Armenian Knowledge Base  

Go Back   Armenian Knowledge Base > Technical sections > Languages, Compilers, Interpreters > Algorithms
Register

Reply
 
LinkBack Thread Tools
Old 28.07.2004, 14:06   #16
Академик
 
greka's Avatar
 
Join Date: 09 2001
Location: inside myself
Posts: 5,369
Downloads: 0
Uploads: 0
Reputation: 18 | 5
Default

Or Diffie-Hellman is not a part of the IPSec standard from now on :-?
)
Reply With Quote
Old 28.07.2004, 14:15   #17
Академик
 
greka's Avatar
 
Join Date: 09 2001
Location: inside myself
Posts: 5,369
Downloads: 0
Uploads: 0
Reputation: 18 | 5
Default

3-y PKCS kak-raz otnositsa k protokolu soglasovaniya klyuchey po D-H.

Chto skajesh' naschet nego?
Reply With Quote
Old 28.07.2004, 14:49   #18
спасибо, коллега
 
tig's Avatar
 
Join Date: 03 2003
Location: yerevan, am
Age: 38
Posts: 2,090
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Default

а что про PKCS говорить ? они - неизбежное зло
я и не спорю, большинство современных протоколов опираеться на Диффи-Хэллмана. просто думал если есть какой-то соответствующий стандарт, то легче отсылать студентов к нему, чем заставлять читать тяжелые книжки

а так, например, есть еще протоколы Needham-Schroeder, Beller-Yacobi и т.д.
Reply With Quote
Old 28.07.2004, 15:13   #19
Moderator
 
acid's Avatar
 
Join Date: 09 2001
Location: South Korea, Gumi
Posts: 7,699
Downloads: 102
Uploads: 34
Blog Entries: 16
Reputation: 561 | 6
Default

Quote:
Originally Posted by Obelix
>acid
Но ведь этот алгоритм довольно старый, если я конечно не ошибаюсь. И уже довольно широко используется. Думаю он уже протестирован достаточно.
Алгоритм протестирован, но надо ведь еще и конкретные реализации алгоритма протестировать?
Reply With Quote
Old 28.07.2004, 16:40   #20
VIP Роджер
 
darrel's Avatar
 
Join Date: 08 2002
Location: Yereven
Age: 50
Posts: 4,462
Downloads: 0
Uploads: 0
Reputation: 10 | 4
Default

Quote:
Originally Posted by tig
просто думал если есть какой-то соответствующий стандарт, то легче отсылать студентов к нему, чем заставлять читать тяжелые книжки
А как может быть схема (в принципе тот же алгоритм) стандартом? Я так понял, что greco имел в виду то, что это общепринятая и единственная схема, а не стандарт в юридическом смысле. На сегодняшний день стандартов на алгоритмы, как яя понимаю, быть не может, поскольку они не патентируются и не сертифицируются, ни у нас, ни в Европе.

А чего тут тяжелого, даже я со своим гуманитарным образованием и то понял ... с третьего раза Хочешь перешлю популярный материал про ЭЦП, как раз для ленивых студентов, чтобы не мучились бедняги ... правда он величиной в 1МБ ... с картинками
Reply With Quote
Old 28.07.2004, 16:48   #21
спасибо, коллега
 
tig's Avatar
 
Join Date: 03 2003
Location: yerevan, am
Age: 38
Posts: 2,090
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Default

тяжелая - например, алгоритмизация поиска интересующего сертификата да и стандартов на сертификат не один.

лучше бедненьких тяжелыми книжками попотчую, есть у меня пара таких по полторы тысячи страниц. да стандартиками интересными на закуску... правда, пока ни одного не было, чтобы больше 10 страниц прочел
Reply With Quote
Old 28.07.2004, 18:31   #22
VIP Роджер
 
darrel's Avatar
 
Join Date: 08 2002
Location: Yereven
Age: 50
Posts: 4,462
Downloads: 0
Uploads: 0
Reputation: 10 | 4
Default

Quote:
Originally Posted by tig
тяжелая - например, алгоритмизация поиска интересующего сертификата да и стандартов на сертификат не один.
Нет, видимо мое гуманитарное образование не дает мне возможности понять что такое стандарт сертификата? В России вообще серификат только на бумажке выдают, какой там может быть стандарт? Я в первый раз слышу, что на сертификаты стандартизируются. Максимум, что можно стандартизировать, так это *сертификационные услуги*, да и то только в Европе и США, поскольку понятия sertification of services (SoS) очень новое и не везде оно еще принято. Правда в Армении я часто слышу словосочетание "сертификация сетей", но люди, которые его используют выдают желаемое за действительное.

Нет, конечно сертификаты разные бывают, но стандартов на них, насколько я знаю нет и не предвидется. Вообще в Европе существует понятие аккредитации сертификационных центров, т.е. проверка на соответствие требованиям закона об эл. подписи. Процедура аккредитации включает и проверку средст ЭЦП на соответствие требованиям того же закона. Стандартов, насколько я знаю, нет.

Другое дело Россия - страна непуганных идиотов. В РФ ввели стандарт ЭЦП, но это полнейший маразм, поскольку это означает, что все прочие алгоритмы создания ЭЦП незаконны. Но в РФ этот стандарт был принят, насколько я знаю, под давлением ФАПСИ и РусКрипто с единственной целью монополизации рынка. Причем одним из требований стандарта, если я не ошибаюсь, является длина ключей - 56МБ, не меньше (есть кое-какая логика), не больше (полный маразм, видимо по заявкам сотрудников ГБ, они, видимо, больше взломать не могут, мощностей не хватает, а РусКрипто, видимо, больше и не делает, а поскольку все зарубежные аналоги как минимум 128, значит они нестандартные).

Если интересно постну требования директивы ЕС об аккредитации сертиф. центров и средст ЭЦП.
Reply With Quote
Old 28.07.2004, 18:52   #23
спасибо, коллега
 
tig's Avatar
 
Join Date: 03 2003
Location: yerevan, am
Age: 38
Posts: 2,090
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Default

я имел в виду сертификат - цифровое хранилище открытого (в некоторых случаях - закрытого) ключа и некоторой дополнительной информации о пользователе, подписанное со стороны третьего доверенного лица. тогда A вместо ключа пересылает B сертификат, из которого можно вытащить и ключ и много другой полезной информации. B же, в свою очередь, может проверить цифровую подпись доверенного лица, чтобы удостовериться, что ключи не подменили по дороге, опросить доверенное лицо на наличие такого сертификата и проверить не скомпроментирован ли он (утерян, истек срок действия, скомпроментированы ключи). это конечно все в иделе. реально же найти всю цепочку сертифицирования - задача ой ой ой. уже который год предлагаються расширения на разные сетевые протоколы с целью облегчения подобного поиска.
естественно, чтобы различные программы могли взаимодействовать друг с другом, такие сертификаты надо было стандартизировать. то есть стандартизировать их представление в памяти компьютера.
ты можешь посмотреть свои сертификаты, если откроешь IE/Tools/Internet Options/Content/Certificates/
если не ошибаюсь, в ЮЭс подобные сертификаты выдаються соответствующими организациями при наличии пасспорта.

56МБ - это мегабайты ? тогда они максималисты по полной

а на счет дыр в системах в угоду органов - это предмет постоянных споров. но дыры есть. во многих странах - законодательно подтвержденные.
Reply With Quote
Old 28.07.2004, 18:56   #24
спасибо, коллега
 
tig's Avatar
 
Join Date: 03 2003
Location: yerevan, am
Age: 38
Posts: 2,090
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Default

кстати, я так и не разобрался, у нас закон о ЭЦП приняли ? и если да, то с какого он в силе ?
Reply With Quote
Old 28.07.2004, 22:00   #25
VIP Роджер
 
darrel's Avatar
 
Join Date: 08 2002
Location: Yereven
Age: 50
Posts: 4,462
Downloads: 0
Uploads: 0
Reputation: 10 | 4
Default

Quote:
Originally Posted by tig
естественно, чтобы различные программы могли взаимодействовать друг с другом, такие сертификаты надо было стандартизировать. то есть стандартизировать их представление в памяти компьютера.
Теперь понятно о чем идет речь. Систиматизировать сертификаты должен соответствующий гос орган, который ведет регистр сертификационных центров. Задача не очень простая даже на национальном уровне, но вполне выполнимая. Что же касается стандартизации сертификатов, то как мне кажется это из области далекого будущего. Сколько лет понадобилось для совместимости некоторых приложений Видовоза и МакОса? Каждый производитель будет промотировать свою технологию и пользователи будут вынуждены выбирать ту или иную ЭЦП. В иделе будут иметь 2, 3 а может и больше средст ЭЦП. Я лично в одно время так и делал, пользовался PGP и VerySign одновременно, взависимости от того кому писал и кто писал мне.

Quote:
56МБ - это мегабайты ? тогда они максималисты по полной
сорри, конечно же это биты ... это я автоматически написал МБ
кстати сертификация в РФ предполагает предоставление кода программы и самого алгоритма ...

Quote:
а на счет дыр в системах в угоду органов - это предмет постоянных споров. но дыры есть. во многих странах - законодательно подтвержденные.
Правда? Не слышал про "законодательно подтвержденные". Наверное юридически, т.е. судебные дела были?

У нас закона нет, есть законопроект. Скорее всего, примут до конца года.
Reply With Quote
Old 29.07.2004, 09:34   #26
Академик
 
greka's Avatar
 
Join Date: 09 2001
Location: inside myself
Posts: 5,369
Downloads: 0
Uploads: 0
Reputation: 18 | 5
Default

Ну, например, Needham-Schroeder - это Diffie-Helman с участием третьей (trusted) стороны.

Было бы интересно послушать, почему PKCS - зло?
Reply With Quote
Old 29.07.2004, 09:44   #27
Академик
 
greka's Avatar
 
Join Date: 09 2001
Location: inside myself
Posts: 5,369
Downloads: 0
Uploads: 0
Reputation: 18 | 5
Default

2 darrel: сертификат - понятие не законодательное, в даннмо случае, сколько техническое.

by tig: "...алгоритмизация поиска интересующего сертификата да и стандартов на сертификат не один..."

Постольку поскольку если сертификатов несколько, то они могут образовать лишь цепь - т.е. нет ответвлений и пр.
Это означает, что "поиск сертификата" есть просто просмотр линейного списка сертификатов.

В одной из последних (если не ошибаюсь) реализаций OpenSSL была обнаружена ошибка касательно именно цепи сертификатов - там можно было выдать подпись злоумышленника за подпись trusted стороны.

Предполагаю, что была неверно реализована именно проверка цепи.

Нередко проверяют на достоверность лишь последний сертификат.
Но злоумышленнику не составит труда купить за 20$ сертификат у VeriSign-а, и перерподписать все что ему нужно, а сверху заляпать еще каким-то трастед-сертификатом.
Reply With Quote
Old 29.07.2004, 10:53   #28
Грустно...
 
Agregat's Avatar
 
Join Date: 08 2002
Location: Там, где всегда идут дожди
Age: 35
Posts: 21,717
Downloads: 2
Uploads: 0
Reputation: 250 | 7
Default

A vse ravno, iirc, v Armenii ego ispol'zovat' nel'zya, tak chto vse eto erunda!
Reply With Quote
Old 29.07.2004, 11:08   #29
спасибо, коллега
 
tig's Avatar
 
Join Date: 03 2003
Location: yerevan, am
Age: 38
Posts: 2,090
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Default

greco El, а ты пробовал PKCS-ы реализовывать ? веселейшее занятие

цепи сертификатов - идеальный случай. а что скажешь об организации с парой сотен CA, которым совсем не обязательно наследоваться друг от друга, уж тем более организовываться в цепочки ?


как ты думаешь, почему PKI заглох ?
Reply With Quote
Old 29.07.2004, 11:14   #30
спасибо, коллега
 
tig's Avatar
 
Join Date: 03 2003
Location: yerevan, am
Age: 38
Posts: 2,090
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Default

Quote:
Originally Posted by darrel
Правда? Не слышал про "законодательно подтвержденные". Наверное юридически, т.е. судебные дела были?
в US есть рекомендации организации, носящей гордое название NSA, ограничивающие, например, максимальную защиту для продуктов, производящихся не для внутреннего пользования. там еще много интересных ограничений было. потом их вроде отменили. после 11 сентября некоторые опять вспомнились.
Reply With Quote
Sponsored Links
Reply

Thread Tools


На правах рекламы:
реклама

All times are GMT. The time now is 15:03.


Powered by vBulletin® Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.