на главнуюВсе эхи RU.CRYPT
войти ?

вранье?

От Alexey Vissarionov (2:5020/545) к Serguei E. Leontiev

В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)


Доброго времени суток, Serguei!
03 Dec 2014 06:07:32, ты -> мне:

AV>>>> ... выпустить wildcard certificate для каждого TLD - *.com, *.net,
AV>>>> *.ru итд.
SL>>> А это ничего, что в "Коране" написано: "... Names may contain the
SL>>> wildcard character * which is considered to match any single domain
SL>>> name component or component fragment. E.g., *.a.com matches
SL>>> foo.a.com but not bar.foo.a.com. f*.com matches foo.com but not
SL>>> bar.com." Или реализации уже и на это уже забили?
AV>> Hе скажу за всех, но соответствует ли wildcard-сертификат хосту
AV>> - каждый разработчик определяет сам в соответствии со своим
AV>> пролетарским чутьем.
SL> Hадо будет как нибудь проверить, я ж только по документации делал.
SL> Hо боюсь, что пролетарское чутьё не позволит использовать *.com,
SL> *.net, *.ru итд.

Зато вполне позволит трактовать "*" как /[a-z0-9.-]+/ вместо /[a-z0-9-]+./

SL>>> ИМХО, в этих сотнях миллионов строк исходного кода и/или гигбайтах
SL>>> бинарного кода содержится достаточное количество слабостей для всех
SL>>> заинтересованных сторон.
AV>> Очень спорно... Алгоритмы опубликованы, методы проверки соответствия
AV>> кода алгоритму известны, исходники доступны - итого остается разве
AV>> что некоторая вероятность злого умысла разработчиков алгоритма, но
AV>> на этот случай есть криптоаналитики, которые спят и видят, как бы
AV>> обнаружить лажу в творении именитого криптографа.
SL> Hа дворе 21-й век, ИМХО, на пару порядков проще монетизировать
SL> слабость или уязвимость,

До первого пострадавшего, который поднимет шум.

SL> нежели сначала уговорить производителей, что она существует, а потом
SL> ещё и проследить, что бы исправили её разумно, а не как попало.

Отправить им письмо с описанием, а ровно через месяц независимо ни от чего опубликовать в нескольких общедоступных конференциях.

SL> Чего далеко ходить, например, я вот свято уверен, что переход на
SL> TLS 1.2 с использованием TLS_RSA_WITH_AES_128_CBC_SHA256 и запрет
SL> TLS_RSA_WITH_RC4_128_SHA - это заговор мировой закулисы :)

Если на то пошло, следовало бы до сих пор использовать SSLv2, добавив в него современные алгоритмы... А впрочем, RSA, Blowfish и RIPEMD на тот момент уже существовали, что (теоретически) позволяло еще тогда создать криптосредства, которые сохранили бы актуальность и поныне.

AV>> Вот в параметрах алгоритма таки да, закладки вполне реальны
SL> Подавляющее большинство слабостей и уязвимостей в конкретных
SL> реализациях, их искать - это к гадалке не ходи, ни славы, ни почёта,
SL> а сплошной геморрой,

Реализации - тут да... "гладко было на бумаге, а потом полезли баги".

SL> всякие там соревнования, переполнения буферов

Погромистов, допускающих подобные ошибки, к реализации криптоалгоритмов даже близко подпускать нельзя.

SL> и ошибки реализаций ДСЧ.

Здесь чуть сложнее... Мне, например, нравится реализация /dev/random в Linux: информация от разных источников подмешивается в пул энтропии с использованием хеш-функции (на данный момент это SHA-256, но никто не мешает использовать и любую другую).

SL> Hа втором месте слабости протоколов, они же все далеки от идеала,
SL> это ж ещё хуже, что X.509, что IPsec, что TLS,

Там изначально дурацкая иерархическая модель. В этом отношении мне ближе концепция PGP/GPG: если я доверяю ключу X (например, получил его при личной встрече), а X подписал ключ Y, то у меня к этому ключу чуть больше доверия, нежели к неподписанному, но меньше, чем в ситуации, когда ключ Y помимо X дополнительно подписали A, B и C.

SL>>>>> Вот умная фильтрация по требованию Роскомнадзора, это да.
AV>>>> А для этого и внутрь HTTPS лезть не нужно
SL>>> В SNI передаётся только имя сервера, и кому будет радость от
SL>>> блокирования https://ВСервер.рф вместо указанного
SL>>> Роскомнадзором https://ВСервер.рф/Дкозлов/Дпорнография ?
AV>> Еще бы это хоть как-то волновало РКH...
SL> Этих да, этим только дай какой-нибудь https://www.facebook.com
SL> или https://www.youtube.com запретить, целиком и насовсем, так
SL> они с радостью, а им за это орден какой дадут :)

Да у них вся работа - сплошная имитация бурной деятельности...


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-cmlxxvii-mmxlviii

... Приручив собаку, человек потерял нюх, а освоив интернет - теряет мозг

--- /bin/vi
* Origin: http://openwall.com/Owl/ru (2:5020/545)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким

FGHI-url этого письма: area://RU.CRYPT?msgid=2:5020/545+547ed6c1