forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

PyPI переходит на обязательную двухфакторную аутентификацию , opennews (?), 26-Май-23, (0) [смотреть все]

объясните пж нубику чонетак с PGP и почему пипа от него отказались, ДМИТРИЙ НАГИЕВ (?), 08:49 , 26-Май-23, (1) //

Неосилили, скорее всего Там действительно есть сложности для того, кто хочет про, Stanislavvv (?), 08:55 , 26-Май-23, (6) //

Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых , Жироватт (ok), 08:58 , 26-Май-23, (8) –15 //

Читайте новость внимательней - там всякие TOTP и токены, т е никаких сторонних , Stanislavvv (?), 09:00 , 26-Май-23, (9) +4

Написать в анонсе можно много чего - хоть с аутентификацией по выдавливанию юзер, Жироватт (ok), 09:06 , 26-Май-23, (12) –12

either with a security device preferred or an authentication app по ссылке из , Stanislavvv (?), 09:10 , 26-Май-23, (14) –1

Читай мой пост выше В анонсе можно написать что угодно - как это будет сделано в, Жироватт (ok), 09:18 , 26-Май-23, (16) –2

Ну перенесут сроки и что от этого изменится , Аноним (18), 09:48 , 26-Май-23, (18) +1
Там достаточно подключить библиотеку и за пару недель отладить работу Дольше инт, Stanislavvv (?), 09:58 , 26-Май-23, (22)
После того как выпили pgp нет им доверия, через год посмотрим, будет там авториз, анон (?), 16:44 , 26-Май-23, (76)

А до этого, конечно, доверия было хоть отбавляй 29 никому неизвестных ключей и, Аноним (108), 20:46 , 26-Май-23, (108)

Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых, Zakaza (?), 14:32 , 26-Май-23, (62)

Простите великодушно , Zakaza (?), 14:33 , 26-Май-23, (63)
Для того pypi и protonmail подойдёт, если что А вообще, сам по себе TOTP не связ, Stanislavvv (?), 15:14 , 26-Май-23, (69)

Да, только вот беда, protonmail заблочен в РФ и для его подтверждения надо втора, Zakaza (?), 20:04 , 26-Май-23, (107)

Про почту - сойдёт любая, могущая _принять_ письмо от сервиса Отправлять не обя, Stanislavvv (?), 08:26 , 27-Май-23, (123)
oathtool не требует, Аноним (131), 18:07 , 27-Май-23, (131)

Да, васяны с цифровыми подписями, которых не загнать в централизацию аутентифика, Аноним (60), 14:25 , 26-Май-23, (60)

Слишком децентрализованный для нынешнего поколения , Аноним (7), 08:56 , 26-Май-23, (7)
PGP делали люди для людей Есть УЦ, есть пользователи, есть их ключи, есть пулы , Жироватт (ok), 09:01 , 26-Май-23, (10) //

Ты все перепутал, в PGP Web Of Trust Есть серверы ключей, но они ничего не удос, Аноним (20), 09:55 , 26-Май-23, (20) +1 //

WOT с определённой долей достоверности таки удостоверяет https www linux org , Аноним (38), 11:25 , 26-Май-23, (38)

Забавно конечно, но это незапланированная функциональность, по сути дата-майнинг, Аноним (20), 12:58 , 26-Май-23, (46)

Принципиальная ненадежность , Аноним (18), 16:07 , 26-Май-23, (72)
Речь не о УЦ, а о серверах ключей OpenPGP, они помогают обмениваться ключами и п, Аноним (125), 13:10 , 27-Май-23, (125)

А что токены удостоверяют Как любой рандомный пассажир мог нагенерить себе ключ, Заместитель эксперта (?), 14:40 , 26-Май-23, (65)

скатится или нет это будем смотретьа вот то что PGP это корявые костыли это видн, annonn_2 (?), 17:15 , 26-Май-23, (79)

В PGP каждый пользователь, чтобы начать пользоваться PGP, должен стать Удостовер, Аноним (130), 17:17 , 27-Май-23, (130)

Чтобы начать пользоваться PGP надо сгенерить себе ключ Долверять ли этому ключу, Аноним (-), 20:21 , 29-Май-23, (154)

Как ты навалишь в репу TOTP пароль, который действителен 30 секунд , Аноним (90), 17:57 , 26-Май-23, (90) –2
Токены генерятся фактически с ключа, но есть некоторая разница в сценарии его ис, Аноним (113), 23:57 , 26-Май-23, (113) –1

Ну и почему он людям не нужен тогда , Сынакорзина (?), 10:06 , 26-Май-23, (23) //

Людям PGP - нужен Государствам с жидомасонами, львогазелями - нет После Сноуде, Аноним (38), 11:07 , 26-Май-23, (32) +2

Ахаха, люди для людей Серьезно Скорее отбитые зад ты для таких же отбитых з, Анонин (?), 11:05 , 26-Май-23, (31) –1 //

Можно, с определённой достоверностью https www opennet ru openforum vsluhforu, Аноним (38), 11:16 , 26-Май-23, (35)

Но вот только никто не знает как именно была проведена проверка Все основано на , Анонин (?), 11:28 , 26-Май-23, (39)

Надо выставлять уровень доверия при подписи чужого ключа Результатом WOT есть не, Аноним (42), 12:12 , 26-Май-23, (42) +1
Ещё 2 графических примера цепочек доверия между ключами https git kernel org p, Аноним (42), 12:22 , 26-Май-23, (43)

Отчаиватся не надо Многие дистрибутивы NIX и проекты разработки свободного ПО , Аноним (49), 13:09 , 26-Май-23, (49)

Еще раз Вопрос не про уровень доверия при подписи чужого ключа А про то наско, Анонин (?), 12:48 , 26-Май-23, (45)

1 Нужно 5 цепочек к ключу Одной цепочки от однокласника Васи маловато Но есл, Аноним (49), 13:19 , 26-Май-23, (50)

То это ничего не значит, т к ты все равно не знаешь, можно ли верить этому 11А,, Аноним (68), 15:13 , 26-Май-23, (68) –1

Значат Вася знает Вову и подписал его ключ Вова знает Вадима и подписал ключ Вад, Аноним (125), 13:19 , 27-Май-23, (126)

потому что мельком видел его на тусовке каких-то фриковили на самом деле нихрена, пох. (?), 16:11 , 27-Май-23, (127)

PGP на для всех подходит Необходимо быть трезвым и аккуратным при проверке Ф И , Аноним (130), 18:07 , 27-Май-23, (132)

нет, надо просто подписать пачку ключей неглядя Рано или поздно твою подпись под, пох. (?), 16:53 , 28-Май-23, (144)
Чем больше цепочек доверия и чем они короче тем выше доверие к ключу PGP довольн, Аноним (160), 07:43 , 03-Июн-23, (160)

А что делать Геннадию, который всех этих людей никогда не видел и не увидит , Аноним (68), 22:34 , 27-Май-23, (136)

Гена хорошо знает Гришу и они обменялись публичными ключами Гриша встретился с В, Аноним (160), 06:55 , 03-Июн-23, (159)

Это всего одна из многих цепочек доверия Есть и другие цепочки доверия Общий у, Аноним (49), 13:37 , 26-Май-23, (54)

Читаем https blog yossarian net 2023 05 21 PGP-signatures-on-PyPI-worse-than-u, Аноним (114), 05:48 , 27-Май-23, (114) +1

Вот целая статья https blog yossarian net 2023 05 21 PGP-signatures-on-PyPI-wo, Аноним (21), 09:56 , 26-Май-23, (21)
Потому что Authy, Google Authenticator требуют как минимум твой телефон, им хоче, paranoed (?), 14:29 , 26-Май-23, (61) //

TOTP можно использовать хоть на ПК, и через него никакая инфа пользователя не вы, Аноним (90), 18:01 , 26-Май-23, (91) +1

https www opennet me openforum vsluhforumID3 130586 html n OpenEcho 11, OpenEcho (?), 14:48 , 26-Май-23, (66)

переставлять кровати проще чем чинить протекающую крышу , Аноним (3), 08:53 , 26-Май-23, (3) +4 //

там крыша была как у поросенка ниф-нифа, ее давно сдуло легким сквознячком , пох. (?), 16:13 , 26-Май-23, (75)
Только вот протекающая крыша у нас - это PGP Его уже лет двадцать никто в здрав, Аноним (114), 05:50 , 27-Май-23, (115)

Т е если разработчик изначально сопровождает свой вредоносный пакет к нему ника, Аноним (18), 09:46 , 26-Май-23, (17) //

За ним Пативэн приедет , Аноним (28), 10:48 , 26-Май-23, (28) //

Ага и Дед Мороз на Новый Год подарки не подарит , Аноним (18), 11:17 , 26-Май-23, (36)

Где ты в новости увидел текст, из которого это следует , Аноним (90), 14:08 , 26-Май-23, (58) +1 //

Где ты увидел что они что-то будут делать , Аноним (18), 16:05 , 26-Май-23, (71) //

Не разводи клоунаду https www opennet ru opennews art shtml num 59168, Аноним (114), 06:14 , 27-Май-23, (118)

Если кого-то насильно заставлять делать двухфакторку, то он сведет ее к однофакт, Аноним (19), 09:52 , 26-Май-23, (19) +6 //

Отличная история Типа годами разрабатывать и поддерживать либу на PyPi тебе не , Аноним (21), 10:06 , 26-Май-23, (24) –1 //

А если он разряжен А если в нем и так куча TOTP-кодов А если TOTP-код будет ва, Аноним (19), 10:12 , 26-Май-23, (25) +2 //

Ну ёлки - так и пиши, что во время, гм, работы обе руки заняты, чо стесняться-, User (??), 11:01 , 26-Май-23, (30)
Ты это серьезно Шикарные аргументы, чтобы похерить безопасность Чел, не развод, Аноним (90), 14:16 , 26-Май-23, (59) +1

А зачем её защищать от компроментации Оставить sorry my account was hacked , Akteon (?), 10:37 , 26-Май-23, (26)
да, заниматься соврешенно ненужной хренью внезапно может быть лень Ради очередн, пох. (?), 13:24 , 26-Май-23, (51) +1
Защитить от компрометации кем Вы не думали о том, что люди часто делаю либы для , Легивон (?), 19:47 , 26-Май-23, (106) +2 //

Вполне понимаю реакцию таких людей на попытку диктовать им условия Постольку по, Аноним (114), 00:01 , 28-Май-23, (138) –1

Есть консольные генераторы totp которые можно использовать в юнитах системд или , тотп (?), 11:14 , 26-Май-23, (34) +2 //

консольные или умеющие именно в скрипты Покажь последний хоть один, друг очень , пох. (?), 13:25 , 26-Май-23, (52) +1 //

oathtool посмотрите, Stanislavvv (?), 15:25 , 26-Май-23, (70)

о, спасибо, знатная говорящая лягуха, отлично дополнит генератор в Браузере , пох. (?), 16:08 , 26-Май-23, (73)

Ну, вообще-то нет Это все равно двуфакторка, потому что если кто-то узнает твой, Аноним (21), 17:22 , 26-Май-23, (80) +1 //

вот откуда он его узнает если у тебя не свистнули и не взломали комп она вообще , пох. (?), 18:07 , 26-Май-23, (92) //

Блжд, ну в новости же написано в результате утечки учётных данных, использовани, Аноним (102), 19:04 , 26-Май-23, (102)

П-дежь и чушь собачья там написана, ну и что с этого Особенно про методы социаль, пох. (?), 21:50 , 26-Май-23, (110)

Оно https www avangard ru rus private cards card_with_display , Anonymus (?), 20:48 , 27-Май-23, (133)

Не, у этих оно было только для премиум-клиентов не знаю как сейчас, я давно от , пох. (?), 21:38 , 27-Май-23, (134)

Пользуйся хардварным токеном Даже нажимать ничего не нужно, потрогал и лады , Аноним (108), 23:33 , 26-Май-23, (112) //

а если я не хочу ради подписывания своего лефтпада платить безумные деньги за ко, пох. (?), 16:12 , 27-Май-23, (128) //

Не можешь позволить пару копеек на токен потратить 8212 двигай ручками и гене, Аноним (108), 04:55 , 28-Май-23, (142)

Могу позволить себе просто не ублажать пиписек Не умеют в верификацию пакетов, , пох. (?), 09:07 , 28-Май-23, (143)

Молодец, догадался Именно потребителям она и нужна Без потребителей 100 кода , Аноним (108), 17:29 , 28-Май-23, (145) –1

PS Мну уже годы как усилил таким образом безопасность, привязав github на арен, Akteon (?), 10:43 , 26-Май-23, (27) +2 //

Скрыто модератором, ivan_erohin (?), 10:54 , 26-Май-23, (29)
PSНекоторые спрашивают какой план Б Локальные репозитории в любом случае оста, Akteon (?), 11:11 , 26-Май-23, (33) +1 //

Почему бы тогда сразу не разрабатываться локально, зачем что-то выкладывать , Аноним (18), 11:18 , 26-Май-23, (37) //

1 Так исторически сложилось2 Там не один github , Akteon (?), 11:46 , 26-Май-23, (41)

все правильно сделал Правда следующая итерация - выпилить нахрен репо и положит, пох. (?), 13:27 , 26-Май-23, (53) //

А ссылку то на что давать Хостер однажды забыл прислать мне письмо, я и не запл, n00by (ok), 14:04 , 26-Май-23, (56) –3 //

ну не будь лохом, пользуй хостера который просто списывает с карты Где взять кар, пох. (?), 16:09 , 26-Май-23, (74)

Карта у меня водилась в то время, и даже имелось полтора банкомата на всю деревн, n00by (ok), 07:58 , 27-Май-23, (122) –1

А ты как локалхостов ру поступай хости у себя под кроватью А сгорит вместе с д, Аноним (108), 17:32 , 28-Май-23, (146)

в целом да, тебе это уже точно будет неважно говорю как краевед, успешно прое , пох. (?), 20:24 , 28-Май-23, (147)

Не мы, а вы Я для себя и детей этот вопрос позитивно решил больше десяти лет то, Аноним (108), 02:37 , 29-Май-23, (151)

тот проект без страны был, увы, бесполезен Он именно местная история - теперь п, пох. (?), 09:57 , 29-Май-23, (152)

Как сказал один пот если где-то что-то зажигают, значит это кому-то нужно В общ, n00by (ok), 09:23 , 30-Май-23, (156) –2

Ну так ты действительно усилил, потому что левый васян, получивший твой пароль, , Аноним (114), 05:54 , 27-Май-23, (116)

Шли бы они нахер со своим PyPI Моя разработка всё актуальнее и актуальнее , Аноним (40), 11:37 , 26-Май-23, (40) +3 //

Скрыто модератором, anonnnn (?), 12:47 , 26-Май-23, (44) //

Скрыто модератором, Аноним (47), 13:01 , 26-Май-23, (47) +1

Все антиюниксовые проекты так или иначе следуют в фарватере корпораций и наследу, Аноним (20), 13:03 , 26-Май-23, (48) //

Судя по минусующим жироватого, таки там сейчас фаза ОТРИЦАНИЕ , Dzen Python (ok), 21:33 , 26-Май-23, (109) –1
А почему вы не финансируете митинги и партии во всех странах за свободу от рабст, рабификатор (?), 06:40 , 27-Май-23, (119) –1
Вот где реальная киберсвобода, да , Аноним (140), 00:21 , 28-Май-23, (140) +1

Зачем там двухфактор Почему просто пароля недостаточно Или тут опять повесточка, Аноним (55), 13:48 , 26-Май-23, (55) +1 //

Новость не читай, комментарий пиши , Аноним (90), 14:06 , 26-Май-23, (57) –2 //

От взлома жопы разработчика паяльником, пальцев - дверью, благосостояния - щедры, Аноним (47), 14:35 , 26-Май-23, (64) +1

Очевидно, чтобы злоумышленники не получили доступ к пакетам, если узнали пароль , Аноним (21), 17:28 , 26-Май-23, (88)
чтобы тебя вычислять по видеокамерам и заставлять тебя бояться организовывать ми, рабификатор (?), 06:43 , 27-Май-23, (120)

Друзья, а вам не кажется, что слишком кучно пошло с навязыванием двухфакторок ве, Аноним (77), 17:00 , 26-Май-23, (77) +3 //

Я предлагаю тебе наконец-то почитать, как работает стандарт TOTP, и не пороть чу, Аноним (21), 17:24 , 26-Май-23, (81) –6
Скрыто модератором, annonn_2 (?), 17:25 , 26-Май-23, (82) –2
тут некто Хэнлон пробегал Бритвой машет Будь очень осторожен , пох. (?), 18:08 , 26-Май-23, (93) –3 //

Про замедление айфонов эплом ты теперь тоже кидался ненужной конспирологией , д, Аноним (140), 00:22 , 28-Май-23, (141)

Двухвакторку навязывают злонамеренные корпорации чтобы ограблять и обманывать ан, Самый Лучший Гусь (?), 18:48 , 26-Май-23, (96) –1
Например, сопровождающим пакетов Pypi, чтобы не обделаться на весь мир , Аноним (102), 19:06 , 26-Май-23, (103) –2 //

Скрыто модератором, Аноним (-), 23:21 , 28-Май-23, (150)

Скрыто модератором, YetAnotherOnanym (ok), 18:49 , 26-Май-23, (97) –2 //

Скрыто модератором, Аноним (114), 06:10 , 27-Май-23, (117) //

Скрыто модератором, YetAnotherOnanym (ok), 08:53 , 27-Май-23, (124)

Раньше комитили мусор все подряд, теперь будут комитить мусор все подряд,но с 2х, Профессор (?), 19:02 , 26-Май-23, (101) +5 //

теперь вы все стали рабами и вам переписали права человека пока вы все были в ст, рабификатор (?), 06:44 , 27-Май-23, (121) +1

Предлагаю им сделать подтверждение личности при регистрации по фотосету дикпиков, Аноним (129), 16:54 , 27-Май-23, (129) //

Они как раз начнут соревноваться в генерации дипфэйков дикпиков Впрочем для шту, Аноним (149), 22:55 , 28-Май-23, (149)

Даю лайфхак, опробованный на гитхабе - просто выкладывайте QR код от TOTP в пабл, Аноним (155), 23:18 , 29-Май-23, (155)

Сообщения [Сортировка по времени | RSS]

31. "PyPI переходит на обязательную двухфакторную аутентификацию " –1 +/–

Сообщение от Анонин (?), 26-Май-23, 11:05

Ахаха, люди для людей? Серьезно?? Скорее отбитые зад...ты для таких же отбитых зад...тов.
Вот есть ключ Васи, который лежит в каком-то занюханом хранилище, который "верифицировал" Биба и Боба, которые бухали с Васей на каком-то гнутом мероприятии, которых "верифицировали" Пупа и Лупа, которые вообще хз кто, которых ... и т.д.
И Вася говорит - вот мой ключ, мне можно верить!

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

35. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (38), 26-Май-23, 11:16

Можно, с определённой достоверностью: https://www.opennet.me/openforum/vsluhforumID3/130586.html#41
Аккуратно выставлять уровни доверия к ключам:
  Если это ключ однокурсника, сотрудника, которых паспортные данные Ф.И.О. фото ты 100% знаешь и их E-mail 100% верифицирован - высокий уровень.
  "Бухали на PGP-парти", но первый раз вижу, паспорта не показывали, E-mail не верифицировали, но с их рук получил распечатаный PGP ID c Fingerprint-том ключа - самый низкий уровень доверия.

Ответить | Правка | Наверх | Cообщить модератору

39. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Анонин (?), 26-Май-23, 11:28

Но вот только никто не знает как именно была проведена проверка.
Все основано на доверии к конкретному проверяющему, которого по факту нет.

Ответить | Правка | Наверх | Cообщить модератору

42. "PyPI переходит на обязательную двухфакторную аутентификацию " +1 +/–

Сообщение от Аноним (42), 26-Май-23, 12:12

Надо выставлять уровень доверия при подписи чужого ключа.
Результатом WOT есть несколько цепочек доверия от твоего ключа к интересующему тебя ключу. Если таких цепочек ~5, то уровень достоверности можно считать приемлемым. Меньше 3 цепочек, наверно, сегодня уже не достаточно.
Графический пример 4 цепочек доверия между ключём "Linus Torvalds 79BE3E4300411886" и ключом "Steven Miao 9A2698CDCF8E49C7"
https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/plain...
Чем короче путь цепочки (меньше посредников), тем выше доверие.

Ответить | Правка | Наверх | Cообщить модератору

43. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (42), 26-Май-23, 12:22

Ещё 2 графических примера цепочек доверия между ключами:
https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/plain...
https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/plain...
В OpenPGP технология WOT работает не быстро. Нужны годы. Студент подпишет ключи однокурсников, закончит ВУЗ пойдёт на работу, подпишет ключи сотрудников, может сменит работу и подпишет ключи сотрудников на другой работе. Через 5-10 лет получится очень хороший Web Of Trust (WOT).

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

49. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (49), 26-Май-23, 13:09

> ... Нужны годы. ...  Через 5-10 лет получится очень хороший Web Of Trust (WOT).
Отчаиватся не надо. Многие дистрибутивы *NIX и проекты разработки свободного ПО поддерживают, достаточно хорошо верифицированные публичные ключи:
ALTLinux https://git.altlinux.org/gears/a/alt-gpgkeys.git?p=alt-gpgke...
ArchLinux https://archlinux.org/master-keys/
https://archlinux.org/people/trusted-users/
https://gitlab.archlinux.org/archlinux/archlinux-keyring/-/t...
Linux kernel https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/...
Gentoo https://www.gentoo.org/inside-gentoo/developers/
https://packages.gentoo.org/categories/sec-keys
Debian https://salsa.debian.org/debian-keyring/keyring/-/tree/maste...
QTox https://github.com/qTox/qTox#gpg-fingerprints
Ищите публичные ключи на официальных сайтах проектов...

Ответить | Правка | Наверх | Cообщить модератору

45. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Анонин (?), 26-Май-23, 12:48

Еще раз. Вопрос не про "уровень доверия при подписи чужого ключа".
А про то насколько вообще можно доверять этому уровню.
Есть какой-то чел, у него есть пара подписей от однокласников и все. Кого бы он не подписывал - его подпись будет ничтожна, даже если эти однокласники проставили ему "мамой клянусь это он!"
> Нужны годы.
И в этом тоже проблема. За годы можно пролюбить приватный ключ кучу раз.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

50. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (49), 26-Май-23, 13:19

1. Нужно ~5 цепочек к ключу. Одной цепочки от однокласника Васи маловато. Но если ключ Васи подписал весь 11А класс и у тебя >5 разных цепочек доверия к ключу Васи?!!
2. Приватные ключи надо охранять, смотри п.1: https://www.opennet.me/openforum/vsluhforumID3/130586.html#21
3. После атаки на сервера ключей многие дистры стали распространять OpenPGP ключи через свои репозитории пакетов, например для Gentoo: https://packages.gentoo.org/categories/sec-keys
Смотри пакеты *keyring*, *pgp*, *keys* в репах своего любимого дистра.

Ответить | Правка | Наверх | Cообщить модератору

68. "PyPI переходит на обязательную двухфакторную аутентификацию " –1 +/–

Сообщение от Аноним (68), 26-Май-23, 15:13

> 1. Нужно ~5 цепочек к ключу. Одной цепочки от однокласника Васи маловато. Но если ключ Васи подписал весь 11А класс и у тебя >5 разных цепочек доверия к ключу Васи?!!
То это ничего не значит, т.к. ты все равно не знаешь, можно ли верить этому 11А, и вообще, "кто все эти люди и существуют ли они на самом деле?" Верить можно только человеку, у которого лично видел его ключ в виде тату, набитой на его же заднице.

Ответить | Правка | Наверх | Cообщить модератору

126. "WoT" +/–

Сообщение от Аноним (125), 27-Май-23, 13:19

Значат!
Вася знает Вову и подписал его ключ.
Вова знает Вадима и подписал ключ Вадима, загрузил его на сервера ключей.
Вася не знает Вадима, но скачал прошу подписанную его ключом.
Вася качал ключ Вадима с серверов ключей. И Вася верит подлинности скачанного ключа Вадима ибо на нем стоит подпись Вовы которого Вася знает лично.
Таким образом Вася может удостоверится в аутентичности и целостности потом скачаной от Вадима.

Ответить | Правка | Наверх | Cообщить модератору

127. "WoT" +/–

Сообщение от пох. (?), 27-Май-23, 16:11

> Вася знает Вову
потому что мельком видел его на тусовке каких-то фриков
> Вова знает Вадима и подписал ключ Вадима, загрузил его на сервера ключей.
или на самом деле нихрена его не знает и подписал стопиццот ключей бухим и укуренным на такой же тусовке, мельком может даже глянув документы, но поскольку был бухой - можно было хоть проездной ему показать.
Вася болел ковидом и на ту тусовку не попал, поэтому не в курсах, а на той первой не наливали, она вообще веганская.
Теперь -
> Вася верит подлинности скачанного ключа Вадима ибо на нем стоит подпись Вовы которого Вася знает лично.
Вася полный лох. Не будь как Вася.
pgp - фееричное г-но именно потому что у него нет понятия "я готов принять этот ключ, здесь и сейчас, потому что у меня есть какие-то мутные но основания полагать, что он все же настоящий, но не в критичной для меня среде и не для подписывания им совсем уже мутных ключей"
Либо доверяешь всем васянам подряд, либо нет.
Правильно сделано - опять у ssh (потому что это Йлонен а не смузихипстерки и не долбанавты из универов) - ключ сам по себе ничего не подтверждает, если его нельзя перепроверить по другому каналу, но вот если второй раз и именно это место внезапно показывает другой - вот это повод бить тревогу.
И больше никак эту криптомусорку использовать просто нельзя.

Ответить | Правка | Наверх | Cообщить модератору

132. "WoT" +/–

Сообщение от Аноним (130), 27-Май-23, 18:07

PGP на для всех подходит. Необходимо быть трезвым и аккуратным при проверке Ф.И.О, фото, паспорта и верификации E-mail.
Хоть личная встреча является единственно достоверным источником ключей, можно использовать и другие каналы: крыпточаты, телефонную связь, почту России, ...
Есть вариант использование ключей собранных дистрибутивами *NIX:
https://www.opennet.me/openforum/vsluhforumID3/130597.html#49
В gnupg есть разные модели верификации ключей:
https://www.gnu.org/server/standards/translations/ru/gnupg/m...

--trust-model {pgp|classic|tofu|tofu+pgp|direct|always|auto}
Установить, какой модели доверия должен следовать GnuPG:
pgp
Сеть доверия, скомбинированная с подписями доверия, как это делается в PGP 5.x и более поздних. Эта модель назначается для новых баз данных доверия по умолчанию.
classic
Стандартная сеть доверия, появившаяся в PGP 2.
tofu
TOFU значит «trust on first use (доверять по первому использованию)». В этой модели ключ, который встречается впервые, запоминается. Если впоследствии другой ключ встречается с идентификатором пользователя с тем же адресом электронной почты, оба ключа помечаются как подозрительные. В этом случае при последующем пользовании любым из этих ключей выводится предупреждение с описанием противоречия, возможной причины (либо пользователь создал новый ключ, не подписав старый ключ новым, а новый старым, либо ключ подделан, либо проводится атака «человек посередине»), и у пользователя запрашивается подтверждение достоверности соответствующего ключа.
Поскольку потенциальный злоумышленник может контролировать адрес электронной почты и тем самым обойти алгоритм обнаружения противоречий, пользуясь адресом электронной почты, который выглядит сходно с доверенным адресом, то при проверке сообщений каждый раз выводится статистика количества сообщений, подписанных этим ключом. Таким образом, пользователь может легко различить атаки, в которых фальшивые ключи выдаются за ключи нормальных корреспондентов.
По сравнению с сетью доверия TOFU предлагает значительно более слабые гарантии безопасности. В частности, TOFU помогает только гарантировать непротиворечивость (то есть что адрес электронной почты связан с одним и тем же ключом). Серьезное преимущество TOFU состоит в том, что для правильного пользования требуется минимум трудозатрат. Чтобы правильно пользоваться сетью доверия, нужно активно подписывать ключи и помечать пользователей как доверенные источники ключей. Эти процедуры требуют много времени, и хрестоматийные свидетельства показывают, что даже осведомленные в вопросах безопасности пользователи редко находят время, чтобы выполнять все это скрупулезно, и вместо этого полагаются на возникающие экспромтом процедуры, подобные TOFU.
В модели TOFU правила связаны с привязкой ключей к адресам электронной почты (которые извлекаются из идентификаторов пользователей и нормализуются). Есть пять правил, которые можно установить вручную параметром --tofu-policy. Исходные правила можно установить параметром --tofu-default-policy.
Существуют правила TOFU: auto, good, unknown, bad и ask. По умолчанию применяется правило auto (если это не изменено параметром --tofu-default-policy), оно помечает привязку как ограниченно доверенную. Правила good, unknown и bad помечают привязку уровнями доверия «полное», «неизвестно» и «никогда» соответственно. Правило unknown полезно, чтобы применять TOFU только для проверки противоречий, но никогда не присваивать положительного доверия. По последнему правилу, ask, уровень доверия привязки запрашивается у пользователя. В пакетном режиме (или если контекст не допускает ввода) пользователь не запрашивается, а возвращается уровень доверия не определено.
tofu+pgp
В этой модели TOFU сочетается с сетью доверия. Уровень доверия вычисляется по каждой из моделей, а затем выбирается максимальный в следующем порядке: неизвестно < неопределенно < ограниченно < полностью < абсолютно < просрочен < никогда.
Если установить --tofu-default-policy=unknown, эту модель можно применять для реализации сети доверия с алгоритмом обнаружения противоречий TOFU, но без назначения этим алгоритмом положительных значений доверия, против чего возражали бы некоторые осведомленные в вопросах безопасности пользователи.
direct
Действительность ключа устанавливается пользователем напрямую, а не вычисляется по сети доверия. Эта модель полностью основана на ключе и не различает идентификаторы пользователя. Обратите внимание, что переход на другую модель доверия значения доверия, присвоенные ключу, трансформируются в значения доверия владельцу, что указывает на то, что вы доверяете владельцу ключа подписывать другие ключи.
always
Пропустить оценку достоверности ключей и полагать, что используемые ключи всегда достоверны. Обычно это используется, только когда есть какая-то внешняя схема оценки. Этот параметр подавляет также вывод метки «[не определено]» при проверке ключей, когда нет свидетельств, что идентификатор пользователя привязан к ключу. Обратите внимание, что эта модель доверия все же не допускает применения просроченных, отозванных или выключенных ключей.
auto
Выбирать модель доверия по тому, что записано во внутренней базе данных доверия. Это делается по умолчанию, когда такая база данных уже существует.
Можно использовать разные кейринги (хранилища ключей) с разными политиками безопасности для разной работы.
Но есть большое НО: использование PGP требует чтения, понимания документации и соблюдения аккуратности, а это не всем удобно.

Ответить | Правка | Наверх | Cообщить модератору

144. "WoT" +/–

Сообщение от пох. (?), 28-Май-23, 16:53

> PGP на для всех подходит. Необходимо быть трезвым и аккуратным при проверке Ф.И.О, фото, паспорта и
> верификации E-mail.
нет, надо просто подписать пачку ключей неглядя.
Рано или поздно твою подпись подпишет дурачок в авторитете, и все что ты понаподписывал - станет внезапно-почтидоверенным.
Я уж не говорю о том что лично я на ую вертел предъявлять тебе паспорт.
> Можно использовать разные кейринги (хранилища ключей) с разными политиками безопасности для разной работы.
нельзя. Потому что это не работа а др-во, несовместимое ни с какой серьезной работой.
А чтобы это работало - надо всю систему менять, первым делом вышвырнув из нее идиотский механизм подписей подписей подписей, и приделав вместо него репутационный.
Но этого сделать никто уже не сможет потому что во-первых старперы не дадут, во-вторых не умеют кодить - обос..сь банально поправить баг в серверах своих ключей - ни одного васяна не нашлось владеющего языком на котором они двести лет назад были тяп-ляп наг0вняканы васяном позапрошлого поколения.
Это все что нужно знать о мертворожденном pgp и тусовке др-ров на него.

Ответить | Правка | Наверх | Cообщить модератору

160. "WoT" +/–

Сообщение от Аноним (160), 03-Июн-23, 07:43

>> PGP на для всех подходит. Необходимо быть трезвым и аккуратным при проверке Ф.И.О, фото, паспорта и верификации E-mail.
> нет, надо просто подписать пачку ключей неглядя.
> Рано или поздно твою подпись подпишет дурачок в авторитете, и все что ты понаподписывал - станет внезапно-почтидоверенным.
Чем больше цепочек доверия и чем они короче тем выше доверие к ключу.
PGP довольно устойчив к действию злоумышленников. Это проверено временем и множеством БОЛЬШИХ атак.
> Я уж не говорю о том что лично я на ую вертел предъявлять тебе паспорт.
PGP работает в полной мере только при 100% идентификации Ф.И.О и верификации E-mail. Сверка фото и Ф.И.О с паспортом и PGPID даёт хороший результат.
Если ты только конечный пользователь и тебе от PGP надо только верификацию ПО написанного другими, то собирать подписи на своём ключе необязательно и следовательно, в предъявлении своего паспорта необходимости нет. Но как УЦ ты всё равно должен проверять фото и Ф.И.О. с паспорта и верифицировать E-mail тех чьи публичные ключи ты подписываешь.
А вот разработчик, подписывающий своё ПО PGP таки обязан собирать подписи на своём ключе и соответственно проходить верификацию предъявляя паспорт.
>> Можно использовать разные кейринги (хранилища ключей) с разными политиками безопасности для разной работы.
> нельзя. Потому что это не работа а др-во, несовместимое ни с какой серьезной работой.
Так все и делают. Разные пользователи, разные ключи, разные кейринги.
Для исследования PGP WoT всем советую завести отдельного пользователя и кейринг или хотя бы сбекапить свой хомяк, чтобы после экспериментов восстановить.
Любой, с неким уровнем достоверности, может завести нового пользователя, создать свой новый тестовый ключ PGP, скачать пачку "доверительных" ключей https://www.opennet.me/openforum/vsluhforumID3/130597.html#49 сделать это с разных мест через разных провов с использованием разных VPN. Скачать ключи интересующих людей с серверов ключей PGP, с сайтов проектов. Сверить полученный с разных мест ключи интересующих людей. И подписать, тестовым ключом, выбранные ключи. После этого, с определённым уровнем достоверности, у всех заработает WoT.
> А чтобы это работало - надо всю систему менять, первым делом вышвырнув из нее идиотский механизм подписей подписей подписей, и приделав вместо него репутационный.
Нет. Более надёжного чем криптографическая подпись ничего нет. Уровень доверия (репутацию) к подписываемому ключу в PGP можно выставить.
> Но этого сделать никто уже не сможет потому что во-первых старперы не дадут,
Не дадут, ибо не в серверном ПО ошибка!
> во-вторых не умеют кодить - обос..сь банально поправить баг в серверах своих ключей - ни одного васяна не нашлось владеющего языком на котором они двести лет назад были тяп-ляп наг0вняканы васяном позапрошлого поколения.
Не дадут править серверный код ибо в нём НЕТ ошибки. https://www.opennet.me/openforum/vsluhforumID3/117786.html#61
> Это все что нужно знать о мертворожденном pgp и тусовке др-ров на него.
Есть проблема в установленных, в PGP ПО лимитах, на обработку количества собранных на одном ключе подписей: https://www.opennet.me/openforum/vsluhforumID3/117882.html#4 лимит выставлен разумный, человек не сможет за свою жизнь собрать больше подписей. Вот на переполнение этих лимитов на серверах ключей и проводятся атаки спецслужб разных стран.
Эдвард Сновден с помощью PGP и WoT прошел защиту АНБ. Многие государства, включая РФ https://www.linux.org.ru/forum/security/15283293?cid=15285785 негативно относятся к PGP. Подобные атаки на PGP реализуются злонамеренно. И несмотря на жесткое противодействие и вредительство, PGP сегодня работает дальше, но требует аккуратности в использовании.
Всё что надо знать о PGP так это необходимость в его использовании, хотя бы для верификации загружаемого ISO образа вашего дистрибутива!

Ответить | Правка | Наверх | Cообщить модератору

136. "WoT" +/–

Сообщение от Аноним (68), 27-Май-23, 22:34

А что делать Геннадию, который всех этих людей никогда не видел и не увидит?

Ответить | Правка | К родителю #126 | Наверх | Cообщить модератору

159. "WoT" +/–

Сообщение от Аноним (160), 03-Июн-23, 06:55

> А что делать Геннадию, который всех этих людей никогда не видел и не увидит?
Гена хорошо знает Гришу и они обменялись публичными ключами.
Гриша встретился с Вадимом на https://www.opennet.me/opennews/art.shtml?num=59202 они аккуратно проверили Ф.И.О. фото в паспорте, верифицировали E-mail друг-друга и обменялись публичными ключами.
Гена может, с неким уровнем достоверности, доверять ключу Вадима ибо на нём стоит подпись Гриши и также верифицировать ПО написанное Вадимом.
Если все участники обменивались ключами и подписывали ключи друг-друга то Гена, с некоторым уровнем достоверности, даже может доверять ключу Васи и наоборот Вася, с некоторым уровнем достоверности, верит ключу Гены по цепочке доверия:
Гена <-> Гриша <-> Вадим <-> Вова <-> Вася
Таким образом Гена может переписываться по E-mail с Васей и быть, с некоторым уровнем достоверности, уверенным что нет MitM и их приватную переписку посторонние не читают.
Примеры цепочек доверия:
https://www.opennet.me/openforum/vsluhforumID3/130597.html#42
https://www.opennet.me/openforum/vsluhforumID3/130597.html#43

Ответить | Правка | Наверх | Cообщить модератору

54. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (49), 26-Май-23, 13:37

> Кого бы он не подписывал - его подпись будет ничтожна
Это всего одна из многих цепочек доверия. Есть и другие цепочки доверия. Общий уровень доверия к ключу состоит из сумы доверий к каждой цепочки.
Некоторые большие сообщества проводят свои PGP-парти для подписи ключей: https://tracker.debian.org/pkg/signing-party
и собрали немалое сообщество подписаных ключей:
https://salsa.debian.org/debian-keyring/keyring/-/tree/maste...
https://docs.freebsd.org/pgpkeys/pgpkeys.txt

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	31. "PyPI переходит на обязательную двухфакторную аутентификацию "	–1 +/–
	Сообщение от Анонин (?), 26-Май-23, 11:05
	Ахаха, люди для людей? Серьезно?? Скорее отбитые зад...ты для таких же отбитых зад...тов. Вот есть ключ Васи, который лежит в каком-то занюханом хранилище, который "верифицировал" Биба и Боба, которые бухали с Васей на каком-то гнутом мероприятии, которых "верифицировали" Пупа и Лупа, которые вообще хз кто, которых ... и т.д. И Вася говорит - вот мой ключ, мне можно верить!
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	35. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (38), 26-Май-23, 11:16
	Можно, с определённой достоверностью: https://www.opennet.me/openforum/vsluhforumID3/130586.html#41 Аккуратно выставлять уровни доверия к ключам: Если это ключ однокурсника, сотрудника, которых паспортные данные Ф.И.О. фото ты 100% знаешь и их E-mail 100% верифицирован - высокий уровень. "Бухали на PGP-парти", но первый раз вижу, паспорта не показывали, E-mail не верифицировали, но с их рук получил распечатаный PGP ID c Fingerprint-том ключа - самый низкий уровень доверия.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Анонин (?), 26-Май-23, 11:28
	Но вот только никто не знает как именно была проведена проверка. Все основано на доверии к конкретному проверяющему, которого по факту нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "PyPI переходит на обязательную двухфакторную аутентификацию "	+1 +/–
	Сообщение от Аноним (42), 26-Май-23, 12:12
	Надо выставлять уровень доверия при подписи чужого ключа. Результатом WOT есть несколько цепочек доверия от твоего ключа к интересующему тебя ключу. Если таких цепочек ~5, то уровень достоверности можно считать приемлемым. Меньше 3 цепочек, наверно, сегодня уже не достаточно. Графический пример 4 цепочек доверия между ключём "Linus Torvalds 79BE3E4300411886" и ключом "Steven Miao 9A2698CDCF8E49C7" https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/plain... Чем короче путь цепочки (меньше посредников), тем выше доверие.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (42), 26-Май-23, 12:22
	Ещё 2 графических примера цепочек доверия между ключами: https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/plain... https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/plain... В OpenPGP технология WOT работает не быстро. Нужны годы. Студент подпишет ключи однокурсников, закончит ВУЗ пойдёт на работу, подпишет ключи сотрудников, может сменит работу и подпишет ключи сотрудников на другой работе. Через 5-10 лет получится очень хороший Web Of Trust (WOT).
	Ответить \| Правка \| К родителю #39 \| Наверх \| Cообщить модератору


	49. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (49), 26-Май-23, 13:09
	> ... Нужны годы. ... Через 5-10 лет получится очень хороший Web Of Trust (WOT). Отчаиватся не надо. Многие дистрибутивы *NIX и проекты разработки свободного ПО поддерживают, достаточно хорошо верифицированные публичные ключи: ALTLinux https://git.altlinux.org/gears/a/alt-gpgkeys.git?p=alt-gpgke... ArchLinux https://archlinux.org/master-keys/ https://archlinux.org/people/trusted-users/ https://gitlab.archlinux.org/archlinux/archlinux-keyring/-/t... Linux kernel https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/... Gentoo https://www.gentoo.org/inside-gentoo/developers/ https://packages.gentoo.org/categories/sec-keys Debian https://salsa.debian.org/debian-keyring/keyring/-/tree/maste... QTox https://github.com/qTox/qTox#gpg-fingerprints Ищите публичные ключи на официальных сайтах проектов...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Анонин (?), 26-Май-23, 12:48
	Еще раз. Вопрос не про "уровень доверия при подписи чужого ключа". А про то насколько вообще можно доверять этому уровню. Есть какой-то чел, у него есть пара подписей от однокласников и все. Кого бы он не подписывал - его подпись будет ничтожна, даже если эти однокласники проставили ему "мамой клянусь это он!" > Нужны годы. И в этом тоже проблема. За годы можно пролюбить приватный ключ кучу раз.
	Ответить \| Правка \| К родителю #39 \| Наверх \| Cообщить модератору


	50. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (49), 26-Май-23, 13:19
	1. Нужно ~5 цепочек к ключу. Одной цепочки от однокласника Васи маловато. Но если ключ Васи подписал весь 11А класс и у тебя >5 разных цепочек доверия к ключу Васи?!! 2. Приватные ключи надо охранять, смотри п.1: https://www.opennet.me/openforum/vsluhforumID3/130586.html#21 3. После атаки на сервера ключей многие дистры стали распространять OpenPGP ключи через свои репозитории пакетов, например для Gentoo: https://packages.gentoo.org/categories/sec-keys Смотри пакеты keyring, pgp, keys в репах своего любимого дистра.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	68. "PyPI переходит на обязательную двухфакторную аутентификацию "	–1 +/–
	Сообщение от Аноним (68), 26-Май-23, 15:13
	> 1. Нужно ~5 цепочек к ключу. Одной цепочки от однокласника Васи маловато. Но если ключ Васи подписал весь 11А класс и у тебя >5 разных цепочек доверия к ключу Васи?!! То это ничего не значит, т.к. ты все равно не знаешь, можно ли верить этому 11А, и вообще, "кто все эти люди и существуют ли они на самом деле?" Верить можно только человеку, у которого лично видел его ключ в виде тату, набитой на его же заднице.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	126. "WoT"	+/–
	Сообщение от Аноним (125), 27-Май-23, 13:19
	Значат! Вася знает Вову и подписал его ключ. Вова знает Вадима и подписал ключ Вадима, загрузил его на сервера ключей. Вася не знает Вадима, но скачал прошу подписанную его ключом. Вася качал ключ Вадима с серверов ключей. И Вася верит подлинности скачанного ключа Вадима ибо на нем стоит подпись Вовы которого Вася знает лично. Таким образом Вася может удостоверится в аутентичности и целостности потом скачаной от Вадима.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	127. "WoT"	+/–
	Сообщение от пох. (?), 27-Май-23, 16:11
	> Вася знает Вову потому что мельком видел его на тусовке каких-то фриков > Вова знает Вадима и подписал ключ Вадима, загрузил его на сервера ключей. или на самом деле нихрена его не знает и подписал стопиццот ключей бухим и укуренным на такой же тусовке, мельком может даже глянув документы, но поскольку был бухой - можно было хоть проездной ему показать. Вася болел ковидом и на ту тусовку не попал, поэтому не в курсах, а на той первой не наливали, она вообще веганская. Теперь - > Вася верит подлинности скачанного ключа Вадима ибо на нем стоит подпись Вовы которого Вася знает лично. Вася полный лох. Не будь как Вася. pgp - фееричное г-но именно потому что у него нет понятия "я готов принять этот ключ, здесь и сейчас, потому что у меня есть какие-то мутные но основания полагать, что он все же настоящий, но не в критичной для меня среде и не для подписывания им совсем уже мутных ключей" Либо доверяешь всем васянам подряд, либо нет. Правильно сделано - опять у ssh (потому что это Йлонен а не смузихипстерки и не долбанавты из универов) - ключ сам по себе ничего не подтверждает, если его нельзя перепроверить по другому каналу, но вот если второй раз и именно это место внезапно показывает другой - вот это повод бить тревогу. И больше никак эту криптомусорку использовать просто нельзя.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	132. "WoT"	+/–
	Сообщение от Аноним (130), 27-Май-23, 18:07
	PGP на для всех подходит. Необходимо быть трезвым и аккуратным при проверке Ф.И.О, фото, паспорта и верификации E-mail. Хоть личная встреча является единственно достоверным источником ключей, можно использовать и другие каналы: крыпточаты, телефонную связь, почту России, ... Есть вариант использование ключей собранных дистрибутивами *NIX: https://www.opennet.me/openforum/vsluhforumID3/130597.html#49 В gnupg есть разные модели верификации ключей: https://www.gnu.org/server/standards/translations/ru/gnupg/m... --trust-model {pgp\|classic\|tofu\|tofu+pgp\|direct\|always\|auto} Установить, какой модели доверия должен следовать GnuPG: pgp Сеть доверия, скомбинированная с подписями доверия, как это делается в PGP 5.x и более поздних. Эта модель назначается для новых баз данных доверия по умолчанию. classic Стандартная сеть доверия, появившаяся в PGP 2. tofu TOFU значит «trust on first use (доверять по первому использованию)». В этой модели ключ, который встречается впервые, запоминается. Если впоследствии другой ключ встречается с идентификатором пользователя с тем же адресом электронной почты, оба ключа помечаются как подозрительные. В этом случае при последующем пользовании любым из этих ключей выводится предупреждение с описанием противоречия, возможной причины (либо пользователь создал новый ключ, не подписав старый ключ новым, а новый старым, либо ключ подделан, либо проводится атака «человек посередине»), и у пользователя запрашивается подтверждение достоверности соответствующего ключа. Поскольку потенциальный злоумышленник может контролировать адрес электронной почты и тем самым обойти алгоритм обнаружения противоречий, пользуясь адресом электронной почты, который выглядит сходно с доверенным адресом, то при проверке сообщений каждый раз выводится статистика количества сообщений, подписанных этим ключом. Таким образом, пользователь может легко различить атаки, в которых фальшивые ключи выдаются за ключи нормальных корреспондентов. По сравнению с сетью доверия TOFU предлагает значительно более слабые гарантии безопасности. В частности, TOFU помогает только гарантировать непротиворечивость (то есть что адрес электронной почты связан с одним и тем же ключом). Серьезное преимущество TOFU состоит в том, что для правильного пользования требуется минимум трудозатрат. Чтобы правильно пользоваться сетью доверия, нужно активно подписывать ключи и помечать пользователей как доверенные источники ключей. Эти процедуры требуют много времени, и хрестоматийные свидетельства показывают, что даже осведомленные в вопросах безопасности пользователи редко находят время, чтобы выполнять все это скрупулезно, и вместо этого полагаются на возникающие экспромтом процедуры, подобные TOFU. В модели TOFU правила связаны с привязкой ключей к адресам электронной почты (которые извлекаются из идентификаторов пользователей и нормализуются). Есть пять правил, которые можно установить вручную параметром --tofu-policy. Исходные правила можно установить параметром --tofu-default-policy. Существуют правила TOFU: auto, good, unknown, bad и ask. По умолчанию применяется правило auto (если это не изменено параметром --tofu-default-policy), оно помечает привязку как ограниченно доверенную. Правила good, unknown и bad помечают привязку уровнями доверия «полное», «неизвестно» и «никогда» соответственно. Правило unknown полезно, чтобы применять TOFU только для проверки противоречий, но никогда не присваивать положительного доверия. По последнему правилу, ask, уровень доверия привязки запрашивается у пользователя. В пакетном режиме (или если контекст не допускает ввода) пользователь не запрашивается, а возвращается уровень доверия не определено. tofu+pgp В этой модели TOFU сочетается с сетью доверия. Уровень доверия вычисляется по каждой из моделей, а затем выбирается максимальный в следующем порядке: неизвестно < неопределенно < ограниченно < полностью < абсолютно < просрочен < никогда. Если установить --tofu-default-policy=unknown, эту модель можно применять для реализации сети доверия с алгоритмом обнаружения противоречий TOFU, но без назначения этим алгоритмом положительных значений доверия, против чего возражали бы некоторые осведомленные в вопросах безопасности пользователи. direct Действительность ключа устанавливается пользователем напрямую, а не вычисляется по сети доверия. Эта модель полностью основана на ключе и не различает идентификаторы пользователя. Обратите внимание, что переход на другую модель доверия значения доверия, присвоенные ключу, трансформируются в значения доверия владельцу, что указывает на то, что вы доверяете владельцу ключа подписывать другие ключи. always Пропустить оценку достоверности ключей и полагать, что используемые ключи всегда достоверны. Обычно это используется, только когда есть какая-то внешняя схема оценки. Этот параметр подавляет также вывод метки «[не определено]» при проверке ключей, когда нет свидетельств, что идентификатор пользователя привязан к ключу. Обратите внимание, что эта модель доверия все же не допускает применения просроченных, отозванных или выключенных ключей. auto Выбирать модель доверия по тому, что записано во внутренней базе данных доверия. Это делается по умолчанию, когда такая база данных уже существует. Можно использовать разные кейринги (хранилища ключей) с разными политиками безопасности для разной работы. Но есть большое НО: использование PGP требует чтения, понимания документации и соблюдения аккуратности, а это не всем удобно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	144. "WoT"	+/–
	Сообщение от пох. (?), 28-Май-23, 16:53
	> PGP на для всех подходит. Необходимо быть трезвым и аккуратным при проверке Ф.И.О, фото, паспорта и > верификации E-mail. нет, надо просто подписать пачку ключей неглядя. Рано или поздно твою подпись подпишет дурачок в авторитете, и все что ты понаподписывал - станет внезапно-почтидоверенным. Я уж не говорю о том что лично я на ую вертел предъявлять тебе паспорт. > Можно использовать разные кейринги (хранилища ключей) с разными политиками безопасности для разной работы. нельзя. Потому что это не работа а др-во, несовместимое ни с какой серьезной работой. А чтобы это работало - надо всю систему менять, первым делом вышвырнув из нее идиотский механизм подписей подписей подписей, и приделав вместо него репутационный. Но этого сделать никто уже не сможет потому что во-первых старперы не дадут, во-вторых не умеют кодить - обос..сь банально поправить баг в серверах своих ключей - ни одного васяна не нашлось владеющего языком на котором они двести лет назад были тяп-ляп наг0вняканы васяном позапрошлого поколения. Это все что нужно знать о мертворожденном pgp и тусовке др-ров на него.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	160. "WoT"	+/–
	Сообщение от Аноним (160), 03-Июн-23, 07:43
	>> PGP на для всех подходит. Необходимо быть трезвым и аккуратным при проверке Ф.И.О, фото, паспорта и верификации E-mail. > нет, надо просто подписать пачку ключей неглядя. > Рано или поздно твою подпись подпишет дурачок в авторитете, и все что ты понаподписывал - станет внезапно-почтидоверенным. Чем больше цепочек доверия и чем они короче тем выше доверие к ключу. PGP довольно устойчив к действию злоумышленников. Это проверено временем и множеством БОЛЬШИХ атак. > Я уж не говорю о том что лично я на ую вертел предъявлять тебе паспорт. PGP работает в полной мере только при 100% идентификации Ф.И.О и верификации E-mail. Сверка фото и Ф.И.О с паспортом и PGPID даёт хороший результат. Если ты только конечный пользователь и тебе от PGP надо только верификацию ПО написанного другими, то собирать подписи на своём ключе необязательно и следовательно, в предъявлении своего паспорта необходимости нет. Но как УЦ ты всё равно должен проверять фото и Ф.И.О. с паспорта и верифицировать E-mail тех чьи публичные ключи ты подписываешь. А вот разработчик, подписывающий своё ПО PGP таки обязан собирать подписи на своём ключе и соответственно проходить верификацию предъявляя паспорт. >> Можно использовать разные кейринги (хранилища ключей) с разными политиками безопасности для разной работы. > нельзя. Потому что это не работа а др-во, несовместимое ни с какой серьезной работой. Так все и делают. Разные пользователи, разные ключи, разные кейринги. Для исследования PGP WoT всем советую завести отдельного пользователя и кейринг или хотя бы сбекапить свой хомяк, чтобы после экспериментов восстановить. Любой, с неким уровнем достоверности, может завести нового пользователя, создать свой новый тестовый ключ PGP, скачать пачку "доверительных" ключей https://www.opennet.me/openforum/vsluhforumID3/130597.html#49 сделать это с разных мест через разных провов с использованием разных VPN. Скачать ключи интересующих людей с серверов ключей PGP, с сайтов проектов. Сверить полученный с разных мест ключи интересующих людей. И подписать, тестовым ключом, выбранные ключи. После этого, с определённым уровнем достоверности, у всех заработает WoT. > А чтобы это работало - надо всю систему менять, первым делом вышвырнув из нее идиотский механизм подписей подписей подписей, и приделав вместо него репутационный. Нет. Более надёжного чем криптографическая подпись ничего нет. Уровень доверия (репутацию) к подписываемому ключу в PGP можно выставить. > Но этого сделать никто уже не сможет потому что во-первых старперы не дадут, Не дадут, ибо не в серверном ПО ошибка! > во-вторых не умеют кодить - обос..сь банально поправить баг в серверах своих ключей - ни одного васяна не нашлось владеющего языком на котором они двести лет назад были тяп-ляп наг0вняканы васяном позапрошлого поколения. Не дадут править серверный код ибо в нём НЕТ ошибки. https://www.opennet.me/openforum/vsluhforumID3/117786.html#61 > Это все что нужно знать о мертворожденном pgp и тусовке др-ров на него. Есть проблема в установленных, в PGP ПО лимитах, на обработку количества собранных на одном ключе подписей: https://www.opennet.me/openforum/vsluhforumID3/117882.html#4 лимит выставлен разумный, человек не сможет за свою жизнь собрать больше подписей. Вот на переполнение этих лимитов на серверах ключей и проводятся атаки спецслужб разных стран. Эдвард Сновден с помощью PGP и WoT прошел защиту АНБ. Многие государства, включая РФ https://www.linux.org.ru/forum/security/15283293?cid=15285785 негативно относятся к PGP. Подобные атаки на PGP реализуются злонамеренно. И несмотря на жесткое противодействие и вредительство, PGP сегодня работает дальше, но требует аккуратности в использовании. Всё что надо знать о PGP так это необходимость в его использовании, хотя бы для верификации загружаемого ISO образа вашего дистрибутива!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	136. "WoT"	+/–
	Сообщение от Аноним (68), 27-Май-23, 22:34
	А что делать Геннадию, который всех этих людей никогда не видел и не увидит?
	Ответить \| Правка \| К родителю #126 \| Наверх \| Cообщить модератору


	159. "WoT"	+/–
	Сообщение от Аноним (160), 03-Июн-23, 06:55
	> А что делать Геннадию, который всех этих людей никогда не видел и не увидит? Гена хорошо знает Гришу и они обменялись публичными ключами. Гриша встретился с Вадимом на https://www.opennet.me/opennews/art.shtml?num=59202 они аккуратно проверили Ф.И.О. фото в паспорте, верифицировали E-mail друг-друга и обменялись публичными ключами. Гена может, с неким уровнем достоверности, доверять ключу Вадима ибо на нём стоит подпись Гриши и также верифицировать ПО написанное Вадимом. Если все участники обменивались ключами и подписывали ключи друг-друга то Гена, с некоторым уровнем достоверности, даже может доверять ключу Васи и наоборот Вася, с некоторым уровнем достоверности, верит ключу Гены по цепочке доверия: Гена <-> Гриша <-> Вадим <-> Вова <-> Вася Таким образом Гена может переписываться по E-mail с Васей и быть, с некоторым уровнем достоверности, уверенным что нет MitM и их приватную переписку посторонние не читают. Примеры цепочек доверия: https://www.opennet.me/openforum/vsluhforumID3/130597.html#42 https://www.opennet.me/openforum/vsluhforumID3/130597.html#43
	Ответить \| Правка \| Наверх \| Cообщить модератору


	54. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (49), 26-Май-23, 13:37
	> Кого бы он не подписывал - его подпись будет ничтожна Это всего одна из многих цепочек доверия. Есть и другие цепочки доверия. Общий уровень доверия к ключу состоит из сумы доверий к каждой цепочки. Некоторые большие сообщества проводят свои PGP-парти для подписи ключей: https://tracker.debian.org/pkg/signing-party и собрали немалое сообщество подписаных ключей: https://salsa.debian.org/debian-keyring/keyring/-/tree/maste... https://docs.freebsd.org/pgpkeys/pgpkeys.txt
	Ответить \| Правка \| К родителю #45 \| Наверх \| Cообщить модератору