The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Представлен OpenPubKey, протокол криптографической верификации объектов "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Представлен OpenPubKey, протокол криптографической верификации объектов "  +/
Сообщение от opennews (??), 08-Окт-23, 14:42 
Linux Foundation, BastionZero и Docker представили новый открытый проект OpenPubKey, развивающий одноимённый криптографический протокол для заверения цифровой подписью произвольных объектов. Технология разработана как совместный проект компаний BastionZero и Docker с целью упрощения  заверения цифровыми подписями образов контейнеров Docker для исключения их подмены и подтверждения сборки заявленным создателем. Проект будет развиваться на нейтральной площадке под покровительством организации Linux Foundation, что исключит зависимость от отдельных коммерческих компаний и упростит совместную работу с привлечением сторонних участников. Эталонная реализация OpenPubKey написана на языке Go и распространяется под лицензией Apache 2.0...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59888

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


3. "Представлен OpenPubKey, протокол криптографической верификац..."  +4 +/
Сообщение от Витюшка (?), 08-Окт-23, 14:44 
Сложна...и непонятно, а чем это отличается от ключа, который я генерирую в GitHub?

Вот тебе и привязка к OpenID, подписывай что хочешь. GitHub и так умеет показывать что коммиты верифицированы.

Так в чём отличие? Только я ещё могут менять эти ключи и pgp, а не привязывать один сертификат навечно к аккаунту.

Ответить | Правка | Наверх | Cообщить модератору

14. "Представлен OpenPubKey, протокол криптографической верификац..."  +3 +/
Сообщение от Аноним (-), 08-Окт-23, 18:15 
> Сложна...и непонятно,

Да ладно?

> OpenPubKey написана на языке Go и распространяется под лицензией Apache 2.0.

По-моему тут все просто и понятно - очередная корпоративная бнопня.

> (Google, GitHub, Microsoft и т.п.).

Вот, можно себе хозяве^W благодетелей выбирать.

> а чем это отличается от ключа, который я генерирую в GitHub?

"Благодетелей" несколько, можно даже юрьев день не ждать!

Ответить | Правка | Наверх | Cообщить модератору

4. "Представлен OpenPubKey, протокол криптографической верификац..."  +4 +/
Сообщение от Аноним (4), 08-Окт-23, 15:04 
Можно для глупых: чем это отличается от OpenGPG?
Ответить | Правка | Наверх | Cообщить модератору

5. "Представлен OpenPubKey, протокол криптографической верификац..."  –2 +/
Сообщение от Атон (?), 08-Окт-23, 15:27 
Протокол OpenID не содержит механизмов предотвращения фишинговых атак

Пользователь может поменять OpenID-провайдера, освободив таким образом свой идентификатор у предыдущего провайдера. Новый пользователь может занять этот идентификатор и использовать его на тех же сайтах, что и предыдущий пользователь.

Ответить | Правка | Наверх | Cообщить модератору

9. "Представлен OpenPubKey, протокол криптографической верификац..."  –3 +/
Сообщение от Аноним (9), 08-Окт-23, 16:01 
Тем, что можно использовать вход по OpenID как доказательство того, что подпись поставил ты, а не кто-то левый. Это намного проще, чем получать заверенный сертификат через удостоверяющий центр. Размещать открытые ключи на своём сайте или в БД открытых ключей так себе вариант.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

28. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от Аноним (28), 09-Окт-23, 13:26 
Так в ответе нет сравнения с gpg
Открытый ключ gpg так же буклекуется в сети
и доступен для верификации собственника ключа
и подписей
Ответить | Правка | Наверх | Cообщить модератору

17. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от OpenEcho (?), 09-Окт-23, 01:22 
>Можно для глупых: чем это отличается от OpenGPG?

Этим:

> Иными словами, OpenPubkey позволяет привязать криптографические ключи к конкретным пользователям, используя провайдеры OpenID Connect (IdP) вместо удостоверяющих центров.

Может это OpenPGP, в котором каждый может обьявить себя кем хочешь и добавить себя на публичных серверах?

Нет там механизма идентификации в OpenPGP. (Здесь сейчас найдутся фанатики которые будут говорить о web-o-trust) состоящий из нескольких гиков на планете, которым все без оговорочно должны верить, но в реальности, практически все, даже очеь крупные проекты не имеют kросс подписей хотя бы от тех X, Y, Z с веботраста)

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

29. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от Аноним (28), 09-Окт-23, 13:29 
> в котором каждый может обьявить себя кем хочешь

И что?
Вот я сделал архив, сборку и тп, и подписал своим ключом gpg
Открытый ключ опубликован в сети. Проверяй не хочу..
Так в чем разница то?

Ответить | Правка | Наверх | Cообщить модератору

63. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от OpenEcho (?), 10-Окт-23, 12:03 
>> в котором каждый может обьявить себя кем хочешь
> И что?
> Вот я сделал архив, сборку и тп, и подписал своим ключом gpg
> Открытый ключ опубликован в сети. Проверяй не хочу..
> Так в чем разница то?

:)

А где гарантии того что это твой ключ?

Что криминалу мешает создать такой же ключ с таким же емайлом как у тебя (который даже не проверяется) и опубликовав его как "свежую/новую" версию, потом внедрив бэкдор в твой архив и подписать?

Может ты еще фингерпринт ключа на своем сайте для проверки оставляешь?
Ну так говорят, не ломаемых сайтов - нет

Ответить | Правка | Наверх | Cообщить модератору

30. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от Аноним (28), 09-Окт-23, 13:30 
> которым все без оговорочно должны верить

Ха.. А почему я должен верить какому то ID,
который так же выдается кому попало?

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

41. "Представлен OpenPubKey, протокол криптографической..."  +/
Сообщение от arisu (ok), 09-Окт-23, 19:03 
> Ха.. А почему я должен верить какому то ID,
> который так же выдается кому попало?

ну это ж не какие-то там красноглазики, это Серьёзные Организации придумали! красноглазики — они разве ж могут чего сделать нормального, а?

Ответить | Правка | Наверх | Cообщить модератору

51. "Представлен OpenPubKey, протокол криптографической..."  +/
Сообщение от Аноним (28), 10-Окт-23, 00:35 
что в этом колхозе серьезного?
нужно лично явиться для верификации с паспортом?
а паспорт проверят на подлинность?
а, как тут лепят ыксперды, что можно везде ключи подменить,
так как эти авторитеты обеспечат защиту от подмены? )))
Ответить | Правка | Наверх | Cообщить модератору

66. "Представлен OpenPubKey, протокол криптографической..."  +/
Сообщение от OpenEcho (?), 10-Окт-23, 12:15 
> а паспорт проверят на подлинность?

Ну когда выдают паспорт легально, в ментовке там, или секретариатах, то обычно да, проверяют

> нужно лично явиться для верификации с паспортом?

Если мобила берется по контракту, то да :)

> что в этом колхозе серьезного?

В том что почти везде навязана проверка по 2ФА - через телефон->паспорт->ID


Ответить | Правка | Наверх | Cообщить модератору

65. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от OpenEcho (?), 10-Окт-23, 12:08 
> Ха.. А почему я должен верить какому то ID, который так же выдается кому попало?

Вот именно!

Разница только в том что АйД выдаются на "уважаемых", хорошо всем известных платформах, где как известно очень хотят проверить who you are, спросив для исключительно твоей безопасности номерок телефона(который как известно выдается по документам (для простых смертных)) и включив 2FA

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

6. "Представлен OpenPubKey, протокол криптографической верификац..."  +6 +/
Сообщение от Аноним (6), 08-Окт-23, 15:28 
> криптографический протокол для заверения цифровой подписью произвольных объектов

произвольных объектов?

самолёты/поезда? цветущие сады в игровом мире Minecraft? абстрактные объекты познания в математике? объекты моральных ценностей?

точно ли произвольные? 🤔🤔🤔

Ответить | Правка | Наверх | Cообщить модератору

25. "Представлен OpenPubKey, протокол криптографической верификац..."  –1 +/
Сообщение от OpenEcho (?), 09-Окт-23, 11:00 
> самолёты/поезда?

У первых есть - колсайн, у вторых тоже к номеркам привязанно

> цветущие сады в игровом мире Minecraft?

Вы не слышали про NFT?

> абстрактные объекты познания в математике?

Лицензии на открытия и изобретения - уникальны


> объекты моральных ценностей?

Они у каждого - свои, и в качестве подписи изпользуются инструменты начиная от кулаков и заканчивая ядерными дубинами

> точно ли произвольные? 🤔🤔🤔

Все о чем можно подумать, - можно изложить на "бумаге" и залицензировать, а уж то, что можно потрогать - тем более, уже практически все идентифицированно


Ответить | Правка | Наверх | Cообщить модератору

7. "Представлен OpenPubKey, протокол криптографической верификац..."  +1 +/
Сообщение от YetAnotherOnanym (ok), 08-Окт-23, 15:34 
> привязка созданных подписей к существующим провайдерам OpenID Connect

Не просто невесть кто, а невесть кто, которого записал у себя другой невесть кто, ни разу оного в глаза не видевший.

Ответить | Правка | Наверх | Cообщить модератору

8. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от Аноним (8), 08-Окт-23, 15:43 
И в чем отличие от OpenGPG?
Какие-то васяны понаподписывали друг другу на key signing parties и поэтому мы должны им доверять?
Ответить | Правка | Наверх | Cообщить модератору

10. "Представлен OpenPubKey, протокол криптографической верификац..."  –1 +/
Сообщение от Атон (?), 08-Окт-23, 16:41 
> И в чем отличие от OpenGPG?
> Какие-то васяны понаподписывали друг другу на key signing parties и поэтому мы должны им доверять?

в этом плане отличий нет.

но добавляется легкий простой способ проверки подписей рамдомных васянов.  а это уже большой шаг, по сравнению с OpenGPG.

Ответить | Правка | Наверх | Cообщить модератору

31. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от Аноним (28), 09-Окт-23, 13:33 
Чем непрост способ проверки подписи gpg?
Ответить | Правка | Наверх | Cообщить модератору

36. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от Атон (?), 09-Окт-23, 15:38 
> Чем непрост способ проверки подписи gpg?

предварительным обменом ключами.

55525

Ответить | Правка | Наверх | Cообщить модератору

37. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от Аноним (28), 09-Окт-23, 15:49 
С кем??? ))))
Вы точно понимаете что такое верификация??
Ответить | Правка | Наверх | Cообщить модератору

38. "Представлен OpenPubKey, протокол криптографической верификац..."  +1 +/
Сообщение от Атон (?), 09-Окт-23, 17:03 
> С кем??? ))))
> Вы точно понимаете что такое верификация??

ну расскажи.

Ответить | Правка | Наверх | Cообщить модератору

39. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от Аноним (28), 09-Окт-23, 19:00 
Рассказываю:
1. Скачиваешь подписанный пакет
2. Скачиваешь открытый ключ
3. Проверяешь подпись
Ответить | Правка | Наверх | Cообщить модератору

43. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от Атон (?), 09-Окт-23, 19:51 

> 2. Скачиваешь открытый ключ

чей?  откуда?  как ты можешь доверять этому ключу?

Ответить | Правка | Наверх | Cообщить модератору

47. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от Аноним (28), 10-Окт-23, 00:25 
Хочу доверяю, а хочу нет
Собственно, все построенно по этому принципу
Как и в сабже который тут презентуют
Беру дистр Tails. Он распространяется через оф сайт
хеш и ключ выложены.
скачиваю и проверяю.
Не доходит?
Ответить | Правка | Наверх | Cообщить модератору

42. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от Аноним (28), 09-Окт-23, 19:08 
Вот тебе докучи ман
https://hackware.ru/?p=8215
просветляйся )
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

44. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от Атон (?), 09-Окт-23, 19:56 
> Вот тебе докучи ман
> https://hackware.ru/?p=8215
> просветляйся )

сам просветись.

>> "_ЕСЛИ_ обменяться публичными ключами,"

забыли рассказать _КАК_ это сделать легким простым безопасным способом удостоверяющим что ключ действительно принадлежит тому самому рандомному васяну.

скатились в примитивное howto.

Ответить | Правка | Наверх | Cообщить модератору

48. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от Аноним (28), 10-Окт-23, 00:27 
Не забыли.
Просто ты не обучаем.
Инфы полно ЧТО_ДА_КАК
но ты ж из Северной Кореи?
Ответить | Правка | Наверх | Cообщить модератору

52. "Представлен OpenPubKey, протокол криптографической верификац..."  +1 +/
Сообщение от Аноним (9), 10-Окт-23, 07:23 
Демагогия без конкретики. Покажи конкретно _безопасный_, простой и подходящий для широкого круга пользователей способ предоставления своих открытых ключей для проверки подписи. Подсказка: публичные серверы ключей безопасным способом не является, привязка к удостоверяющим центрам не является простым, а размещение на своём сайте не безопасный, не простой и не для всех.
Ответить | Правка | Наверх | Cообщить модератору

56. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от Атон (?), 10-Окт-23, 11:33 
> Не забыли.
> Просто ты не обучаем.
> Инфы полно ЧТО_ДА_КАК
> но ты ж из Северной Кореи?

судя по тому что, ты трижды не понял вопроса и начал хамить - проблемы с обучаемостью у тебя.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

18. "Представлен OpenPubKey, протокол криптографической верификац..."  +1 +/
Сообщение от OpenEcho (?), 09-Окт-23, 01:31 
> Не просто невесть кто, а невесть кто, которого записал у себя другой невесть кто, ни разу оного в глаза не видевший.

Ну, не совсем невесть кто...

OpenID есть на всех популярных цифровых загонах, где уже без добавления телефона не обойтись, который в свою очередь выдадут под паспортные данные, т.е. однозначно идентифицировав индивидумов.

Цепочка замкнулась... для простых смертных, а те кто знают как получить мобилу не засветившись, или поднять свой ОпенАйД все равно будут мразить, пока поголовно везде нельзя будет достать мобилу без документов, но круг для поиска будет уже значительно меньше

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

22. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от фнон (?), 09-Окт-23, 09:31 
В некотороых случаях "однозначно идентифицировав индивидумов" это хорошо, а не плохо.
Например у меня специальная почта для работы с банками.
Она подписана реальным фио и привязана к реальному телефону.
Не вижу проблемы делать OpenID для соответствующей связки.

p.s. а для всего остального есть другая почта)

Ответить | Правка | Наверх | Cообщить модератору

24. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от OpenEcho (?), 09-Окт-23, 10:46 
> В некотороых случаях "однозначно идентифицировав индивидумов" это хорошо, а не плохо.

Абсолютно согласен

> Она подписана реальным фио и привязана к реальному телефону.

Найти в андерграунде реальное фио, ну как два пальца. Тоже самое с телефоном, их просто масса зараженных, или можно просто за наличку купить временный и на кассе никто даже не спросит про документы (правда камеры засекут, ну так ведь криминалы могут и бабушку послать).

Поэтому, что PGP, что это изделие, - это полумеры. Второе чуть лучше первого, но все равно - "защита" от честных людей.

Ответить | Правка | Наверх | Cообщить модератору

27. "Представлен OpenPubKey, протокол криптографической верификац..."  +1 +/
Сообщение от Аноним (8), 09-Окт-23, 12:41 
Типа нельзя прийти на сходку ПГПшников с поддельным удостоверением личности?
Сомневаюсь что они там тщательно проверяют, ну там на зуб пробуют или ульрафиолетом светят

И получить подпись чувака, который знает чувака, который рядом с Линусом в туалете в соседней кабинке сидел!

Ответить | Правка | Наверх | Cообщить модератору

33. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от Аноним (28), 09-Окт-23, 13:38 
доверенный круг, он потому и доверенный
что все члены его доверяют друг другу.
А ты сам себе веришь? Всегда поступаешь по совести?
Ответить | Правка | Наверх | Cообщить модератору

61. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от OpenEcho (?), 10-Окт-23, 11:54 
> доверенный круг, он потому и доверенный что все члены его доверяют друг другу.

Один мой знакомый говорил:

- Слушай, не доверяй никому, даже себе не доверяй!
- Ну тут ты вообще погнал...
- Не веришь? Вот Я вчера хотел пернуть и обосрался... даже собсвенной жопе доверять нельзя


Ответить | Правка | Наверх | Cообщить модератору

60. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от OpenEcho (?), 10-Окт-23, 11:51 
> И получить подпись чувака, который знает чувака, который рядом с Линусом в
> туалете в соседней кабинке сидел!

Вот именно !

вебо-траст по большому счету существует только в теории


Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

32. "Представлен OpenPubKey, протокол криптографической верификац..."  +1 +/
Сообщение от Аноним (28), 09-Окт-23, 13:36 
> выдадут под паспортные данные,

Который приехал нелегально работать на стройке в МСК )
На него еще 100500 симок офрмлено, поэтому он очень доверенное
лицо в кругу, который он создал корысти ради )))

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

15. "Представлен OpenPubKey, протокол криптографической верификац..."  +2 +/
Сообщение от Аноним (15), 08-Окт-23, 20:06 
очередной переусложненный корпоративный шит
Ответить | Правка | Наверх | Cообщить модератору

16. "Представлен OpenPubKey, протокол криптографической..."  +/
Сообщение от arisu (ok), 08-Окт-23, 23:34 
отличная идея! теперь пользователи не станут протестовать против того, что всё постоянно звонит домой: ведь это Для Их Же Безопасности!

вообще, есть простое правило, которое позволяет определить, хотят ли обмануть: если кто-то в современном мире делает что-то для «большей безопасности пользователей» — значит, как-то обманывает. или планирует обмануть. если вдобавок это какие-то корпорации или foundations — то исключений из правила нет.

Ответить | Правка | Наверх | Cообщить модератору

19. "Представлен OpenPubKey, протокол криптографической..."  +1 +/
Сообщение от Аноним (9), 09-Окт-23, 08:27 
Ну не знаю. Мне привязка к OpenID показалось тем гениально простым решением, которое на поверхности но не очевидно, и потом возникает ощущение, как же раньше до этого никто не додумался. В большинстве не критичных ситуаций более чем достаточно подтверждения, что подпись поставил тот, кто владеет таким-то email и проектом на GitHub.
Ответить | Правка | Наверх | Cообщить модератору

23. "Представлен OpenPubKey, протокол криптографической..."  +/
Сообщение от OpenEcho (?), 09-Окт-23, 10:37 
> кто владеет таким-то email

Например полученным на майлинаторе

> и проектом на GitHub.

Где все еще можно создать левый эккаунт

Ответить | Правка | Наверх | Cообщить модератору

54. "Представлен OpenPubKey, протокол криптографической..."  +/
Сообщение от Аноним (9), 10-Окт-23, 07:37 
Ну и будет привязан ключ к левому email и левому аккаунту на GitHub, и будет подтверждение, что подписал именно владелец этих левых аккаунтов. С тем же успехом владелец нормального аккаунта может привязать ключ к себе и подтвердить, что подписал он.
Ответить | Правка | Наверх | Cообщить модератору

67. "Представлен OpenPubKey, протокол криптографической..."  +/
Сообщение от OpenEcho (?), 10-Окт-23, 12:18 
> Ну и будет привязан ключ к левому email и левому аккаунту на
> GitHub, и будет подтверждение, что подписал именно владелец этих левых аккаунтов.
> С тем же успехом владелец нормального аккаунта может привязать ключ к
> себе и подтвердить, что подписал он.

И кто из вас двоих - подлинный ? Кому верить? Обоим?

Ответить | Правка | Наверх | Cообщить модератору

34. "Представлен OpenPubKey, протокол криптографической..."  +/
Сообщение от Аноним (28), 09-Окт-23, 13:42 
> как же раньше до этого никто не додумался

Не додумался до чего?
Что зтак восторгает?

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

40. "Представлен OpenPubKey, протокол криптографической..."  +/
Сообщение от arisu (ok), 09-Окт-23, 19:01 
> более чем достаточно подтверждения, что подпись поставил тот, кто владеет
> таким-то email и проектом на GitHub.

1. подписываем коммиты пгп-ключом.
2. подписываем остальное тем же ключом.
3. ой, получилось плохо: всё работает, а зонд втыкать некуда.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

45. "Представлен OpenPubKey, протокол криптографической..."  +/
Сообщение от Аноним (9), 09-Окт-23, 23:06 
А при проверке как будете доказывать, что загруженный открытый ключ принадлежит создателю, а не подменён? Проблема не в том как подписать, а в том, чтобы посторонний мог получить подтверждение, что открытому ключу можно доверять.
Ответить | Правка | Наверх | Cообщить модератору

49. "Представлен OpenPubKey, протокол криптографической..."  +/
Сообщение от Аноним (28), 10-Окт-23, 00:30 
Создатель информирует на своем ресурсе,
что его ключ такой то
ИЛИ размещает на своем ресурсе открытый ключ
ЛИБО и то и это
Напомню, если в курсе, что ключи могут подписываться
доверенными лицами,
типа поручительства достоверности. называются цепочки ключей
Ответить | Правка | Наверх | Cообщить модератору

57. "Представлен OpenPubKey, протокол криптографической..."  +/
Сообщение от arisu (ok), 10-Окт-23, 11:42 
> А при проверке как будете доказывать, что загруженный открытый ключ принадлежит создателю,
> а не подменён?

а как ты собираешься OpenID проверять?

намекаю: если это репозиторий некоего N, и там все коммиты подписаны одним и тем же ключом — то это, внезапно, ключ вот этого N. больше ничего проверять не надо. удивительным образом всё работает без дурацких танцев с OpenID, и совсем без стукалки кому-то домой, когда проверить захочется.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

26. "Представлен OpenPubKey, протокол криптографической верификац..."  +1 +/
Сообщение от InuYasha (??), 09-Окт-23, 11:56 
Смузихлёберы взялись за крипто и идентификацию. Пора надевать каску. Только сперва её купть.

> и Docker
> Эталонная реализация OpenPubKey написана на языке Go
> (Google, GitHub, Microsoft и т.п.).

Можно, конечно, поднять свой OpenID, но только гарантий, что его не отфутболят, нет.

Ответить | Правка | Наверх | Cообщить модератору

35. "Представлен OpenPubKey, протокол криптографической верификац..."  –1 +/
Сообщение от Аноним (28), 09-Окт-23, 13:44 
этим взялись заниматься еще со времен gpg
когда стали публиковать открытые ключи на серверах ))
в чем прорыв данной реализации?
Ответить | Правка | Наверх | Cообщить модератору

46. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от Аноним (9), 09-Окт-23, 23:08 
Открытый ключ на серверах может быть подменён, и не факт, что это именно тот открытый ключ, что разместил автор.  OpenPubKey решает задачу привязки открытого ключа к автору.
Ответить | Правка | Наверх | Cообщить модератору

50. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от Аноним (28), 10-Окт-23, 00:32 
есть круг доверия - это раз.
есть цепочки подписей. - два
три - это как там подменяется?
т.е. все кругом подменяется? )))
так линуксы на подписях сидят ))))
Ответить | Правка | Наверх | Cообщить модератору

53. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от Аноним (9), 10-Окт-23, 07:30 
Цепочка подписей и круг доверия - это для крупных сообществ, где люди контактируют друг с другом. Для обычных смертных подобное трансформируется в привязку к удостоверяющим центрам. И там и там всё упирается в необходимость подтвердить, что ты - это ты, и твой ключ - твой. Как распространять подтверждённый ключ не важно, главное -  начальное подтверждение. И в этом проблема. Привязка подтверждения к сервисам типа Gmail и GitHub существенно упрощает этот этап.
Ответить | Правка | Наверх | Cообщить модератору

58. "Представлен OpenPubKey, протокол криптографической..."  +/
Сообщение от arisu (ok), 10-Окт-23, 11:46 
> Привязка подтверждения к сервисам типа Gmail и
> GitHub существенно упрощает этот этап.

да, ты прав: она существенно упрощает этап подмены ключа. потому что ты ним больше не владеешь, ним владеет гугель. ой.

впрочем, летние дети в принципе не понимают принципов владения, ничего удивительного.

Ответить | Правка | Наверх | Cообщить модератору

62. "Представлен OpenPubKey, протокол криптографической..."  +/
Сообщение от Аноним (9), 10-Окт-23, 12:00 
Есть ли разница в том, "владеет" твоим ключом Google, удостоверяющий центр или условный Линус Торвальдс? В всех случаях ты делегируешь доверие третьему лицу. В OpenPubKey решается это просто, заверяешь ключ одновременно и в Google и в Microsoft. Только не нужно приплетать теории заговора, что Google и Microsoft пожертвуют своей репутацией, сговорятся и  подменят ключ Василия Пупкина.
Ответить | Правка | Наверх | Cообщить модератору

64. "Представлен OpenPubKey, протокол криптографической..."  +/
Сообщение от arisu (ok), 10-Окт-23, 12:07 
то есть, ты в принципе не понимаешь, что такое владение и как это работает. q.e.d.
Ответить | Правка | Наверх | Cообщить модератору

55. "Представлен OpenPubKey, протокол криптографической верификац..."  +/
Сообщение от mos87 (ok), 10-Окт-23, 10:34 
>поле "nonce"

Неожиданно.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру