок сертификатов перенасыщен уже лет десять, если не пятнадцать. В конце концов, подними свой PKI как большинство в итоге делает. Но тебе ж просто побубнить на опеннете про то, какой Гугл плохой, да?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Google опубликовал библиотеку для выявления проблемных крипт..."	+/–
	Сообщение от bOOster (ok), 28-Авг-22, 09:43
	> Ну всё забраковал уже, даже не одну тысячу. Дальше-то что? Публичные УЦ > вроде Let's Encrypt тебе лично ничего не должны и даже не > обещали, впрочем как и Гуглу. Не нравятся чьи-то правила — не > пользуйся. УЦ как грязи, сертификаты с любыми прибамбасами стоят копейки. Рынок > сертификатов перенасыщен уже лет десять, если не пятнадцать. В конце концов, > подними свой PKI как большинство в итоге делает. Но тебе ж > просто побубнить на опеннете про то, какой Гугл плохой, да? Че за чушь ты пишешь? Тебе сообщение назад написали что именно такие сертификаты как выпущенные своим PKI и будет блочить гугл, об этом и разговор.. Смотришь в книгу видишь фигу?
	Ответить \| Правка \| Наверх \| Cообщить модератору

17. "Google опубликовал библиотеку для выявления проблемных крипт..."	+/–
Сообщение от Аноним (17), 26-Авг-22, 14:56
Выявление осуществляется путём отправки ключей на серверы гугла и дальнейшего анализа
Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Google опубликовал библиотеку для выявления проблемных крипт..."	+/–
	Сообщение от anonymous (??), 26-Авг-22, 15:37
	И что? Ключи общедоступны.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Google опубликовал библиотеку для выявления проблемных крипт..."	–1 +/–
	Сообщение от Аноним (15), 26-Авг-22, 15:51
	Ты путаешь "открытый" и "общедоступный". Ещё часто путают "открытый" и "свободный".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Google опубликовал библиотеку для выявления проблемных крипт..."	+/–
	Сообщение от anonymous (??), 26-Авг-22, 16:01
	>> Public-key cryptography, or asymmetric cryptography, is a cryptographic system that uses pairs of keys. Each pair consists of a public key (which may be known to others) and a private key (which may not be known by anyone except the owner). https://en.wikipedia.org/wiki/Public-key_cryptography Что тут перепутано? Ключи мэйнтейнеров и прочих разработчиков опубликованы. В том же Арче регулярно удаляются и добавляются фингерпринты ключей. https://archlinux.org/master-keys/
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Google опубликовал библиотеку для выявления проблемных крипт..."	–2 +/–
	Сообщение от Аноним (3), 27-Авг-22, 05:28
	May это возможно (а может и нет), may not это жёстко нет (но может и утечь и тогда тоже возможно). Если публичный ключ подразумевался для использования ограниченным кругом лиц, то в данном случае он тоже утекает.
	Ответить \| Правка \| Наверх \| Cообщить модератору

18. "Google опубликовал библиотеку для выявления проблемных крипт..."	+1 +/–
Сообщение от Аноним (18), 26-Авг-22, 15:14
>Google Security Team >открытую библиотеку Paranoid >для выявления ненадёжных >таких как открытые ключи и цифровые подписи >Информация об остающихся в обиходе проблемных сертификатах >направлена удостоверяющим центрам для их отзыва Google Security библиотеку Paranoid >для выявления >открытые ключи >цифровые подписи >Информация... об проблемных сертификатах >направлена... центрам для их отзыва >Google >Paranoid Оо-о-оКе-е-ей!
Ответить \| Правка \| Наверх \| Cообщить модератору

19. "Google опубликовал библиотеку для выявления проблемных крипт..."	–1 +/–
Сообщение от Аноним (29), 26-Авг-22, 15:25
В очередной раз Гугл за день делает для безопасности интернета больше, чем все комментаторы опеннета за год.
Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Google опубликовал библиотеку для выявления проблемных крипт..."	+2 +/–
	Сообщение от Аноним (15), 26-Авг-22, 15:49
	> Информация о проблемных сертификатах направлена центрам для их отзыва А потом у неугодного сайта - херак! - и не станет сертификата.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Google опубликовал библиотеку для выявления проблемных крипт..."	+2 +/–
	Сообщение от Аноним (24), 26-Авг-22, 15:52
	Если решить проблему жесткой рукой в конце концов эта рука начнет всех душить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Google опубликовал библиотеку для выявления проблемных крипт..."	+/–
	Сообщение от Гугель (?), 26-Авг-22, 17:07
	Ну вот, безопастно же ж сделали вам! Нет сайта - нет опастностей! Ходите на google.com - он безопастный.
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору


	30. "Google опубликовал библиотеку для выявления проблемных крипт..."	–1 +/–
	Сообщение от Аноним (29), 26-Авг-22, 17:58
	Ага. Гугл отключит математику у неугодного сайта и сессионный ключ невозможно будет посчитать. Ох уж этот Гугл! Такие затейники.
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору


	23. "Google опубликовал библиотеку для выявления проблемных крипт..."	+/–
	Сообщение от Аноним (24), 26-Авг-22, 15:51
	За это гуглу деньги и платят. А опеннетчики сидят тут бесплатно. Некоторые за 15 рублей коммент. Некоторые за 7031 рубль за выложенную новость.
	Ответить \| Правка \| К родителю #19 \| Наверх \| Cообщить модератору


	28. "Google опубликовал библиотеку для выявления проблемных крипт..."	+1 +/–
	Сообщение от Аноним (15), 26-Авг-22, 17:22
	А, точно, местный растаман как раз на своём канале рассказывал, что его творчество про раст вознаграждается.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Google опубликовал библиотеку для выявления проблемных крипт..."	+/–
	Сообщение от Аноним (34), 27-Авг-22, 02:56
	Аноним неплохо зарабатывает, надо бы его замотивировать делиться.
	Ответить \| Правка \| К родителю #23 \| Наверх \| Cообщить модератору