ComputerWorld - Štiri tedne je minilo, odkar so odklopili hrbtenico spama, podjetje McColo z interneta. Zlikovci so se ves poskušali reorganizirati ter vzpostaviti in zagnati nove strežnike za nadzor botnetov; kaže, da jim počasi uspeva. Ravni so se dvignile že na slabi dve tretjini predapokaliptičnih, tako da so včeraj poslali že 96,8 milijarde nezaželenih sporočil, v časih McCola pa je ta številka dosegala 150 milijard, takoj po odklopu pa 64 milijard. Ponoven razmah je plod drugih botnetov, ki jih McColova smrt ni prizadela.
Strokovnjaki pravijo, da so govorice o vrnitvi Srizbija in Rustocka med žive večinoma iz trte izvite, dodajajo pa, da ne gre za monolitne strukture. Nadzoruje jih več ljudi, ki so dele omrežja uspeli obnoviti in reaktivirati. Kljub temu se zdi, da sta nekdaj prvi in tretji največji botnet postala manj pomembna igralca na globalnem trgu. So ju pa nadomestili drugi, npr. stari znanci Mega-D, Cutwail in Kraken, in včasih marginalna, sedaj pa kar porejena Xarvester in Gahg. Novih botnetov ni opaziti, a so se pošteno premešale karte.
Največje presenečenje je uplahnitev življenjske moči Srizbija, ki se je nekaj časa tako krčevito boril za obstanek, da ga je FireEye komaj krotil in kasneje tudi obupal. Špekulira se, da so se spamerji odločili, da se podpora Srizbija iz takšnih ali drugačnih razlogov ne izplača več.
Novice » Zasebnost » Prihajajo novi spamerji
fery ::
Osnova za nemoteno pošiljanje spama so odklenjeni mail serverji. Tu se vidi vsa dvoličnost pokvarjenega sveta. Če bi rabili odhodni serverji account oz. password bi bila avtomatika veliko težje uresničljiva (ne pa tudi nemogoča), predvsem pa veliko bolj počasna. Ker pa se tu obračajo veliki denarji, je zelo očitno, da razen občasnih ustavitev, onemogočanje spama ni v prioriteti tistih, ki bi to lahko tudi storili.
Matej_ ::
Enostavna rešitev za vse težave s spam-om bi bila zahteva, da je vsak mail digitalno podpisan. To bi bil plus na kar nekaj nivojih:
-Za vsak mail bi se natanko vedelo kdo ga je poslal.
-Digitalni podpis ima enako težo kot lastnoročni (nezatajljivost, pravne posledice...).
-Integriteta sporočila predstavljenega prejemniku bi bila zagotovljena.
-Če bi se zgodilo, da bi bila kaka od certifikatskih agencij tarča napada ali bi zlorabila zaupanje, bi bilo možno te certifikate preprosto blokirati.
-Po istem principu bi lahko vsak lokalno izvajal zanesljivo filtriranje neodvisno od vsebine v telesu sporočila, navedenega pošiljatelja, naslova...
-Za res paranoične bi bilo možno celo definiranje tistih, ki ti mail lahko pošljejo (npr. le s SIGENCA certifikatom...)
-...
-Za vsak mail bi se natanko vedelo kdo ga je poslal.
-Digitalni podpis ima enako težo kot lastnoročni (nezatajljivost, pravne posledice...).
-Integriteta sporočila predstavljenega prejemniku bi bila zagotovljena.
-Če bi se zgodilo, da bi bila kaka od certifikatskih agencij tarča napada ali bi zlorabila zaupanje, bi bilo možno te certifikate preprosto blokirati.
-Po istem principu bi lahko vsak lokalno izvajal zanesljivo filtriranje neodvisno od vsebine v telesu sporočila, navedenega pošiljatelja, naslova...
-Za res paranoične bi bilo možno celo definiranje tistih, ki ti mail lahko pošljejo (npr. le s SIGENCA certifikatom...)
-...
PaX_MaN ::
Najbolj enostavna rešitev bi bila, da bi jih enostavno ignorirali.
Če ni gnara, ni muzke.
Če ni gnara, ni muzke.
Looooooka ::
enostavna resitev bi bla da se na isti dan ubije trenutn mail protokol in nardi novga ki bi deloval na podobnem principu kot DNS...pa naj se grejo jebat.
se bl enostavna resitev v casu debilnih protiteroristicnih zakonov ki jih je sprejel ze prakticno cel svet...je pa to da se spam da pod podobno zakonodajo in se policiji pusti da pride do teh streznikov(ker itak tocn vejo kje so) in se jim lepo prereze kabel in na mestu razbije masine ter zmecka diske.
Osebno mi je tretja se najbl vsec.
Ignoriranje spama ne deluje ker spam med drugim zre traffic po internetu plac na mail streznikih in zivce administratorjem ki morjo pol pisat rule in upat da komu ne zbrisejo kksnega resnicnega "u just won a million dollars" emaila.
se bl enostavna resitev v casu debilnih protiteroristicnih zakonov ki jih je sprejel ze prakticno cel svet...je pa to da se spam da pod podobno zakonodajo in se policiji pusti da pride do teh streznikov(ker itak tocn vejo kje so) in se jim lepo prereze kabel in na mestu razbije masine ter zmecka diske.
Osebno mi je tretja se najbl vsec.
Ignoriranje spama ne deluje ker spam med drugim zre traffic po internetu plac na mail streznikih in zivce administratorjem ki morjo pol pisat rule in upat da komu ne zbrisejo kksnega resnicnega "u just won a million dollars" emaila.
techfreak :) ::
Po mojem najboljše, da v šoli uvedejo poseben predmet, kjer se bodo učili o tem, kako prepoznati spam.
Pa tudi za odrasle bi morali kakšne delavnice ali pa nekaj imeti. Ker vsekakor je najbolj kriv prejemnik, ki obišče linke v mailu in potem še kaj plača za kakšno storitev/izdelek.
Pa tudi za odrasle bi morali kakšne delavnice ali pa nekaj imeti. Ker vsekakor je najbolj kriv prejemnik, ki obišče linke v mailu in potem še kaj plača za kakšno storitev/izdelek.
BigWhale ::
Moj botnet je pa imun na odklop glavnega serverja. :> Zna sam izvolit novega 'taglavnega'. V bistvu dela to kar sproti.
No, ampak moj botnet je simuliran. Bi pa stvar v principu delovala v nesimulirani obliki.
No, ampak moj botnet je simuliran. Bi pa stvar v principu delovala v nesimulirani obliki.
BlueRunner ::
"Odklenjeni mail serverji": Predvidevam, da so to tisti strežniki ISP-jev, ki omogočajo posredovanje elektronske pošte, ne da se bi uporabnik predhodno identificiral. Rešitev je neuporabna, ker se je bote že zdavnaj prilagodilo na takšne stvari:
"Digitalno podpisana sporočilla" ravno tako ne rešujejo težave. In to iz nekaj zelo različnih razlogov:
"Deloval na podoben način kot DNS": Ne razumem kaj naj bo to pomenilo. Kaj pomeni biti podoben DNS-u? Če to pomeni hirearhičnost, potem takšen standard že imamo: X.400. Njegova razširjenost seveda priča tudi o njegovi uporabnosti in učinkovitosti. Sicer pa, kdo je rekel, da DNS ni del današnjega problema s SPAM-i? Kdorkoli si lahko kadarkoli pridobi pravico do uporabe kakršnega koli imena. Pa če je to še tako podobno kakšnemu drugemu. Ko se zadevo odkrije in nevtralizira pa je že prepozno.
"Poseben predmet o SPAM-u" je samo izobraževanje v najširšem smislu. To se je do sedaj pri laični populaciji skozi leta znova in znova izkazalo za popolnoma neučinkovito. Že znotraj podjetij, kjer se že zaradi banalnih stvari, kot je denar, zaposlene izobražuje na to temo, se je to izkazalo za popolnoma neučinkovit in nedelujoč pristop. Tudi ignoriranje tovrstnih sporočil izhaja iz znanja in razumevanja problema. Kar nas pa vedno znova vrne na izhodišče: laiki nimajo pojma o tehniki. Sicer pa je to tudi definicija laika: tistega, ki nima znanja o temi.
Kako torej naprej? Vsi do sedaj našteti predlogi so nedodelani, kar pomeni, da jih je potrebno izboljšati. Sedaj pa čisto resno: kako bi lahko škodo, ki iz tega izhaja, resnično omejili? Ima kdo še kakšen predlog ali izboljšavo?
- bodisi ukradejo elektronski naslov kar iz računalnika, kjer se nahajajo
- bodisi uporabijo drugače pridobljen elektronski naslov brezplačnega ponudnika elektronske pošte
- bodisi se povezujejo neposredno na strežnike prejemnikov pošte
"Digitalno podpisana sporočilla" ravno tako ne rešujejo težave. In to iz nekaj zelo različnih razlogov:
- sploh se ne ve kdo je lastnik podpisa: podpis != identiteta in kdor to misli, se moti
- digitalni podpis nima nikakršne teže in to z dobrim razlogom. pri nas ima težo npr. samo kvalificiran digitalni podpis.
- kdo je tisti, ki kvalificira podpisnike v svetovnem merilu?
- kakšna so svetovna merila za kvalificiranost?
- vse agencije po vrsti že več kot desetletje zloarbljajo zaupanje, oziroma ne jamčijo tistega, kar si večina uporabnikov misli, da se jamči. Kar se znova prevede v problem kvalificiranosti digitalnih potrdil.
- Če nimam verodostojenga seznama kvalificiranih podpisnikov, kako naj potem vem, da podpisnik ni verodostojen - kako naj ta podatek izrabim za filtriranje?
- Integriteta sporočila pri SPAM-u ni problematična. Tudi kriminalec si namreč želi, da bi sporočilo prišlo do prejemnika "nedotaknjeno".
- Hitro propade tudi večina pristopov, ki temeljijo na podpisovanju izvora sporočil (DomainKeys, DKIM, SPF, ...), saj kriminalci poskrbijo, da je domena izvora nesporna. Kar pa znova ne rešuje problema močne identitete pošiljatelja. Ta je še vedno neznana.
- Konec koncev, kateri je edini in zveličav standard podpisovanja sporočil?
- Kako se bo pa sporočila podpisovalo pri spletnih vmesnikih za elektronsko pošto?
- Kar si želiš je še najbližje "reputation determination": ugotavljanju ugleda izvora sporočila - bodisi na podlagi IP naslova, bodisi na podlagi izvorne domene. Amapk digitalni podpisi sami po sebi niso odgovor. Lahko so samo orodje zagotavljanje pozitivne identitete, vendar pa ne v okviru X.509 PKI hirearhij, kot jih poznamo danes.
"Deloval na podoben način kot DNS": Ne razumem kaj naj bo to pomenilo. Kaj pomeni biti podoben DNS-u? Če to pomeni hirearhičnost, potem takšen standard že imamo: X.400. Njegova razširjenost seveda priča tudi o njegovi uporabnosti in učinkovitosti. Sicer pa, kdo je rekel, da DNS ni del današnjega problema s SPAM-i? Kdorkoli si lahko kadarkoli pridobi pravico do uporabe kakršnega koli imena. Pa če je to še tako podobno kakšnemu drugemu. Ko se zadevo odkrije in nevtralizira pa je že prepozno.
"Poseben predmet o SPAM-u" je samo izobraževanje v najširšem smislu. To se je do sedaj pri laični populaciji skozi leta znova in znova izkazalo za popolnoma neučinkovito. Že znotraj podjetij, kjer se že zaradi banalnih stvari, kot je denar, zaposlene izobražuje na to temo, se je to izkazalo za popolnoma neučinkovit in nedelujoč pristop. Tudi ignoriranje tovrstnih sporočil izhaja iz znanja in razumevanja problema. Kar nas pa vedno znova vrne na izhodišče: laiki nimajo pojma o tehniki. Sicer pa je to tudi definicija laika: tistega, ki nima znanja o temi.
Kako torej naprej? Vsi do sedaj našteti predlogi so nedodelani, kar pomeni, da jih je potrebno izboljšati. Sedaj pa čisto resno: kako bi lahko škodo, ki iz tega izhaja, resnično omejili? Ima kdo še kakšen predlog ali izboljšavo?
poweroff ::
Kakšne traparije.
Digitalno podpisati mail ni noben problem. Dobiti kvalificirano digitalno potrdilo nekoliko težje, a ne nemogoče. Joana Rutkowska (neka poljska hekerica) je lani dokazala, da je mogoče dobiti celo digitalno podpisano potrdilo s strani Microsofta za podpisovanje driverjev. n tako lahko z 500 USD in nekaj malega časa dobiš ključ, s katerim podpisuješ "varne" driverje.
Poleg tega se danes pošilja spam preko bitnetov - okuženih mašin ZNOTRAJ ISPjevega omrežja. Celo legitimen mailprogram lahko zlorabiš za pošiljanje sporočil.
Ideja, da bi imeli predmet, kjer bi se učili prepoznavati spam je pa totalno neumna. Spam že vsi prepoznamo brez predmeta. Problem je kako spam blokirati. Problem je kako preprečiti, da se naši računalniki okužijo. In pri takih predmetih lahko učijo le neke traparije.
Ena traparija je recimo antivirus. Vsak, ki trapa o tem, da je antivirus rešitev vseh težav, lahko pokažem poseben software, ki znan virus tako modificira, da ga antivirus ne odkrije več - virus pa še vedno počne tisto, za kar je bil napisan.
Rešitve so tri: narediti varnejše računalnike oz. OS-e, imeti multikulturnost OS-ov (se pravi da ni monopola Windows, pač pa da obstaja veliko različnih sistemov), ruske kriminalne združbe pa bi bilo treba razbiti s tajnim policijskim in obveščevalnim delom.
Digitalno podpisati mail ni noben problem. Dobiti kvalificirano digitalno potrdilo nekoliko težje, a ne nemogoče. Joana Rutkowska (neka poljska hekerica) je lani dokazala, da je mogoče dobiti celo digitalno podpisano potrdilo s strani Microsofta za podpisovanje driverjev. n tako lahko z 500 USD in nekaj malega časa dobiš ključ, s katerim podpisuješ "varne" driverje.
Poleg tega se danes pošilja spam preko bitnetov - okuženih mašin ZNOTRAJ ISPjevega omrežja. Celo legitimen mailprogram lahko zlorabiš za pošiljanje sporočil.
Ideja, da bi imeli predmet, kjer bi se učili prepoznavati spam je pa totalno neumna. Spam že vsi prepoznamo brez predmeta. Problem je kako spam blokirati. Problem je kako preprečiti, da se naši računalniki okužijo. In pri takih predmetih lahko učijo le neke traparije.
Ena traparija je recimo antivirus. Vsak, ki trapa o tem, da je antivirus rešitev vseh težav, lahko pokažem poseben software, ki znan virus tako modificira, da ga antivirus ne odkrije več - virus pa še vedno počne tisto, za kar je bil napisan.
Rešitve so tri: narediti varnejše računalnike oz. OS-e, imeti multikulturnost OS-ov (se pravi da ni monopola Windows, pač pa da obstaja veliko različnih sistemov), ruske kriminalne združbe pa bi bilo treba razbiti s tajnim policijskim in obveščevalnim delom.
sudo poweroff
omega3 ::
Kakšne traparije.
Pri ločilu ti tukaj manjka še ena pika.
Edit: dodan elaborat zgornjega komentarja;
Kot prvo, nekdo, ki se spravi v podpisu citirat Douglasa, vrstico višje predlaga tajno policijsko in obveščevalno delo v Rusiji, medtem ko ga pet novic nižje med komentarji skrbi vpliv prisluškovanja obveščevalne agencije na zdravo konkurenco in trg, je najmanj v konfliktu s svojimi načeli, če že ne smrdi po dvoličnosti. Odloči se, koliko svobode želiš prodat za svojo "varnost", ali pa se vzdrži barvanja opcij in samo naštevaj, ker volk ni sit, če je tudi koza ostala cela.
Drugič, kako za vraga naj bi "multikulturnost OS-ov" pripomogla k boljši zaščiti pred virusi? Naj bi pisci virusov obupali nad ekspanzijo nekompatibilnosti, jih naj bi na koncu zaj* nestandardizacija? In kakšno ceno naj bi zato plačali uporabniki, bi v tvojem idealnem multikulturnem OS svetu ljudje delali 10 tečajev za OS, 9 od teh za sranje z istim kernelom in 9 različnimi "okusi", ker se vsak "free-thinking developer" v tej čudoviti multikulturnosti lahko zmisli kar hoče in gre v svojo smer, tko po jebivetrsko? Oprosti, ampak nekateri ne živimo za to, da bomo za usposobljenje vsake tretje funkcije ali programa v OS-u prebrali knjigo ali dve navodil, PC je orodje in ko smo za njem ali nam nekdo pod roke potisne svojega in moramo nekaj naredit, je dobro vedet tisti trenutek kje je kaj in kako se stvarem streže. Nisem a priori proti ideji o multikulturnosti OS-ov, ampak če si pod tem predstavljam dandanašnjo manifestacijo tega približka, mi postane slabo. Ideja, da takšno razsuto stanje prinaša večjo varnost, se mi zdi pa še posebej izprijena. Še posebej, ker sledi iz ekstrapolacije rezultatov pri takšnem tržnem stanju (tržnem deležu), kjer je edina varnost, ki je, tista "through obscurity", na situacijo, kjer ta prednost izgine.
In še tretjič; antivirus je traparija? Verjetno le multimilijonski zaslužek za zlobno AV industrijo, ki si tudi sama piše viruse? Povprečni računalnik s povprečnim uporabnikom bo menda ostal neokužen prav tako dolgo z ali brez antivirusa? Moje življenje do sedaj je bilo zabloda. NOD32 gre dol, takoj zdele.
Zgodovina sprememb…
- spremenil: omega3 ()
poweroff ::
Kot prvo, nekdo, ki se spravi v podpisu citirat Douglasa, vrstico višje predlaga tajno policijsko in obveščevalno delo v Rusiji, medtem ko ga pet novic nižje med komentarji skrbi vpliv prisluškovanja obveščevalne agencije na zdravo konkurenco in trg, je najmanj v konfliktu s svojimi načeli, če že ne smrdi po dvoličnosti. Odloči se, koliko svobode želiš prodat za svojo "varnost", ali pa se vzdrži barvanja opcij in samo naštevaj, ker volk ni sit, če je tudi koza ostala cela.
Če stvari ne razumeš, jih pač ne razumeš.
Nikjer ne trdim, da bi morali policijo in obveščevalne službe prepovedati. Trdim pa, da morajo ravnati zakonito in spoštovati človekove pravice in svoboščine.
Konkretno to pomeni, naj se nehajo ukvarjati s sledenjem, zapiranjem in mučenjem nedolžnih posameznikov v raznih tajnih zaporih in se raje usmerijo na pravi kriminal, ki povzroča tudi realno škodo. Če povem drugače - tisti dve gospe, ki sta v ZDA na no-fly list zgolj zato, ker sta članici nekega neškodljivega mirovniškega gibanja - NISTA NEVARNI. Obveščevalno spremljanje njune dejavnosti je izguba časa.
Ni pa izguba časa, če se policija targetirano in v skladu z vso zakonodajo preusmeri na kriminalne združbe v Rusiji.
Še enkrat, da boš bolje razumel: lovljenje "pedofilov" z zbiranjem prometnih podatkov in nadzorom vseh uporabnikov interneta je bistveno manj učinkovito, kot če policija (ali pa SOVA) svojega agenta infiltrira v pedofilsko združbo, ki vzdržuje strežnike in trguje s posnetki.
Drugič, kako za vraga naj bi "multikulturnost OS-ov" pripomogla k boljši zaščiti pred virusi?
Takole preprosto je to: Cyberinsecurity: The Cost of Monopoly.
Žalostno pa je seveda, da veliko samozvanih IT strokovnjakov teh stvari niti ne pozna, kaj šele razume.
Naj bi pisci virusov obupali nad ekspanzijo nekompatibilnosti, jih naj bi na koncu zaj* nestandardizacija? In kakšno ceno naj bi zato plačali uporabniki, bi v tvojem idealnem multikulturnem OS svetu ljudje delali 10 tečajev za OS, 9 od teh za sranje z istim kernelom in 9 različnimi "okusi", ker se vsak "free-thinking developer"
Očitno koncepta sodobnega OS-a en razumeš, zato ti bom razložil v čem je trik.
Delovanje virusov je zelo prilagojeno na kernel operacijskega sistema in seveda odvisno od njega. Ja, tudi Wintendo sistemi imajo kernel. Vendar pa uporabnik kernela ne vidi. On vidi grafični vmesnik. Ti so pa standardizirani.
Povedano drugače. Jah lahko laufam Ubuntu, Suse, Debian ali kaj tretjega, pa bom imel na namizju vedno enake ikonice. Tudi OpenOffice ali Firefox mi (skoraj) enako izgledata na prvem, drugem ali tretjem sistemu. Celo v okolju Wintendo izgledata enako.
Če smo pošteni so danes recimo Vista, Ubuntu in OSX že izjemno podobni in prehod med temi tremi uporabniškimi vmesniki ni zelo težak. Je pa seveda zelo težak "prehod" za razvijalce, saj so vse tri arhitekture pod pokrovom bistveno bolj različne kot nad "havbo".
Oprosti, ampak nekateri ne živimo za to, da bomo za usposobljenje vsake tretje funkcije ali programa v OS-u prebrali knjigo ali dve navodil,
Se strinjam, moja stara mama, ki je imela fičota je tudi čisto zmedena, ko se usede v novega Golfa. Samo mislim, da ni problem ne v fičkotu, ne v Golfu, pač pa v moji stari mami.
Ideja, da takšno razsuto stanje prinaša večjo varnost, se mi zdi pa še posebej izprijena. Še posebej, ker sledi iz ekstrapolacije rezultatov pri takšnem tržnem stanju (tržnem deležu), kjer je edina varnost, ki je, tista "through obscurity", na situacijo, kjer ta prednost izgine.
Kot rečeno, preberi si zgornji PDF in morda se ti bo posvetilo.
In še tretjič; antivirus je traparija? Verjetno le multimilijonski zaslužek za zlobno AV industrijo, ki si tudi sama piše viruse? Povprečni računalnik s povprečnim uporabnikom bo menda ostal neokužen prav tako dolgo z ali brez antivirusa? Moje življenje do sedaj je bilo zabloda. NOD32 gre dol, takoj zdele.
No, morda sem se izrazil preostro, trdim pa, da je ideja, da če imaš pa antivirus, si pa sedaj varen - trapasta. Obstajajo virusi, ki so se sposobni zelo dobro prikriti pred antivirusnim softwerom. Obstaja software, ki zna kodo znanega virusa tako spremeniti, da ga antivirus ne prepozna več. Tak software sem videl na lastne oči oz. ga imam na svojem računalniku.
Seveda niso vsi virusi taki. Ampak čedalje več jih je in čedalje več jih bo. Virtualizacija prinaša tudi številne prednosti, predvsem na področju hipervizorskih rootkitov. Bluepill je kar zanimiva zadeva, ki bo morda še komu odprla oči.
In za konec - jaz antivirusa sploh nimam, pa nimam niti najmanjših težav z virusi. PA sodelavci v mojo mašino vtikajo okužene USB ključe, vsi okrog mene so že doživeli eno fajn sesutje zaradi širjenja nekega črva - jaz pa sem lahko normalno delal.
Zakaj? Ker so vsi sodelavci uporabljali en OS, jaz pa nekega drugega.
In kaj, če bo nekoč nekdo napisal nek virus za Ubuntu? Ja ni problema - pol firme, ki ima Windowse, bo še vedno lahko normalno delalo.
sudo poweroff
Matej_ ::
@BlueRunner:
sploh se ne ve kdo je lastnik podpisa: podpis != identiteta in kdor to misli, se moti
Na podlagi javnega ključa imetnika potrdila (register zaupanja vredne certifikatske agencije) je možno preveriti, da je bilo sporočilo res podpisano z njim. Skrb za certifikat je v rokah uporabnika le-tega. Če ga slednji komurkoli zaupa in je tako dejanski podpisnik drug, je to problem lastnika.
digitalni podpis nima nikakršne teže in to z dobrim razlogom. pri nas ima težo npr. samo kvalificiran digitalni podpis.
Seveda sem pri navedenem mislil na kvalificirana digitalna potrdila zaupanja vrednih certifikatskih agencij (omenjeno v eni od naslednjih točk). Ko pa si že omenil težo nekvalificiranega potrdila... sicer nisem pravnik, a eden od členov (14) ZEPEP pravi recimo tudi:
Elektronskemu podpisu se ne sme odreči veljavnosti ali dokazne vrednosti samo zaradi elektronske oblike, ali ker ne temelji na kvalificiranem potrdilu ali potrdilu akreditiranega overitelja, ali ker ni oblikovan s sredstvom za varno elektronsko podpisovanje.
A pustimo to in ostanimo pri kvalificiranih potrdilih.
kdo je tisti, ki kvalificira podpisnike v svetovnem merilu?
Kolikor mi je znano na svetovni ravni ni neke institucije, ki bi bila predstavljala najvišjo avtoriteto, je pa vprašanje, če je za za dosego obravnavanega cilja potrebna (praktičnost je druga zgodba, še vedno pa ne "deal-breaker"). Če lahko na področju neke države (in v okviru njenega prava) izpostaviš le eno institucijo kot res zaupanja vredno in za katero se priznava elektronskemu podpisu (na podlagi digitalnega potrdila te agencije) enako težo kot lastnoročnemu, je to dovolj, seznam teh institucij pa glede na število držav tudi nebi bil tako dolg.
kakšna so svetovna merila za kvalificiranost?
Ni se potrebno obremenjevati s svetovnimi merili, dovolj je če posamezna država priznava zgoraj omenjeno.
vse agencije po vrsti že več kot desetletje zloarbljajo zaupanje, oziroma ne jamčijo tistega, kar si večina uporabnikov misli, da se jamči. Kar se znova prevede v problem kvalificiranosti digitalnih potrdil.
To definitivno je problem, takšne institucije sam nebi štel med zaupanja vredne. Ena sama tovrstna poteza povsem zamaje zaupanje, ki je temelj vsega. Je pa to bolj vprašanje sankcij in zakonodaje ter informiranosti uporabnikov.
Če nimam verodostojenga seznama kvalificiranih podpisnikov, kako naj potem vem, da podpisnik ni verodostojen - kako naj ta podatek izrabim za filtriranje?
Že pokrito zgoraj, lahko je to le problem posamezne države.
Integriteta sporočila pri SPAM-u ni problematična. Tudi kriminalec si namreč želi, da bi sporočilo prišlo do prejemnika "nedotaknjeno".
Integriteta seveda je problem. Tako odpadejo morebitni dodatki k sporočilu na poti od pošiljatelja do prejemnika. Je pa tu tudi problem kompromitiranja enega ali drugega.
Hitro propade tudi večina pristopov, ki temeljijo na podpisovanju izvora sporočil (DomainKeys, DKIM, SPF, ...), saj kriminalci poskrbijo, da je domena izvora nesporna. Kar pa znova ne rešuje problema močne identitete pošiljatelja. Ta je še vedno neznana.
Problem verodostojnega izvora je druga zgodba, še vedno pa vsaj v dobršni meri problem zaupanja, zakonodaje oziroma ustreznih institucij. Je pa tu govora o podpisovanju vsebine sporočila in ne posameznih elementov komunikacijskega (prenosnega) kanala.
Konec koncev, kateri je edini in zveličav standard podpisovanja sporočil?
Standardov resda je nekaj, je pa le peščica bolj razširjenih. Koneckoncev pa to končnega uporabnika ne zadeva in je stvar implementacije na nivoju programske opreme (in tudi podpora vseh bolj razširjenih nebi bil tak problem). Pomembno je le, da standard zadosti zakonodaji.
Kako se bo pa sporočila podpisovalo pri spletnih vmesnikih za elektronsko pošto?
Kako pa se v splošnem podpisujejo nalogi pri spletnih aplikacijah? Na primer elektronska oddaja davkov pri nas - plugin za brskalnik, od tu naprej je procedura enaka kot pri standardnih klientih.
Kar si želiš je še najbližje "reputation determination": ugotavljanju ugleda izvora sporočila - bodisi na podlagi IP naslova, bodisi na podlagi izvorne domene. Amapk digitalni podpisi sami po sebi niso odgovor. Lahko so samo orodje zagotavljanje pozitivne identitete, vendar pa ne v okviru X.509 PKI hirearhij, kot jih poznamo danes.
Ne, to je spet povsem druga zgodba in ni v neposredni povezavi s podpisovanjem vsebine sporočila.
Kako torej naprej? Vsi do sedaj našteti predlogi so nedodelani, kar pomeni, da jih je potrebno izboljšati. Sedaj pa čisto resno: kako bi lahko škodo, ki iz tega izhaja, resnično omejili? Ima kdo še kakšen predlog ali izboljšavo?
Meni se zdi predlog še najboljši kandidat za dosego cilja, je pa seveda nekaj problemov pri nedorečenosti implementacije (ki pa so daleč od nepremostljivih).
sploh se ne ve kdo je lastnik podpisa: podpis != identiteta in kdor to misli, se moti
Na podlagi javnega ključa imetnika potrdila (register zaupanja vredne certifikatske agencije) je možno preveriti, da je bilo sporočilo res podpisano z njim. Skrb za certifikat je v rokah uporabnika le-tega. Če ga slednji komurkoli zaupa in je tako dejanski podpisnik drug, je to problem lastnika.
digitalni podpis nima nikakršne teže in to z dobrim razlogom. pri nas ima težo npr. samo kvalificiran digitalni podpis.
Seveda sem pri navedenem mislil na kvalificirana digitalna potrdila zaupanja vrednih certifikatskih agencij (omenjeno v eni od naslednjih točk). Ko pa si že omenil težo nekvalificiranega potrdila... sicer nisem pravnik, a eden od členov (14) ZEPEP pravi recimo tudi:
Elektronskemu podpisu se ne sme odreči veljavnosti ali dokazne vrednosti samo zaradi elektronske oblike, ali ker ne temelji na kvalificiranem potrdilu ali potrdilu akreditiranega overitelja, ali ker ni oblikovan s sredstvom za varno elektronsko podpisovanje.
A pustimo to in ostanimo pri kvalificiranih potrdilih.
kdo je tisti, ki kvalificira podpisnike v svetovnem merilu?
Kolikor mi je znano na svetovni ravni ni neke institucije, ki bi bila predstavljala najvišjo avtoriteto, je pa vprašanje, če je za za dosego obravnavanega cilja potrebna (praktičnost je druga zgodba, še vedno pa ne "deal-breaker"). Če lahko na področju neke države (in v okviru njenega prava) izpostaviš le eno institucijo kot res zaupanja vredno in za katero se priznava elektronskemu podpisu (na podlagi digitalnega potrdila te agencije) enako težo kot lastnoročnemu, je to dovolj, seznam teh institucij pa glede na število držav tudi nebi bil tako dolg.
kakšna so svetovna merila za kvalificiranost?
Ni se potrebno obremenjevati s svetovnimi merili, dovolj je če posamezna država priznava zgoraj omenjeno.
vse agencije po vrsti že več kot desetletje zloarbljajo zaupanje, oziroma ne jamčijo tistega, kar si večina uporabnikov misli, da se jamči. Kar se znova prevede v problem kvalificiranosti digitalnih potrdil.
To definitivno je problem, takšne institucije sam nebi štel med zaupanja vredne. Ena sama tovrstna poteza povsem zamaje zaupanje, ki je temelj vsega. Je pa to bolj vprašanje sankcij in zakonodaje ter informiranosti uporabnikov.
Če nimam verodostojenga seznama kvalificiranih podpisnikov, kako naj potem vem, da podpisnik ni verodostojen - kako naj ta podatek izrabim za filtriranje?
Že pokrito zgoraj, lahko je to le problem posamezne države.
Integriteta sporočila pri SPAM-u ni problematična. Tudi kriminalec si namreč želi, da bi sporočilo prišlo do prejemnika "nedotaknjeno".
Integriteta seveda je problem. Tako odpadejo morebitni dodatki k sporočilu na poti od pošiljatelja do prejemnika. Je pa tu tudi problem kompromitiranja enega ali drugega.
Hitro propade tudi večina pristopov, ki temeljijo na podpisovanju izvora sporočil (DomainKeys, DKIM, SPF, ...), saj kriminalci poskrbijo, da je domena izvora nesporna. Kar pa znova ne rešuje problema močne identitete pošiljatelja. Ta je še vedno neznana.
Problem verodostojnega izvora je druga zgodba, še vedno pa vsaj v dobršni meri problem zaupanja, zakonodaje oziroma ustreznih institucij. Je pa tu govora o podpisovanju vsebine sporočila in ne posameznih elementov komunikacijskega (prenosnega) kanala.
Konec koncev, kateri je edini in zveličav standard podpisovanja sporočil?
Standardov resda je nekaj, je pa le peščica bolj razširjenih. Koneckoncev pa to končnega uporabnika ne zadeva in je stvar implementacije na nivoju programske opreme (in tudi podpora vseh bolj razširjenih nebi bil tak problem). Pomembno je le, da standard zadosti zakonodaji.
Kako se bo pa sporočila podpisovalo pri spletnih vmesnikih za elektronsko pošto?
Kako pa se v splošnem podpisujejo nalogi pri spletnih aplikacijah? Na primer elektronska oddaja davkov pri nas - plugin za brskalnik, od tu naprej je procedura enaka kot pri standardnih klientih.
Kar si želiš je še najbližje "reputation determination": ugotavljanju ugleda izvora sporočila - bodisi na podlagi IP naslova, bodisi na podlagi izvorne domene. Amapk digitalni podpisi sami po sebi niso odgovor. Lahko so samo orodje zagotavljanje pozitivne identitete, vendar pa ne v okviru X.509 PKI hirearhij, kot jih poznamo danes.
Ne, to je spet povsem druga zgodba in ni v neposredni povezavi s podpisovanjem vsebine sporočila.
Kako torej naprej? Vsi do sedaj našteti predlogi so nedodelani, kar pomeni, da jih je potrebno izboljšati. Sedaj pa čisto resno: kako bi lahko škodo, ki iz tega izhaja, resnično omejili? Ima kdo še kakšen predlog ali izboljšavo?
Meni se zdi predlog še najboljši kandidat za dosego cilja, je pa seveda nekaj problemov pri nedorečenosti implementacije (ki pa so daleč od nepremostljivih).
poweroff ::
Na podlagi javnega ključa imetnika potrdila (register zaupanja vredne certifikatske agencije) je možno preveriti, da je bilo sporočilo res podpisano z njim.
Super. Kaj pa če dobim nek e-mail iz certifikatne agencije iz Pakistana?
Tam se ziher ne da podkupit državnih uradnikov, pa tudi strežnike kjer hranijo ključe imajo blazno zavarovane.
kdo je tisti, ki kvalificira podpisnike v svetovnem merilu?
Kolikor mi je znano na svetovni ravni ni neke institucije, ki bi bila predstavljala najvišjo avtoriteto, je pa vprašanje, če je za za dosego obravnavanega cilja potrebna (praktičnost je druga zgodba, še vedno pa ne "deal-breaker"). Če lahko na področju neke države (in v okviru njenega prava) izpostaviš le eno institucijo kot res zaupanja vredno in za katero se priznava elektronskemu podpisu (na podlagi digitalnega potrdila te agencije) enako težo kot lastnoročnemu, je to dovolj, seznam teh institucij pa glede na število držav tudi nebi bil tako dolg.
Točno. Sploh bi bilo pa zabavno, ker bi imeli potem "trusted CA" iz Pakistana, Iraka, Kosova, hmm, celo Italija bi bila zanimiva.
Poleg tega bi imele te agencije ogromno dela z uporabniki, ki bi kar naprej izgubljali ključe. Vmes seveda ne bi mogli pošiljati e-mailov, torej bi bila e-pošta bistveno manj uporabna in bi verjetno presedlali na druge načine komunikacije - spamerji pa tudi.
Zabavno bi bilo tudi, ko bi si uporabniki želeli portabilnosti, pa dela na javnih računalnikih, itd. Itak bi pa na koncu spamerji napisali viruse, ki bi pošiljali spam direktno iz poštnega odjemalca in ga vmes še digitalno podpisali z uporabnikovim ključem. Večina uporabnikov bi itak imela gesla shranjena nekje v cacheju oz. bi bilo podpisovanje samodejno ob kliku na "send".
Meni se zdi predlog še najboljši kandidat za dosego cilja, je pa seveda nekaj problemov pri nedorečenosti implementacije (ki pa so daleč od nepremostljivih).
Tvoj predlog je nedomišljen in flawed by design.
sudo poweroff
Matej_ ::
Super. Kaj pa če dobim nek e-mail iz certifikatne agencije iz Pakistana?
Tam se ziher ne da podkupit državnih uradnikov, pa tudi strežnike kjer hranijo ključe imajo blazno zavarovane.
V tem trenutku nedvomno obstajajo države, ki jih nebi mogel označiti za varne v tem pogledu. Se bo pa to na dolgi rok z razvojem omenjenih držav verjetno spremenilo. Lahko pa tem državam zaenkrat preprosto tudi ne bi zaupal in državljene napotil na drugo državo/agencijo. Alternativa ki bi recimo bila tudi opcija, je, da se vzpostavi nek "rating" za posamezne avtoritete, kot v neki obliki že obstaja sedaj in bi agencije iz te države kotirale nižje od ostalih.
Točno. Sploh bi bilo pa zabavno, ker bi imeli potem "trusted CA" iz Pakistana, Iraka, Kosova, hmm, celo Italija bi bila zanimiva.
Poleg tega bi imele te agencije ogromno dela z uporabniki, ki bi kar naprej izgubljali ključe. Vmes seveda ne bi mogli pošiljati e-mailov, torej bi bila e-pošta bistveno manj uporabna in bi verjetno presedlali na druge načine komunikacije - spamerji pa tudi.
Kako pogosto pa povprečen uporabnik izgubi certifikat za elektronsko banko? Mislim, da ob nekaj izgubljenih certifikatih pri ustrezni kazni / daljšemu roku za pridobitev novega, hitro premislil. Seveda se to bo dogajalo, tudi rešitev tega problema je več. Lahko nekdo drug medtem jamči zate in s tem prevzame nase tudi morebitne pravne posledice če bi ti izkoristil njegov certifikat za spam-anje. Lahko pa preprosto še vedno pošlje nepodpisan mail upajoč, da ga bo prejemnik, ne glede na zahteve na njegovi strani in potencialno najnižji možni "rating" sporočila, še vedno prebral. Pomebno pa je da pri tem sedaj obstaja možnost jasne diferenciacije (večina podpisano/malenkost nepodpisano) in na podlagi te bi bilo možno vzpostaviti tudi prioritete pri prebiranju.
Zabavno bi bilo tudi, ko bi si uporabniki želeli portabilnosti, pa dela na javnih računalnikih, itd. Itak bi pa na koncu spamerji napisali viruse, ki bi pošiljali spam direktno iz poštnega odjemalca in ga vmes še digitalno podpisali z uporabnikovim ključem. Večina uporabnikov bi itak imela gesla shranjena nekje v cacheju oz. bi bilo podpisovanje samodejno ob kliku na "send".
Koliko uporabnikov, ki se zavedajo pomena certifikata, pa bi slednjega naložilo na javni računalnik? Naprednejša rešitev so pametne kartice, kjer je ta problem znatno manj pereč. Če kartice ni v čitalniku, maila tudi digitalno podpisati ni mogoče. Prebrati certifikat s pametne kartice pa je običajno zelo težko (odvisno od implementacije), a nobena varnost ni 100%. Oziroma kot pravijo 100% = 0% funkcionalnost (najbolje da račulniku kar odvzameš napajanje).
Tvoj predlog je nedomišljen in flawed by design.
Glede nedomišljenosti in zgrešenosti v design-u se ne bi strinjal, saj gre za prakso ki je pogosta v marsikaterem okolju. V bančnem na primer je podpisovanje nalogov in omenjeno prevejanje podpisnika v nekoliko drugačni obliki vsakdanja praksa. Je pa res področje kar obsežno in ni enostavno pokriti vse vidike oziroma potencialne varnostne luknje. Mora pa iz tega razloga biti izpolnjenih kar nekaj predpogojev.
Tam se ziher ne da podkupit državnih uradnikov, pa tudi strežnike kjer hranijo ključe imajo blazno zavarovane.
V tem trenutku nedvomno obstajajo države, ki jih nebi mogel označiti za varne v tem pogledu. Se bo pa to na dolgi rok z razvojem omenjenih držav verjetno spremenilo. Lahko pa tem državam zaenkrat preprosto tudi ne bi zaupal in državljene napotil na drugo državo/agencijo. Alternativa ki bi recimo bila tudi opcija, je, da se vzpostavi nek "rating" za posamezne avtoritete, kot v neki obliki že obstaja sedaj in bi agencije iz te države kotirale nižje od ostalih.
Točno. Sploh bi bilo pa zabavno, ker bi imeli potem "trusted CA" iz Pakistana, Iraka, Kosova, hmm, celo Italija bi bila zanimiva.
Poleg tega bi imele te agencije ogromno dela z uporabniki, ki bi kar naprej izgubljali ključe. Vmes seveda ne bi mogli pošiljati e-mailov, torej bi bila e-pošta bistveno manj uporabna in bi verjetno presedlali na druge načine komunikacije - spamerji pa tudi.
Kako pogosto pa povprečen uporabnik izgubi certifikat za elektronsko banko? Mislim, da ob nekaj izgubljenih certifikatih pri ustrezni kazni / daljšemu roku za pridobitev novega, hitro premislil. Seveda se to bo dogajalo, tudi rešitev tega problema je več. Lahko nekdo drug medtem jamči zate in s tem prevzame nase tudi morebitne pravne posledice če bi ti izkoristil njegov certifikat za spam-anje. Lahko pa preprosto še vedno pošlje nepodpisan mail upajoč, da ga bo prejemnik, ne glede na zahteve na njegovi strani in potencialno najnižji možni "rating" sporočila, še vedno prebral. Pomebno pa je da pri tem sedaj obstaja možnost jasne diferenciacije (večina podpisano/malenkost nepodpisano) in na podlagi te bi bilo možno vzpostaviti tudi prioritete pri prebiranju.
Zabavno bi bilo tudi, ko bi si uporabniki želeli portabilnosti, pa dela na javnih računalnikih, itd. Itak bi pa na koncu spamerji napisali viruse, ki bi pošiljali spam direktno iz poštnega odjemalca in ga vmes še digitalno podpisali z uporabnikovim ključem. Večina uporabnikov bi itak imela gesla shranjena nekje v cacheju oz. bi bilo podpisovanje samodejno ob kliku na "send".
Koliko uporabnikov, ki se zavedajo pomena certifikata, pa bi slednjega naložilo na javni računalnik? Naprednejša rešitev so pametne kartice, kjer je ta problem znatno manj pereč. Če kartice ni v čitalniku, maila tudi digitalno podpisati ni mogoče. Prebrati certifikat s pametne kartice pa je običajno zelo težko (odvisno od implementacije), a nobena varnost ni 100%. Oziroma kot pravijo 100% = 0% funkcionalnost (najbolje da račulniku kar odvzameš napajanje).
Tvoj predlog je nedomišljen in flawed by design.
Glede nedomišljenosti in zgrešenosti v design-u se ne bi strinjal, saj gre za prakso ki je pogosta v marsikaterem okolju. V bančnem na primer je podpisovanje nalogov in omenjeno prevejanje podpisnika v nekoliko drugačni obliki vsakdanja praksa. Je pa res področje kar obsežno in ni enostavno pokriti vse vidike oziroma potencialne varnostne luknje. Mora pa iz tega razloga biti izpolnjenih kar nekaj predpogojev.
BlueRunner ::
A bi odprli ločeno temo, kjer bomo hvalili/kritizirali X.509 PKI hirearhije in njih posledice? Ker tole se je že zavrtelo v tehnično-izkustveno debato. Zanimivo, da ne bo pomote, amapk ne nujno povezane s SPAM-om.
fiction ::
No, morda sem se izrazil preostro, trdim pa, da je ideja, da če imaš pa antivirus, si pa sedaj varen - trapasta. Obstajajo virusi, ki so se sposobni zelo dobro prikriti pred antivirusnim softwerom.
Antivirusni program je neke vrste security-through-obscurity. Kot ce recimo SSH streznik postavis namesto na 22 na TCP port 2222. Jasno pomaga proti vsem avtomatiziranim napadom in je vcasih cisto koristno. Ampak ranljiv nisi pa nic manj kot prej (torej to ne more biti izgovor, da ne posodobis stare verzije streznika ali pa uporabis pozarnega zidu oz. v primeru antivirusnega programa ne poganjas vsakega programa). Problem je v tem, da se ljudje tega ne zavedajo in antivirusni program enacijo direktno z visjo varnostjo. Ljudje bi najprej potrebovali izobrazevanje _potem_ bi se pa lahko odlocali ali potrebujejo antivirusni program ali ne. Ampak podjetja jasno tega nocejo in svoje programe prodajajo kot ultimativno resitev za vse.
Ampak cisto enaka je tudi ideja o varnosti zaradi razlicnih OS. Fora ni v tem, da bi bilo zaradi raznolikosti toliko bolje, bo pa pac virus s seboj nosil "payload" za vsak OS. Ideja je pomoje to, da potem ni toliko ranljivih racunalnikov na enkrat in se ne more nek crv zaradi izkoriscanja ene ranljivosti prekomerno razsiriti. Ampak tebi v koncni fazi to nic ne pomaga.
Obstaja software, ki zna kodo znanega virusa tako spremeniti, da ga antivirus ne prepozna več. Tak software sem videl na lastne oči oz. ga imam na svojem računalniku.
Obstaja npr. tudi koda, ki jo lahko nekdo napise specificno zate (in bo delala zlonamerne stvari).
Vse skupaj je posledica tega, da antivirusni program gleda na podlagi vzorcev. Tak software kot ga opisujes ni nek hud bavbav. Pac samo zamenjas dolocene ukaze ali skupine ukazov z njimi ekvivalentnimi (na x86 imas zelo veliko moznosti)
oz. encodas tudi razne nize znakov znotraj programa.
Super. Kaj pa če dobim nek e-mail iz certifikatne agencije iz Pakistana?
Tam se ziher ne da podkupit državnih uradnikov, pa tudi strežnike kjer hranijo ključe imajo blazno zavarovane.
Ne razumes koncepta certifikatne agencije. To je agencija, ki ji _ti_ zaupas. Sploh ni problema, ce bi bil po defaultu
na seznamu nek CA iz Pakistana. Prvic, ko bi pognal email client ali pa najkasneje takrat, ko bi dobil spam podpisan
s certifikatom, ki so ga oni izdali, bi lepo izbrisal ta CA s seznama zaupanja vrednih. Potem bi vsa taka posta direktno
pristala v "spam" folderju. Najbolj paranoicni bi recimo ohranili na seznamu SIGEN-CA in potem po moznosti se kaksen CA, ki ga uporabljajo ljudje s katerimi izmenjujejo posto (ki bi jo prvic bilo treba iskati med spamom). Pri cemer moras ti
vedeti aha, ta agencija pa tako preveri ce je nekdo res tisti za katerega se izdaja.
S pomocjo X.509 certifikatov bi lahko resili problem spama. Ne bi se bilo treba vec zanasati na razne klasifikacijske
algoritme, ki po definiciji ne morejo biti 100%. Poleg tega bi namesto, da dobis email z okuzenega racunalnika
192.168.2.5 ali pa zaradi napake v konfiguraciji streznika 192.168.0.3, vedel, da si dobil spam od Janeza Novaka.
In Janez Novak bi zato potem tudi odgovarjal. Cisto mogoce, da je njegov racunalnik okuzen in so mu ukradli certifikat.
Ampak to bo moral najprej dokazati, do takrat bo pa veljal za osumljenega posiljanja spama.
fiction ::
No in ko smo ravno pri Janezu Novaku. Ker bo zaradi vsakega spama dobil toliko tezav, bo v njegovem interesu, da si spuca
racunalnik oz. uporabi pametno kartico, da se mu ne bo vec dalo tako enostavno ukrasti certifikata za mail.
Avtorica BluePill-a, ja. Meni se zdi sporno, da certifikat stane 500$. Ti sam bi moral odlocati, komu zaupas
oz. komu naj tvoj OS zaupa. Lahko tudi lastni certifikatni agenciji. Ne recem, lahko pa tudi VeriSignu, Microsoftu
ali komu, ki racuna 500$. Po eni strani je problem to, da nekatere certifikatne agencije ne preverjajo istovetnosti tistega ki ga certificirajo. V stilu, ce das denar za to, da ti potrdimo da si Podjetje d.o.o. potem pac bodi Podjetje d.o.o., kdo drug bi pa se bil toliko neumen in placeval za to. Drugo je pa to, da dejstvo, da si ti Podjetje d.o.o., se cisto nic ne pove o tem ali je tvoj program dobronameren in recimo pises gonilnike za doloceno strojno opremo, ali pa si podjetje registriral samo zato, da bos siril nesnago. Lazje je seveda, ce ti niti tega ni treba narediti.
CA je torej nekaksen novodoben notar, ki vsakic ko nekaj podpises, da gor stampiljko. Potrjujemo, da je avtor res ta in ta - nic vec in nic manj. Sluzi pa tudi priblizno enako dobro. Isto seveda lahko v ozjem krogu delas tudi sam.
racunalnik oz. uporabi pametno kartico, da se mu ne bo vec dalo tako enostavno ukrasti certifikata za mail.
Joana Rutkowska (neka poljska hekerica) je lani dokazala, da je mogoče dobiti celo digitalno podpisano potrdilo s strani Microsofta za podpisovanje driverjev. n tako lahko z 500 USD in nekaj malega časa dobiš ključ, s katerim podpisuješ "varne" driverje.
Avtorica BluePill-a, ja. Meni se zdi sporno, da certifikat stane 500$. Ti sam bi moral odlocati, komu zaupas
oz. komu naj tvoj OS zaupa. Lahko tudi lastni certifikatni agenciji. Ne recem, lahko pa tudi VeriSignu, Microsoftu
ali komu, ki racuna 500$. Po eni strani je problem to, da nekatere certifikatne agencije ne preverjajo istovetnosti tistega ki ga certificirajo. V stilu, ce das denar za to, da ti potrdimo da si Podjetje d.o.o. potem pac bodi Podjetje d.o.o., kdo drug bi pa se bil toliko neumen in placeval za to. Drugo je pa to, da dejstvo, da si ti Podjetje d.o.o., se cisto nic ne pove o tem ali je tvoj program dobronameren in recimo pises gonilnike za doloceno strojno opremo, ali pa si podjetje registriral samo zato, da bos siril nesnago. Lazje je seveda, ce ti niti tega ni treba narediti.
CA je torej nekaksen novodoben notar, ki vsakic ko nekaj podpises, da gor stampiljko. Potrjujemo, da je avtor res ta in ta - nic vec in nic manj. Sluzi pa tudi priblizno enako dobro. Isto seveda lahko v ozjem krogu delas tudi sam.
Zgodovina sprememb…
- spremenil: fiction ()
poweroff ::
Ampak cisto enaka je tudi ideja o varnosti zaradi razlicnih OS. Fora ni v tem, da bi bilo zaradi raznolikosti toliko bolje, bo pa pac virus s seboj nosil "payload" za vsak OS. Ideja je pomoje to, da potem ni toliko ranljivih racunalnikov na enkrat in se ne more nek crv zaradi izkoriscanja ene ranljivosti prekomerno razsiriti.
Točno to. Namesto 90% serverjev ti jih ob enkrat pade "le" 30%.
Ne razumes koncepta certifikatne agencije. To je agencija, ki ji _ti_ zaupas. Sploh ni problema, ce bi bil po defaultu na seznamu nek CA iz Pakistana. Prvic, ko bi pognal email client ali pa najkasneje takrat, ko bi dobil spam podpisan s certifikatom, ki so ga oni izdali, bi lepo izbrisal ta CA s seznama zaupanja vrednih. Potem bi vsa taka posta direktno pristala v "spam" folderju.
Hehe, jaz ne razumem? Kako naj jaz vem komu po svetu naj zaupam? Naj nekomu zaupam samo zato, ker ima državni pečat?
Pa poglejmo tale scenarij. Imam poslovne partnerje iz Pakistana. Potem pa dobim nek spam in zablokiram Pakistanski CA - nenadoma sem zablokiral tudi komunikacijo s poslovnimi partnerji!
Prednost e-pošte je v tem, da jo ej mogoče enostavno uporabljati. Ljudje uporabljajo tisto, kar deluje hitro in enostavno. Varnost je šele nekje na 10. mestu... Če bomo "zakomplicirali" e-pošto... well bodo ap ljudje začeli uporabljati Skype chat ali kaj tretjega.
In Janez Novak bi zato potem tudi odgovarjal. Cisto mogoce, da je njegov racunalnik okuzen in so mu ukradli certifikat.
Ampak to bo moral najprej dokazati, do takrat bo pa veljal za osumljenega posiljanja spama.
Ravno obratno torej kot v kazenskih postopkih - tam veljaš za nedolžnega, dokler ti ne dokažejo nasprotno.
sudo poweroff
fiction ::
Kako naj jaz vem komu po svetu naj zaupam? Naj nekomu zaupam samo zato, ker ima državni pečat?
Kako recimo ves, da lahko zaupas VeriSignu kjer niti drzavnega pecata ni? :)
To je precej podobno temu kako lahko zaupas potnemu listu / osebni izkaznici iz tuje drzave. Morda si kje videl originalen potni list, poznas nekoga iz tiste drzave, ki ti lahko potrdi, da ja to res pristna identifikacija. Ne mores pa v principu biti nikoli siguren, razen ce vprasas izdajatelja. Pa se potem ne ves, ce je tista oseba res ta za katero se izdaja, samo da dokument ni ponarejen. Potem moras pogledati sliko, DNK, ... cesar pa v elektronskem svetu ne mores, ker ne ves kdo je tisti na drugi strani.
Pa poglejmo tale scenarij. Imam poslovne partnerje iz Pakistana. Potem pa dobim nek spam in zablokiram Pakistanski CA - nenadoma sem zablokiral tudi komunikacijo s poslovnimi partnerji!
Nisi zablokiral - ker ti nicesar ne blokiras. Samo dolocas katerim potrdilom zaupas. Tako podpisani maili bodo prisli v tvoj
"inbox" vse ostalo gre med "spam" (kjer teoreticno se vedno lahko najdes pomembne zadeve).
S tem ko reces, da zaupas Pakistanskemu CA-ju samo dolocis, da zaupas certifikatom, ki jih je izdal. Se vedno pa lahko
individualno dolocas bele ali crne sezname. V stilu samo Asif Ali Zardari mi lahko poslje mail (brez da bi romal v spam)
ali pa vsi razen njega mi lahko posljejo mail. Ko dobis spam se pac lahko odlocis in reces hja itak ne komuniciram z drugimi
Pakistanci kot samo s tistim poslovnim partnerjem in dodas, da samo njegovo posto direktno dobis ali pa prepoves samo
tistega spammerja (ta itak ne more uporabiti druge identitete). Ok, lahko uporabi certifikat od drugega izdajatelja, ampak
ce je kaj pravice, bi moralo tudi tam pisati isto ime.
Pakistanski CA bi zbrisal, ce bi recimo dobival posto s certifikatom od poslovnega partnerja od cisto X ljudi.
Ali pa ce bi en in isti spammer dobival vedno nove identitete in bi tako izigraval tvoj crn seznam.
Se vedno imas lahko doloceno osebo med "dovoljenimi posiljatelji", samo ce ne zaupas CA-ju, ki potrjuje kdo je kdo, je to neumnost. Lahko recimo CA vsakemu spammerju izdaja "isto osebno izkaznico".
Druga moznost za izbris CA-ja je recimo, da reces Pakistan je taka skorumpirana drzava ne zaupam nobenemu tam
ali pa itak ne poznam Pakistancev torej ne rabim Pakistanskega CA-ja...
V takem primeru lahko direktno s poslovnim partnerjem izmenjas certifikat (PGP oz. GPG) in vmes ni nekega certificate authoritya, lahko pa se tudi nekdo od vaju sam odloci postati CA. Recimo znotraj podjetja bi lahko imel svoj CA in bi vsem poslovnim partnerjem razdelil certifikate, ki naj jih uporabijo za posiljanje maila na sluzbene naslove. Sicer bo odzivni cas daljsi, ker bi pac samo enkrat na teden pogledal kaj se je nabralo med spamom.
Ravno obratno torej kot v kazenskih postopkih - tam veljaš za nedolžnega, dokler ti ne dokažejo nasprotno.
Niti ne. Nisem rekel, da si kriv, samo da obstaja utemljen sum. Ce nekdo dobi spam in je ta podpisan s tvojim klasificiranim
digitalnim potrdilom je to precej podobno temu, da najdejo na grozilnem pismu tvoje prstne odtise.
Dokaz je precej boljsi kot tvoj zabelezen IP naslov. V tem primeru se nikoli ne ve ali si bil res ti tisti in ne morda
kdo drug v istem lokalnem omrezju oz. drug uporabnik racunalnika. Ali pa da ni mogoce sosed preko nezascitenega WLAN kaj
pocel.
BlueRunner ::
@Matej_
Znova si prišel na težavo zaupanja - verodostojnosti. Moderne države (npr. ZDA, VB, ZRN, ...) ne poznajo "državnih CA agencij" in si jih tudi ne želijo. Tudi zato ne, ker je to stvar prostega trga. V časih, ko se še elektriko privatizira, je podržavljanje te "storitve" čisto nasprotje vesga kar zahodne države počno. Kdo ti bo potem zbral seznam verodostojnih agencij? Microsoft? Sun? Vlada ZDA? G8? Še celo Mozilla foundation je tukaj prekleto zadrgnjena, saj je še Microsoft med našim predsedovanjem dodal kv. dig. podpise SIGEN-a, Mozilla, veličasten primerek odprtokodnega programa, pa nič.
Ali boš sam izbiral med N * št. držav različnimi agencijami kateri zaupaš in kateri ne? Ali se ti kaj takšnega sploh da početi?
Premislil in prenehal uporabljati storitev. Pozabljaš, da računalniki niso avtomobili (zanesljivost), certifikati pa niso osebni dokumenti. S tem ne boš dosegel več, temveč boš naredil škodo.
Kot poslovni subjekt, ki deluje na svetovnem trgu boš moral še vedno prebrati sporočilo ne glede na obstoj podpisa, njegovo pravilnost ali njegovo veljavnost. Konec koncev se je morda prejšni teden pojavil nov CA v Avstriji, ta človek ti pa uporablja ravno njegovo kv. dig. potrdilo. To so neke mere velja še celo za privatne osebke. Prijatelju dam svoj e-mail naslov, njegov ponudnik pošte pa uporabla podpise CA-ja, ki jih moj ne pozna. Kaj naj potem storim?
In smo znova tam. Tudi pametne kartice niso vse narejene po enem standardu. Kateri je sedaj edini zveličav, da ti bo to sploh delovalo? Kdo ga bo določil? Kako se ga bo izbralo?
Mislim (od tukaj naprej je vse IMHO), da je trenutna praksa slaba. Ne zato, ker ne bi bila varna, temveč zato, ker je do uporabnikov neprijazna, neučinkovita in velikokrat ignorira cele kose standardov, kar ima za posledico celo vrsto subtilnih nekompatibilnosti. Vse to pa popolnoma neodvisno od zmožnosti ali nezmožnosti kraje ali izgube teh digitalnih podpisov.
Menim, da se je nesmiselno prepirati o varnosti rešitve, če predlagana rešitev sploh ni izvedljiva, oziroma ne izpolnjuje nujnih zahtev za sistem elektronske pošte. Nujne zahteva pa je predvsem možnost, da ima katerikoli uporabnik sistema možnost kadarkoli poslati kakršno koli sporočilo komurkoli drugemu v sistemu. Vse ostalo je motnja v sistemu, mimo katere se bo iskalo rešitve.
Strinjam se, da je največja težava z elektronsko pošto danes seveda šibka identiteta oziroma popolna odsotnost identitete pošiljatelja (weak attribution, repudiation, ...). Ta pomankljivost pa omogoča izogibanje odgovornosti oziroma identifikaciji (non-accountablity). Vsi tukaj vemo kaj je težava, ampapk X.500 hirearhije se do sedaj niso izkazale kot uporabne/uporabljane (kdo tukaj ima npr. X.400 naslov elektronske pošte?), X.509 standard za digitalne podpise pa se zlorablja levo in desno, kar uničuje in izničuje njegovo uporabnost.
Zato trdim, da vsi overitelji digitalnih potrdil v Sloveniji, zaradi omejitev programske opreme v splošnem, uporabili isti pristop, ki kaže neupoštevanje standardov X.500 in X.509 ter napačno uporabo digitalnih potrdil. Posledica tega pristopa pa sta še slabša uporabnost in prenosljivost pri njih podpisanih potrdil. Pri temu pa so "zagrešili" še omejitve, k jih zakon ne predvideva, pri elektronskem poslovanju pa se velikokrat izkažejo za katastrofalno slabe. Tega seveda niso krivi sami, temveč pri tem velik del krivde prevzemajo vsi proizvajalci programske opreme, ki so standarde preprosto ignorirali v točkah, ki so se jim zdele pretežke, hkrati pa so, posledično, ne-rešili težave, katerim so digitalna potrdila dejansko namenjena.
V tem trenutku nedvomno obstajajo države, ki jih nebi mogel označiti za varne v tem pogledu. Se bo pa to na dolgi rok z razvojem omenjenih držav verjetno spremenilo. Lahko pa tem državam zaenkrat preprosto tudi ne bi zaupal in državljene napotil na drugo državo/agencijo. Alternativa ki bi recimo bila tudi opcija, je, da se vzpostavi nek "rating" za posamezne avtoritete, kot v neki obliki že obstaja sedaj in bi agencije iz te države kotirale nižje od ostalih.
Znova si prišel na težavo zaupanja - verodostojnosti. Moderne države (npr. ZDA, VB, ZRN, ...) ne poznajo "državnih CA agencij" in si jih tudi ne želijo. Tudi zato ne, ker je to stvar prostega trga. V časih, ko se še elektriko privatizira, je podržavljanje te "storitve" čisto nasprotje vesga kar zahodne države počno. Kdo ti bo potem zbral seznam verodostojnih agencij? Microsoft? Sun? Vlada ZDA? G8? Še celo Mozilla foundation je tukaj prekleto zadrgnjena, saj je še Microsoft med našim predsedovanjem dodal kv. dig. podpise SIGEN-a, Mozilla, veličasten primerek odprtokodnega programa, pa nič.
Ali boš sam izbiral med N * št. držav različnimi agencijami kateri zaupaš in kateri ne? Ali se ti kaj takšnega sploh da početi?
Kako pogosto pa povprečen uporabnik izgubi certifikat za elektronsko banko? Mislim, da ob nekaj izgubljenih certifikatih pri ustrezni kazni / daljšemu roku za pridobitev novega, hitro premislil.
Premislil in prenehal uporabljati storitev. Pozabljaš, da računalniki niso avtomobili (zanesljivost), certifikati pa niso osebni dokumenti. S tem ne boš dosegel več, temveč boš naredil škodo.
Lahko pa preprosto še vedno pošlje nepodpisan mail upajoč, da ga bo prejemnik, ne glede na zahteve na njegovi strani in potencialno najnižji možni "rating" sporočila, še vedno prebral. Pomebno pa je da pri tem sedaj obstaja možnost jasne diferenciacije (večina podpisano/malenkost nepodpisano) in na podlagi te bi bilo možno vzpostaviti tudi prioritete pri prebiranju.
Kot poslovni subjekt, ki deluje na svetovnem trgu boš moral še vedno prebrati sporočilo ne glede na obstoj podpisa, njegovo pravilnost ali njegovo veljavnost. Konec koncev se je morda prejšni teden pojavil nov CA v Avstriji, ta človek ti pa uporablja ravno njegovo kv. dig. potrdilo. To so neke mere velja še celo za privatne osebke. Prijatelju dam svoj e-mail naslov, njegov ponudnik pošte pa uporabla podpise CA-ja, ki jih moj ne pozna. Kaj naj potem storim?
Koliko uporabnikov, ki se zavedajo pomena certifikata, pa bi slednjega naložilo na javni računalnik? Naprednejša rešitev so pametne kartice, kjer je ta problem znatno manj pereč. Če kartice ni v čitalniku, maila tudi digitalno podpisati ni mogoče. Prebrati certifikat s pametne kartice pa je običajno zelo težko (odvisno od implementacije), a nobena varnost ni 100%. Oziroma kot pravijo 100% = 0% funkcionalnost (najbolje da račulniku kar odvzameš napajanje).
In smo znova tam. Tudi pametne kartice niso vse narejene po enem standardu. Kateri je sedaj edini zveličav, da ti bo to sploh delovalo? Kdo ga bo določil? Kako se ga bo izbralo?
Glede nedomišljenosti in zgrešenosti v design-u se ne bi strinjal, saj gre za prakso ki je pogosta v marsikaterem okolju. V bančnem na primer je podpisovanje nalogov in omenjeno prevejanje podpisnika v nekoliko drugačni obliki vsakdanja praksa. Je pa res področje kar obsežno in ni enostavno pokriti vse vidike oziroma potencialne varnostne luknje. Mora pa iz tega razloga biti izpolnjenih kar nekaj predpogojev.
Mislim (od tukaj naprej je vse IMHO), da je trenutna praksa slaba. Ne zato, ker ne bi bila varna, temveč zato, ker je do uporabnikov neprijazna, neučinkovita in velikokrat ignorira cele kose standardov, kar ima za posledico celo vrsto subtilnih nekompatibilnosti. Vse to pa popolnoma neodvisno od zmožnosti ali nezmožnosti kraje ali izgube teh digitalnih podpisov.
Menim, da se je nesmiselno prepirati o varnosti rešitve, če predlagana rešitev sploh ni izvedljiva, oziroma ne izpolnjuje nujnih zahtev za sistem elektronske pošte. Nujne zahteva pa je predvsem možnost, da ima katerikoli uporabnik sistema možnost kadarkoli poslati kakršno koli sporočilo komurkoli drugemu v sistemu. Vse ostalo je motnja v sistemu, mimo katere se bo iskalo rešitve.
Strinjam se, da je največja težava z elektronsko pošto danes seveda šibka identiteta oziroma popolna odsotnost identitete pošiljatelja (weak attribution, repudiation, ...). Ta pomankljivost pa omogoča izogibanje odgovornosti oziroma identifikaciji (non-accountablity). Vsi tukaj vemo kaj je težava, ampapk X.500 hirearhije se do sedaj niso izkazale kot uporabne/uporabljane (kdo tukaj ima npr. X.400 naslov elektronske pošte?), X.509 standard za digitalne podpise pa se zlorablja levo in desno, kar uničuje in izničuje njegovo uporabnost.
Zato trdim, da vsi overitelji digitalnih potrdil v Sloveniji, zaradi omejitev programske opreme v splošnem, uporabili isti pristop, ki kaže neupoštevanje standardov X.500 in X.509 ter napačno uporabo digitalnih potrdil. Posledica tega pristopa pa sta še slabša uporabnost in prenosljivost pri njih podpisanih potrdil. Pri temu pa so "zagrešili" še omejitve, k jih zakon ne predvideva, pri elektronskem poslovanju pa se velikokrat izkažejo za katastrofalno slabe. Tega seveda niso krivi sami, temveč pri tem velik del krivde prevzemajo vsi proizvajalci programske opreme, ki so standarde preprosto ignorirali v točkah, ki so se jim zdele pretežke, hkrati pa so, posledično, ne-rešili težave, katerim so digitalna potrdila dejansko namenjena.
Matej_ ::
@BlueRunner
Tudi sam sem velik pristaš prostega trga. Tu načeloma res gre za "tržno storitev" in nisem predlagal, da se slednja podržavi. Moj predlog je bil zgolj, da se s strani države prizna ustrezna teža take organizacije v pravnem smislu (npr. enačanje certifikata te agencije z lastnoročnim podpisom). Po drugi strani pa tudi, če bi tu šlo za državno institucijo nebi bilo nič katastrofalno narobe (sicer manj želen scenarj, a vseeno). Koneckoncev, koliko virov osebne izkaznice pa obstaja v državi, tiska jo resda izbranec na razpisu, dobiš/naročiš pa jo na upravni enoti. Za kljčne infrastrukturne elemente družbe pa tudi na zahodu še vedno velja, da spadajo pod okrilje države in bi jih težko realiziral na kak drug način (npr. ceste, vojska, sodstvo...). Po zlomu finančne sfere, se je v ZDA zaželo govoriti celo, da bi storitve ki jih ponujajo banke zaradi nacionalne pomembnosti morala nuditi država. V splošnem pa velja tudi, da je državni monopolist vedno boljša izbira kot privatni monopolist. Bi pa bila morda bolj smiselna organizacija analogna centralni banki v neki državi - kontrolna institucija, ki postavljala tudi pravila na ravni države oziroma nekega širšega območja (EU), poslovne banke, ki pa so tržno orientirane, jih spoštujejo.
Kot že omenjeno opcij pri tem je več:
-zaupam vsem razen...
-zaupam tej, tej, in tej državi
-zaupam le tem agencij v tej državi
-zaupam tej državi in vsem ki jim zaupa ona
-zaupam vsem, ki jim zaupa ______
-...
Enako razmišljanje bi lahko uporabil tudi pri potnem listu, le da to omejitve tam še strožje, pa zadeva še vseeno deluje. Vsem bi bilo udobneje, da bi lahko meje prestopali brez potnih listov, a nekatere države na njih vztrajajo in če od njih nekaj hočeš (npr. turistični obisk) se temu moraš podrediti. Določene zahteve predstavljajo minimum, da je neka storitev sploh mogoča. Tu gre za tipičen cost/benefit.
V prehodni fazi bi nedvomno bilo potrebno pregledovati tudi nepodpisana sporočila, prej ali slej pa bi količina teh v luči precejšnjih koristi precej padla in vsi pomembni partnerji bi sodili v podpisano kategorijo (saj je tudi njim v interesu zmanjšanje spam-a). Kar se tiče uvedbe nove agencije, ta je predmet verige zaupanja in zgoraj omenjenih pravil. Če recimo zaupaš vsem agencijam v tisti državi, boš tudi novi.
Tu pa je standardov še manj kot v predhodno omenjenem primeru. Najbolj razširjen okvir je kolikor mi je zanano PC/SC. Pa tudi, če bi jih podprl več to načeloma nebi bil tak problem. Čitalnik spominskih kartic (druga kategorija, a vseeno), ki ga imam, recimo podpira malo morje standardov.
Z naraščanjem števila uporabnikov in trdnejšo roko ustreznih institucij (kontrolnih, za standarde...), bi se na dolgi rok tudi to uredilo, ali preko regulativ oziroma jasnih smernic ali pa "De facto".
Omenjeno je še najbolj stvar kritične mase. Uvedba nove prakse je pogosto motnja v sistemu, prej ali slej pa se, če je rešitev smiselna stvari uredijo. Rešitev na začetku lahko niti 100% skladna z zahtevami in se oblikuje na poti. Programska oprema je tipičen primer tega - na začetku običajno hroščata, se pa tekom življenskega cilka kvaliteta izboljša, ključno pa je, da so v tem koristi tako za uporabnike, kot za ponudnike.
Z napisanim se strinjam, napake pri implementaciji so često žalostna resnica, a še tako dobre ideje imajo pogosto problematične začetne faze (avtomobil, rentgen, osebni računalnik...). So pa na tem področju nekateri res dobri zgledi, ki bi jim bilo smiselno slediti, tavanje v temi to nikakor ni.
Znova si prišel na težavo zaupanja - verodostojnosti. Moderne države (npr. ZDA, VB, ZRN, ...) ne poznajo "državnih CA agencij" in si jih tudi ne želijo. Tudi zato ne, ker je to stvar prostega trga. V časih, ko se še elektriko privatizira, je podržavljanje te "storitve" čisto nasprotje vesga kar zahodne države počno. Kdo ti bo potem zbral seznam verodostojnih agencij? Microsoft? Sun? Vlada ZDA? G8? Še celo Mozilla foundation je tukaj prekleto zadrgnjena, saj je še Microsoft med našim predsedovanjem dodal kv. dig. podpise SIGEN-a, Mozilla, veličasten primerek odprtokodnega programa, pa nič.
Tudi sam sem velik pristaš prostega trga. Tu načeloma res gre za "tržno storitev" in nisem predlagal, da se slednja podržavi. Moj predlog je bil zgolj, da se s strani države prizna ustrezna teža take organizacije v pravnem smislu (npr. enačanje certifikata te agencije z lastnoročnim podpisom). Po drugi strani pa tudi, če bi tu šlo za državno institucijo nebi bilo nič katastrofalno narobe (sicer manj želen scenarj, a vseeno). Koneckoncev, koliko virov osebne izkaznice pa obstaja v državi, tiska jo resda izbranec na razpisu, dobiš/naročiš pa jo na upravni enoti. Za kljčne infrastrukturne elemente družbe pa tudi na zahodu še vedno velja, da spadajo pod okrilje države in bi jih težko realiziral na kak drug način (npr. ceste, vojska, sodstvo...). Po zlomu finančne sfere, se je v ZDA zaželo govoriti celo, da bi storitve ki jih ponujajo banke zaradi nacionalne pomembnosti morala nuditi država. V splošnem pa velja tudi, da je državni monopolist vedno boljša izbira kot privatni monopolist. Bi pa bila morda bolj smiselna organizacija analogna centralni banki v neki državi - kontrolna institucija, ki postavljala tudi pravila na ravni države oziroma nekega širšega območja (EU), poslovne banke, ki pa so tržno orientirane, jih spoštujejo.
Ali boš sam izbiral med N * št. držav različnimi agencijami kateri zaupaš in kateri ne? Ali se ti kaj takšnega sploh da početi?
Kot že omenjeno opcij pri tem je več:
-zaupam vsem razen...
-zaupam tej, tej, in tej državi
-zaupam le tem agencij v tej državi
-zaupam tej državi in vsem ki jim zaupa ona
-zaupam vsem, ki jim zaupa ______
-...
Premislil in prenehal uporabljati storitev. Pozabljaš, da računalniki niso avtomobili (zanesljivost), certifikati pa niso osebni dokumenti. S tem ne boš dosegel več, temveč boš naredil škodo.
Enako razmišljanje bi lahko uporabil tudi pri potnem listu, le da to omejitve tam še strožje, pa zadeva še vseeno deluje. Vsem bi bilo udobneje, da bi lahko meje prestopali brez potnih listov, a nekatere države na njih vztrajajo in če od njih nekaj hočeš (npr. turistični obisk) se temu moraš podrediti. Določene zahteve predstavljajo minimum, da je neka storitev sploh mogoča. Tu gre za tipičen cost/benefit.
Kot poslovni subjekt, ki deluje na svetovnem trgu boš moral še vedno prebrati sporočilo ne glede na obstoj podpisa, njegovo pravilnost ali njegovo veljavnost. Konec koncev se je morda prejšni teden pojavil nov CA v Avstriji, ta človek ti pa uporablja ravno njegovo kv. dig. potrdilo. To so neke mere velja še celo za privatne osebke. Prijatelju dam svoj e-mail naslov, njegov ponudnik pošte pa uporabla podpise CA-ja, ki jih moj ne pozna. Kaj naj potem storim?
V prehodni fazi bi nedvomno bilo potrebno pregledovati tudi nepodpisana sporočila, prej ali slej pa bi količina teh v luči precejšnjih koristi precej padla in vsi pomembni partnerji bi sodili v podpisano kategorijo (saj je tudi njim v interesu zmanjšanje spam-a). Kar se tiče uvedbe nove agencije, ta je predmet verige zaupanja in zgoraj omenjenih pravil. Če recimo zaupaš vsem agencijam v tisti državi, boš tudi novi.
In smo znova tam. Tudi pametne kartice niso vse narejene po enem standardu. Kateri je sedaj edini zveličav, da ti bo to sploh delovalo? Kdo ga bo določil? Kako se ga bo izbralo?
Tu pa je standardov še manj kot v predhodno omenjenem primeru. Najbolj razširjen okvir je kolikor mi je zanano PC/SC. Pa tudi, če bi jih podprl več to načeloma nebi bil tak problem. Čitalnik spominskih kartic (druga kategorija, a vseeno), ki ga imam, recimo podpira malo morje standardov.
Mislim (od tukaj naprej je vse IMHO), da je trenutna praksa slaba. Ne zato, ker ne bi bila varna, temveč zato, ker je do uporabnikov neprijazna, neučinkovita in velikokrat ignorira cele kose standardov, kar ima za posledico celo vrsto subtilnih nekompatibilnosti. Vse to pa popolnoma neodvisno od zmožnosti ali nezmožnosti kraje ali izgube teh digitalnih podpisov.
Z naraščanjem števila uporabnikov in trdnejšo roko ustreznih institucij (kontrolnih, za standarde...), bi se na dolgi rok tudi to uredilo, ali preko regulativ oziroma jasnih smernic ali pa "De facto".
Menim, da se je nesmiselno prepirati o varnosti rešitve, če predlagana rešitev sploh ni izvedljiva, oziroma ne izpolnjuje nujnih zahtev za sistem elektronske pošte. Nujne zahteva pa je predvsem možnost, da ima katerikoli uporabnik sistema možnost kadarkoli poslati kakršno koli sporočilo komurkoli drugemu v sistemu. Vse ostalo je motnja v sistemu, mimo katere se bo iskalo rešitve.
Omenjeno je še najbolj stvar kritične mase. Uvedba nove prakse je pogosto motnja v sistemu, prej ali slej pa se, če je rešitev smiselna stvari uredijo. Rešitev na začetku lahko niti 100% skladna z zahtevami in se oblikuje na poti. Programska oprema je tipičen primer tega - na začetku običajno hroščata, se pa tekom življenskega cilka kvaliteta izboljša, ključno pa je, da so v tem koristi tako za uporabnike, kot za ponudnike.
Zato trdim, da vsi overitelji digitalnih potrdil v Sloveniji, zaradi omejitev programske opreme v splošnem, uporabili isti pristop, ki kaže neupoštevanje standardov X.500 in X.509 ter napačno uporabo digitalnih potrdil. Posledica tega pristopa pa sta še slabša uporabnost in prenosljivost pri njih podpisanih potrdil. Pri temu pa so "zagrešili" še omejitve, k jih zakon ne predvideva, pri elektronskem poslovanju pa se velikokrat izkažejo za katastrofalno slabe. Tega seveda niso krivi sami, temveč pri tem velik del krivde prevzemajo vsi proizvajalci programske opreme, ki so standarde preprosto ignorirali v točkah, ki so se jim zdele pretežke, hkrati pa so, posledično, ne-rešili težave, katerim so digitalna potrdila dejansko namenjena.
Z napisanim se strinjam, napake pri implementaciji so često žalostna resnica, a še tako dobre ideje imajo pogosto problematične začetne faze (avtomobil, rentgen, osebni računalnik...). So pa na tem področju nekateri res dobri zgledi, ki bi jim bilo smiselno slediti, tavanje v temi to nikakor ni.
BlueRunner ::
Malo sem pomešal zaporedje svojih odgovorov glede na tvoje...
Če to razbijem na primere uporabe:
- izbira se opravlja na odjemalcu: koliko domačih uporabnikov - laikov sedaj zaupa predefiniranim seznamom, ki jih dostavljajo komercialna podjetja, sicer pa nimajo pojma o temu kaj in kako ta mehanizem deluje.
- izbira se opravlja na strežniku: koliko domačih uporabnikov si želi komunicirati z nekom, ki ga pa ravno tvoj ponudnik, o glej ga zlomka, ne pozna in njegovo pošto odmetava v SPAM.
V enem primeru imaš veliko težav s false negatives: SPAM pošto, ki še vedno prihaja v tvoj privzet nabiralnik. V drugem primeru imaš težave s false positives: zaželjeno pošto, ki pa se odlaga med "slaba sporočila".
Ampak kako bi vedno in sproti vedel katere origanizacije imajo takšen žegen in katere ne? V X.509 PKI je overitev edina takšna pot, kar pomeni, da moraš ustvariti "Super CA", ki bo overil vse ostale verodostojne CA-je. Potem pa moraš še dodatno preverjati, ali so overitve še vedno veljavne ali ne. Kaj boš storil v primeru, da strežnik za preverjanje veljavnosti overitve (CRL) ni dosegljiv? Ali boš iz celotnega sveta, iz vseh CA-jev prenašal milijone in milijone zapisov, ki bodo govorili samo o temu ali boš sporočilo sprejel ali ne? Kaj se bo zgodilo, ko bo nekdo npr. onemogočil takšen strežnik (primer: Estonija). X.509 hirearhija je za takšno uporabo neprimerna. V izvoru je potrebno najti boljši mehanizem, ki bo tako ljudem prijazen, kot tudi dovolj učinkovit, da bo predstavljal spremembo.
Err.. osebne izkaznice so pri nas ostanek represivnega režima, ki si je za nalogo zadal tudi to, da ima vsakega prebivalca in prebivalko v državi oštevilčenega. Kar je iz vidika organizacije danes sicer praktično, vendar pa to v večini držav, ki si jih pogosto jemljemo za vzgled demokracije čisto preprosto ne obstaja na takšnem nivoju. Tudi identifikatorji, ki morda v teh državah obstajajo (v ZDA je to npr. SSN) pa niso primerni za javni identifikator osebe. Tako, kot se pri nas iz razumljivih razlogov ne uporablja EMŠO, ki je ključ v CRP.
Iz meni nerazumljivih razlogov pa se uporablja DŠ, ki predstavlja katastorfalen odmik od principa varovanja podatkov, ki omogočajo zlorabo in krajo identitete. Pa še ta podatek je kodiran na napačen način, ki je odvisen od konteksta potrdila, kar je IMHO ena najhujših kršitev standarda, ki si bi jo lahko kdo privoščil.
Da. Vem in vidim, da se tudi to okoli nas spreminja, ampak tudi ti novi identifikatorji še vedno ne bodo primerni za tovrstno uporabo, hkrati pa je lepo videti kaj si državljani o takšnih "demokratičnih" potezah svojih vlad mislijo. Še en dodaten enoten identifikator bi bil v razvitih demokracijah političen samomor.
Vendar pa v to zbirko še vedno ne padejo banke, zavarovalnice, podjetja, poslovne komunikacije. Edina težava, ki jo je država reševala v tem kontekstu je izziv e-Uprave. Zato so digitalna potrdila, ki jih pa pri nas izdajajo s strani države priznani overitelji, samo marginalno uporabna, oziroma uporabna predvsem v kontekstu e-Uprave in slovenskih poslovnih subjektov. Njihova zanesljivost pri uporabi v komercialne namene pa je višja samo zaradi dveh soodvisnih pogojev: uporaba je pričakovana samo na teritoriju kjer ima jurisdikcijo RS in država je verodostojen ponudnik digitalne identitete. Jurisdikcija rešuje problem zagotavljnja garancije. Verodostojnost rešuje problem identifikacije.
Slaba primerjava. Države, ki zahtevajo potni list, ga "ovesijo" s svojim potrdilom s katerim potrdijo, da imaš pravico gibanja po njenem ozemlju. Dejansko jih minimalno briga od kje praviš, da prihajaš, še najmanj pa jih briga tvoja identiteta. Če prekršiš katero izmed njihovih pravil, je tvoja oseba fizično prisotna in se jo lahko po potrebi zadrži za neomejen čas in nad njo neomejeno izvrši suverenost te države.
Države po katerih se giblješ brez potnega lista samo priznavajo nek drug dokument kot zadosten za ugotavljanje pravice do prostega gibanja po njenem ozemlju. Še vedno pa to ne spremeni dejstva, da ima država v vseh teh primerih dostop do tvoje osebe. Tukaj je tvoja identiteta drugotnega pomena in se jo lahko po potrebi preveri na čisto drugačen način.
Pri oddaljeni komunikaciji ti tako nimaš nikakršnega dostopa do osebe, temveč iščeš njeno identiteto, oziroma zagotovilo, da se da osebo (pravno ali fizično) na zahtevo identificirati.
Hmm... naj razmislim: PC/SC, PKCS, Microsoft CSP. Potem še kontaktne in brezkontaktne. Pa čez to daš še različne standarde za kontaktne (ISO ni edini, ki se uporablja - USB PKCS #11 so tudi zelo popularne). Si kar mislim kakšna bo kompatibilnost. Verjetno približno takšna, kot je kompatibilnost med zdravstveno kartico, Viso, BA in biometričnim potnim listom: 0.
Potem se pa lahko vedno znova vrnemo k bistveni težavii, ki jo vidim: iz kartice sem prebral tvoje digitalno potrdilo in z njim podpisal kar sem pač želel podpisati. In kako sedaj prejemnik preveri verodostojnost pošiljateljevega podpis? Katerim overiteljem zaupam? Kdo odloča o tem zaupanju? Kako preverjam veljavnost?
IMHO se ne bi uredilo čisto nič, ker je takšen gol (naked) pristop tehnično neizvedljiv, poln težav in neprilagojen osnovni zahtevi: enostavna komunikacija.
Teoretično gledano je vse to res. Ampak zakaj misliš, da je najboljša rešitev v smeri uporabe:
- postopkov, ki so uporabni samo za omejeno število uporabnikov oziroma omejen namen
- standardov, ki jih nihče ne spoštuje in jih vsak neodvisno zlorablja na svoj lasten način
Iščem, iščem pa ne najdem: dober zgled na tem področju, ki se ga bi dalo prevesti na zahteve in posebnosti tega komunikacijskega sredstva.
Kot že omenjeno opcij pri tem je več:
-zaupam vsem razen...
-zaupam tej, tej, in tej državi
-zaupam le tem agencij v tej državi
-zaupam tej državi in vsem ki jim zaupa ona
-zaupam vsem, ki jim zaupa ______
-...
Če to razbijem na primere uporabe:
- izbira se opravlja na odjemalcu: koliko domačih uporabnikov - laikov sedaj zaupa predefiniranim seznamom, ki jih dostavljajo komercialna podjetja, sicer pa nimajo pojma o temu kaj in kako ta mehanizem deluje.
- izbira se opravlja na strežniku: koliko domačih uporabnikov si želi komunicirati z nekom, ki ga pa ravno tvoj ponudnik, o glej ga zlomka, ne pozna in njegovo pošto odmetava v SPAM.
V enem primeru imaš veliko težav s false negatives: SPAM pošto, ki še vedno prihaja v tvoj privzet nabiralnik. V drugem primeru imaš težave s false positives: zaželjeno pošto, ki pa se odlaga med "slaba sporočila".
Moj predlog je bil zgolj, da se s strani države prizna ustrezna teža take organizacije v pravnem smislu (npr. enačanje certifikata te agencije z lastnoročnim podpisom).
Ampak kako bi vedno in sproti vedel katere origanizacije imajo takšen žegen in katere ne? V X.509 PKI je overitev edina takšna pot, kar pomeni, da moraš ustvariti "Super CA", ki bo overil vse ostale verodostojne CA-je. Potem pa moraš še dodatno preverjati, ali so overitve še vedno veljavne ali ne. Kaj boš storil v primeru, da strežnik za preverjanje veljavnosti overitve (CRL) ni dosegljiv? Ali boš iz celotnega sveta, iz vseh CA-jev prenašal milijone in milijone zapisov, ki bodo govorili samo o temu ali boš sporočilo sprejel ali ne? Kaj se bo zgodilo, ko bo nekdo npr. onemogočil takšen strežnik (primer: Estonija). X.509 hirearhija je za takšno uporabo neprimerna. V izvoru je potrebno najti boljši mehanizem, ki bo tako ljudem prijazen, kot tudi dovolj učinkovit, da bo predstavljal spremembo.
Koneckoncev, koliko virov osebne izkaznice pa obstaja v državi, tiska jo resda izbranec na razpisu, dobiš/naročiš pa jo na upravni enoti.
Err.. osebne izkaznice so pri nas ostanek represivnega režima, ki si je za nalogo zadal tudi to, da ima vsakega prebivalca in prebivalko v državi oštevilčenega. Kar je iz vidika organizacije danes sicer praktično, vendar pa to v večini držav, ki si jih pogosto jemljemo za vzgled demokracije čisto preprosto ne obstaja na takšnem nivoju. Tudi identifikatorji, ki morda v teh državah obstajajo (v ZDA je to npr. SSN) pa niso primerni za javni identifikator osebe. Tako, kot se pri nas iz razumljivih razlogov ne uporablja EMŠO, ki je ključ v CRP.
Iz meni nerazumljivih razlogov pa se uporablja DŠ, ki predstavlja katastorfalen odmik od principa varovanja podatkov, ki omogočajo zlorabo in krajo identitete. Pa še ta podatek je kodiran na napačen način, ki je odvisen od konteksta potrdila, kar je IMHO ena najhujših kršitev standarda, ki si bi jo lahko kdo privoščil.
Da. Vem in vidim, da se tudi to okoli nas spreminja, ampak tudi ti novi identifikatorji še vedno ne bodo primerni za tovrstno uporabo, hkrati pa je lepo videti kaj si državljani o takšnih "demokratičnih" potezah svojih vlad mislijo. Še en dodaten enoten identifikator bi bil v razvitih demokracijah političen samomor.
Za kljčne infrastrukturne elemente družbe pa tudi na zahodu še vedno velja, da spadajo pod okrilje države in bi jih težko realiziral na kak drug način (npr. ceste, vojska, sodstvo...).
Vendar pa v to zbirko še vedno ne padejo banke, zavarovalnice, podjetja, poslovne komunikacije. Edina težava, ki jo je država reševala v tem kontekstu je izziv e-Uprave. Zato so digitalna potrdila, ki jih pa pri nas izdajajo s strani države priznani overitelji, samo marginalno uporabna, oziroma uporabna predvsem v kontekstu e-Uprave in slovenskih poslovnih subjektov. Njihova zanesljivost pri uporabi v komercialne namene pa je višja samo zaradi dveh soodvisnih pogojev: uporaba je pričakovana samo na teritoriju kjer ima jurisdikcijo RS in država je verodostojen ponudnik digitalne identitete. Jurisdikcija rešuje problem zagotavljnja garancije. Verodostojnost rešuje problem identifikacije.
Enako razmišljanje bi lahko uporabil tudi pri potnem listu, le da to omejitve tam še strožje, pa zadeva še vseeno deluje. Vsem bi bilo udobneje, da bi lahko meje prestopali brez potnih listov, a nekatere države na njih vztrajajo in če od njih nekaj hočeš (npr. turistični obisk) se temu moraš podrediti.
Slaba primerjava. Države, ki zahtevajo potni list, ga "ovesijo" s svojim potrdilom s katerim potrdijo, da imaš pravico gibanja po njenem ozemlju. Dejansko jih minimalno briga od kje praviš, da prihajaš, še najmanj pa jih briga tvoja identiteta. Če prekršiš katero izmed njihovih pravil, je tvoja oseba fizično prisotna in se jo lahko po potrebi zadrži za neomejen čas in nad njo neomejeno izvrši suverenost te države.
Države po katerih se giblješ brez potnega lista samo priznavajo nek drug dokument kot zadosten za ugotavljanje pravice do prostega gibanja po njenem ozemlju. Še vedno pa to ne spremeni dejstva, da ima država v vseh teh primerih dostop do tvoje osebe. Tukaj je tvoja identiteta drugotnega pomena in se jo lahko po potrebi preveri na čisto drugačen način.
Pri oddaljeni komunikaciji ti tako nimaš nikakršnega dostopa do osebe, temveč iščeš njeno identiteto, oziroma zagotovilo, da se da osebo (pravno ali fizično) na zahtevo identificirati.
Tu pa je standardov še manj kot v predhodno omenjenem primeru. Najbolj razširjen okvir je kolikor mi je zanano PC/SC. Pa tudi, če bi jih podprl več to načeloma nebi bil tak problem. Čitalnik spominskih kartic (druga kategorija, a vseeno), ki ga imam, recimo podpira malo morje standardov.
Hmm... naj razmislim: PC/SC, PKCS, Microsoft CSP. Potem še kontaktne in brezkontaktne. Pa čez to daš še različne standarde za kontaktne (ISO ni edini, ki se uporablja - USB PKCS #11 so tudi zelo popularne). Si kar mislim kakšna bo kompatibilnost. Verjetno približno takšna, kot je kompatibilnost med zdravstveno kartico, Viso, BA in biometričnim potnim listom: 0.
Potem se pa lahko vedno znova vrnemo k bistveni težavii, ki jo vidim: iz kartice sem prebral tvoje digitalno potrdilo in z njim podpisal kar sem pač želel podpisati. In kako sedaj prejemnik preveri verodostojnost pošiljateljevega podpis? Katerim overiteljem zaupam? Kdo odloča o tem zaupanju? Kako preverjam veljavnost?
Z naraščanjem števila uporabnikov in trdnejšo roko ustreznih institucij (kontrolnih, za standarde...), bi se na dolgi rok tudi to uredilo, ali preko regulativ oziroma jasnih smernic ali pa "De facto"
IMHO se ne bi uredilo čisto nič, ker je takšen gol (naked) pristop tehnično neizvedljiv, poln težav in neprilagojen osnovni zahtevi: enostavna komunikacija.
Omenjeno je še najbolj stvar kritične mase. Uvedba nove prakse je pogosto motnja v sistemu, prej ali slej pa se, če je rešitev smiselna stvari uredijo. Rešitev na začetku lahko niti 100% skladna z zahtevami in se oblikuje na poti.
Teoretično gledano je vse to res. Ampak zakaj misliš, da je najboljša rešitev v smeri uporabe:
- postopkov, ki so uporabni samo za omejeno število uporabnikov oziroma omejen namen
- standardov, ki jih nihče ne spoštuje in jih vsak neodvisno zlorablja na svoj lasten način
So pa na tem področju nekateri res dobri zgledi, ki bi jim bilo smiselno slediti, tavanje v temi to nikakor ni.
Iščem, iščem pa ne najdem: dober zgled na tem področju, ki se ga bi dalo prevesti na zahteve in posebnosti tega komunikacijskega sredstva.
Matej_ ::
@BlueRunner:
Če bi se to opravljalo na strežniku, vedno imaš v primeru, ki si ga navedel, možnost menjave ponudnika. Sicer pa bi verjetno ponudnik ponudil možnost spremembe oziroma sestavljanja seznama, za to opcijo bi se recimo odločili napredni uporabniki, ki so dobro informirani in želijo imeti absoluten vpliv na to kaj prejemajo. Seznam teh agencij glede na že omenjene opcije in hierarhične odnose nebi bil prav dolg (odvisno od tega kako podroben bi želel biti). Za tiste manj napredne bi recimo obstajal default "best practice" paket ali opcijsko stopnice med eno in drugo skrajnostjo. False positives sporočil IMHO praktično nebi bilo. Ponudnik je vedno zainteresiran za izboljšanje nivoja storitve, če to pomeni več strank in minimalen vložek stredstev.
Tudi pri izbira na odjemalcu je zgodba podobna zgornji. Ob nastavitvah, ki jih že vnašaš pri nastavljanju e-mail naslova, bi pač vnesel še agencijo(e). Dovolj bi načeloma bila ena agencija ki jih zaupaš in ki ima ustrezno vzpostavljeno mrežo zaupanja (vhodna točka je načeloma lahko poljubna).
Sicer je to še za korak manj povezano s temo, kot bi želel a vseeno:
X.509 pozna večje število topologij (Hierarchical, Mesh, Bi-Lateral, Cross-Certified, Bridge) in ustanovitev "Super CA" za dosego cilja ni potrebna. Ustrezna izbira topologije naslovi tudi vse ostale probleme, ki jih navajaš. Zdi se mi, da imaš pri vseh v mislih le strogo hierarhično različico
Se trinjam s povedanim. Sem pa z vprašanjem hotel le izpostaviti, da četudi bi bil vir le eden, to ne pomenilo konca te zgodbe. Primer za to bi lahko bil katerikoli drug dokument/listina/potrdilo...
Z vsem napisanim se strinjam. In če lahko to ekvivalentno apliciraš še na vse ostale države je problem rešen globalno :)
Pri primeru potnega lista sem ciljal predvsem na predpogoj za dostop do nečesa in zaradi sorodnosti se mi je zdel primeren kandidat. Prav tako bi lahko navedel vozniški izpit, da lahko voziš avto; zaključena fakulteta, da se lahko zaposliš, če delodajalec to zahteva...
Podpornik PC/SC je med drugim recimo Gemalto, Infineon, Microsoft, Toshiba... kar pomeni kar široko sprejetost, pa tudi odprtokodna podpora ne manjka. Stanje ni tako črno.
Biometrični potni list na stran. BA in zdravstvena kartica mislim, da bosta po novem kompatibilna. Za viso nisem prepričan.
Že pokrito pri zgornjih odgovorih, predvsem to rešujejo tudi druge topologije.
Ni je enostavnejše komunikacije, kot če svojemu sogovorniku v živo nekaj poveš. Vseeno pa smo iz raznoraznih razlogov in za pokrivanje drugih potreb privzeli tudi uporabo telefona in celo kompleksnega medija kot je internet. Je pa nivo težavnosti izjemno odvisen od implementacije in tudi najbolj preprosto nalogo se da izjemno zakomplicirati.
Uporabnost je kot že omenjeno pod izjemnim vplivom dejanske implementacije, glede omejenosti namena pa se nikakor ne more strinjati.
Ko se v družbi vzpostavi koncenz, da je opravljanje nečesa na nek način koristno tako za družbo kot za posameznika se kršitve standardov oziroma poskusi uveljavljanja svojih tudi ne dogajajo več prav pogosto. Koliko strank bi danes v konkurenčnem okolju pridobil kot ponudnik interneta, če bi recimo vztrajal na uporabi IPX protokola?
Enega sem že omenil, bančna sfera (npr. SWIFT-ovo omrežje in pripadajoča infrastruktura). Zahteve z vidika varnosti so tu še nekoliko strožje, a v principu gre za izmenjavo relativno enostavnih sporočil, ki mora biti hitra in učinkovita.
Če to razbijem na primere uporabe:
- izbira se opravlja na odjemalcu: koliko domačih uporabnikov - laikov sedaj zaupa predefiniranim seznamom, ki jih dostavljajo komercialna podjetja, sicer pa nimajo pojma o temu kaj in kako ta mehanizem deluje.
- izbira se opravlja na strežniku: koliko domačih uporabnikov si želi komunicirati z nekom, ki ga pa ravno tvoj ponudnik, o glej ga zlomka, ne pozna in njegovo pošto odmetava v SPAM.
V enem primeru imaš veliko težav s false negatives: SPAM pošto, ki še vedno prihaja v tvoj privzet nabiralnik. V drugem primeru imaš težave s false positives: zaželjeno pošto, ki pa se odlaga med "slaba sporočila".
Če bi se to opravljalo na strežniku, vedno imaš v primeru, ki si ga navedel, možnost menjave ponudnika. Sicer pa bi verjetno ponudnik ponudil možnost spremembe oziroma sestavljanja seznama, za to opcijo bi se recimo odločili napredni uporabniki, ki so dobro informirani in želijo imeti absoluten vpliv na to kaj prejemajo. Seznam teh agencij glede na že omenjene opcije in hierarhične odnose nebi bil prav dolg (odvisno od tega kako podroben bi želel biti). Za tiste manj napredne bi recimo obstajal default "best practice" paket ali opcijsko stopnice med eno in drugo skrajnostjo. False positives sporočil IMHO praktično nebi bilo. Ponudnik je vedno zainteresiran za izboljšanje nivoja storitve, če to pomeni več strank in minimalen vložek stredstev.
Tudi pri izbira na odjemalcu je zgodba podobna zgornji. Ob nastavitvah, ki jih že vnašaš pri nastavljanju e-mail naslova, bi pač vnesel še agencijo(e). Dovolj bi načeloma bila ena agencija ki jih zaupaš in ki ima ustrezno vzpostavljeno mrežo zaupanja (vhodna točka je načeloma lahko poljubna).
Ampak kako bi vedno in sproti vedel katere origanizacije imajo takšen žegen in katere ne? V X.509 PKI je overitev edina takšna pot, kar pomeni, da moraš ustvariti "Super CA", ki bo overil vse ostale verodostojne CA-je. Potem pa moraš še dodatno preverjati, ali so overitve še vedno veljavne ali ne. Kaj boš storil v primeru, da strežnik za preverjanje veljavnosti overitve (CRL) ni dosegljiv? Ali boš iz celotnega sveta, iz vseh CA-jev prenašal milijone in milijone zapisov, ki bodo govorili samo o temu ali boš sporočilo sprejel ali ne? Kaj se bo zgodilo, ko bo nekdo npr. onemogočil takšen strežnik (primer: Estonija). X.509 hirearhija je za takšno uporabo neprimerna. V izvoru je potrebno najti boljši mehanizem, ki bo tako ljudem prijazen, kot tudi dovolj učinkovit, da bo predstavljal spremembo.
Sicer je to še za korak manj povezano s temo, kot bi želel a vseeno:
X.509 pozna večje število topologij (Hierarchical, Mesh, Bi-Lateral, Cross-Certified, Bridge) in ustanovitev "Super CA" za dosego cilja ni potrebna. Ustrezna izbira topologije naslovi tudi vse ostale probleme, ki jih navajaš. Zdi se mi, da imaš pri vseh v mislih le strogo hierarhično različico
Err.. osebne izkaznice so pri nas ostanek represivnega režima, ki si je za nalogo zadal tudi to, da ima vsakega prebivalca in prebivalko v državi oštevilčenega. Kar je iz vidika organizacije danes sicer praktično, vendar pa to v večini držav, ki si jih pogosto jemljemo za vzgled demokracije čisto preprosto ne obstaja na takšnem nivoju. Tudi identifikatorji, ki morda v teh državah obstajajo (v ZDA je to npr. SSN) pa niso primerni za javni identifikator osebe. Tako, kot se pri nas iz razumljivih razlogov ne uporablja EMŠO, ki je ključ v CRP.
Iz meni nerazumljivih razlogov pa se uporablja DŠ, ki predstavlja katastorfalen odmik od principa varovanja podatkov, ki omogočajo zlorabo in krajo identitete. Pa še ta podatek je kodiran na napačen način, ki je odvisen od konteksta potrdila, kar je IMHO ena najhujših kršitev standarda, ki si bi jo lahko kdo privoščil.
Da. Vem in vidim, da se tudi to okoli nas spreminja, ampak tudi ti novi identifikatorji še vedno ne bodo primerni za tovrstno uporabo, hkrati pa je lepo videti kaj si državljani o takšnih "demokratičnih" potezah svojih vlad mislijo. Še en dodaten enoten identifikator bi bil v razvitih demokracijah političen samomor.
Se trinjam s povedanim. Sem pa z vprašanjem hotel le izpostaviti, da četudi bi bil vir le eden, to ne pomenilo konca te zgodbe. Primer za to bi lahko bil katerikoli drug dokument/listina/potrdilo...
Vendar pa v to zbirko še vedno ne padejo banke, zavarovalnice, podjetja, poslovne komunikacije. Edina težava, ki jo je država reševala v tem kontekstu je izziv e-Uprave. Zato so digitalna potrdila, ki jih pa pri nas izdajajo s strani države priznani overitelji, samo marginalno uporabna, oziroma uporabna predvsem v kontekstu e-Uprave in slovenskih poslovnih subjektov. Njihova zanesljivost pri uporabi v komercialne namene pa je višja samo zaradi dveh soodvisnih pogojev: uporaba je pričakovana samo na teritoriju kjer ima jurisdikcijo RS in država je verodostojen ponudnik digitalne identitete. Jurisdikcija rešuje problem zagotavljnja garancije. Verodostojnost rešuje problem identifikacije.
Z vsem napisanim se strinjam. In če lahko to ekvivalentno apliciraš še na vse ostale države je problem rešen globalno :)
Slaba primerjava. Države, ki zahtevajo potni list, ga "ovesijo" s svojim potrdilom s katerim potrdijo, da imaš pravico gibanja po njenem ozemlju. Dejansko jih minimalno briga od kje praviš, da prihajaš, še najmanj pa jih briga tvoja identiteta. Če prekršiš katero izmed njihovih pravil, je tvoja oseba fizično prisotna in se jo lahko po potrebi zadrži za neomejen čas in nad njo neomejeno izvrši suverenost te države.
Države po katerih se giblješ brez potnega lista samo priznavajo nek drug dokument kot zadosten za ugotavljanje pravice do prostega gibanja po njenem ozemlju. Še vedno pa to ne spremeni dejstva, da ima država v vseh teh primerih dostop do tvoje osebe. Tukaj je tvoja identiteta drugotnega pomena in se jo lahko po potrebi preveri na čisto drugačen način.
Pri oddaljeni komunikaciji ti tako nimaš nikakršnega dostopa do osebe, temveč iščeš njeno identiteto, oziroma zagotovilo, da se da osebo (pravno ali fizično) na zahtevo identificirati.
Pri primeru potnega lista sem ciljal predvsem na predpogoj za dostop do nečesa in zaradi sorodnosti se mi je zdel primeren kandidat. Prav tako bi lahko navedel vozniški izpit, da lahko voziš avto; zaključena fakulteta, da se lahko zaposliš, če delodajalec to zahteva...
Hmm... naj razmislim: PC/SC, PKCS, Microsoft CSP. Potem še kontaktne in brezkontaktne. Pa čez to daš še različne standarde za kontaktne (ISO ni edini, ki se uporablja - USB PKCS #11 so tudi zelo popularne). Si kar mislim kakšna bo kompatibilnost. Verjetno približno takšna, kot je kompatibilnost med zdravstveno kartico, Viso, BA in biometričnim potnim listom: 0.
Podpornik PC/SC je med drugim recimo Gemalto, Infineon, Microsoft, Toshiba... kar pomeni kar široko sprejetost, pa tudi odprtokodna podpora ne manjka. Stanje ni tako črno.
Biometrični potni list na stran. BA in zdravstvena kartica mislim, da bosta po novem kompatibilna. Za viso nisem prepričan.
Potem se pa lahko vedno znova vrnemo k bistveni težavii, ki jo vidim: iz kartice sem prebral tvoje digitalno potrdilo in z njim podpisal kar sem pač želel podpisati. In kako sedaj prejemnik preveri verodostojnost pošiljateljevega podpis? Katerim overiteljem zaupam? Kdo odloča o tem zaupanju? Kako preverjam veljavnost?
Že pokrito pri zgornjih odgovorih, predvsem to rešujejo tudi druge topologije.
IMHO se ne bi uredilo čisto nič, ker je takšen gol (naked) pristop tehnično neizvedljiv, poln težav in neprilagojen osnovni zahtevi: enostavna komunikacija.
Ni je enostavnejše komunikacije, kot če svojemu sogovorniku v živo nekaj poveš. Vseeno pa smo iz raznoraznih razlogov in za pokrivanje drugih potreb privzeli tudi uporabo telefona in celo kompleksnega medija kot je internet. Je pa nivo težavnosti izjemno odvisen od implementacije in tudi najbolj preprosto nalogo se da izjemno zakomplicirati.
Teoretično gledano je vse to res. Ampak zakaj misliš, da je najboljša rešitev v smeri uporabe:
- postopkov, ki so uporabni samo za omejeno število uporabnikov oziroma omejen namen
- standardov, ki jih nihče ne spoštuje in jih vsak neodvisno zlorablja na svoj lasten način
Uporabnost je kot že omenjeno pod izjemnim vplivom dejanske implementacije, glede omejenosti namena pa se nikakor ne more strinjati.
Ko se v družbi vzpostavi koncenz, da je opravljanje nečesa na nek način koristno tako za družbo kot za posameznika se kršitve standardov oziroma poskusi uveljavljanja svojih tudi ne dogajajo več prav pogosto. Koliko strank bi danes v konkurenčnem okolju pridobil kot ponudnik interneta, če bi recimo vztrajal na uporabi IPX protokola?
Iščem, iščem pa ne najdem: dober zgled na tem področju, ki se ga bi dalo prevesti na zahteve in posebnosti tega komunikacijskega sredstva.
Enega sem že omenil, bančna sfera (npr. SWIFT-ovo omrežje in pripadajoča infrastruktura). Zahteve z vidika varnosti so tu še nekoliko strožje, a v principu gre za izmenjavo relativno enostavnih sporočil, ki mora biti hitra in učinkovita.
BlueRunner ::
Uf. Res sva zalutala 
Da ne bova šla preveč v tehniko, se bom obesil samo na tisto, kar mislim, da je bistvo za konkretne težave:
Mislim, in menim, da najina debata to zelo dobro demonstrira, je rešitev, ki bi bazirala na X.509 PKI (hirearhični so še najbolj enostavni - druge topologije imajo druge pomankljivosti) pri vsaki naslednji težavi, ki se jo izpostavi vedno bolj komplicirana.
Kaj pa, če bi obrnili zadevo na glavo in se lotili težave iz drugega konca. Konec koncev me za omejitev težav s SPAM-om ne zanima nujno, ali je na drugi strani res Janko ali pa je morda Metka. V bistvu bi mi zadoščali že samo eno zagotovilo: da je možno enostavno in zanesljivo identificirati omrežje/sistem iz katerega sporočilo prihaja.
Ali imamo mehanizme, ki bi bili za uporabnike popolnoma transparentni (enostavnost), hkrati pa bi upraviteljem strežnikov dali možnost avtomatičnega sortiranja pošte glede na ugled izvora? En takšen poskus je npr. DKIM, ki postaja vedno bolj popularen (veliko velikih ga že uporablja), ćeprav ima tudi ta težave, ker zagotavlja samo potrditev izvora sporočila, ne govori pa ničesar o ugledu izvora. In pri temu ne uporablja nikakršnih X.509 digitalnih potrdil.
Ni težava, da se pri temu uporablja kriptografija, ampak uporabnik, po mojem mnenju, z drobovjem tehnike ne bi smel imeti nikakršnega stika.
Da ne bova šla preveč v tehniko, se bom obesil samo na tisto, kar mislim, da je bistvo za konkretne težave:
Je pa nivo težavnosti izjemno odvisen od implementacije in tudi najbolj preprosto nalogo se da izjemno zakomplicirati.
Mislim, in menim, da najina debata to zelo dobro demonstrira, je rešitev, ki bi bazirala na X.509 PKI (hirearhični so še najbolj enostavni - druge topologije imajo druge pomankljivosti) pri vsaki naslednji težavi, ki se jo izpostavi vedno bolj komplicirana.
Kaj pa, če bi obrnili zadevo na glavo in se lotili težave iz drugega konca. Konec koncev me za omejitev težav s SPAM-om ne zanima nujno, ali je na drugi strani res Janko ali pa je morda Metka. V bistvu bi mi zadoščali že samo eno zagotovilo: da je možno enostavno in zanesljivo identificirati omrežje/sistem iz katerega sporočilo prihaja.
Ali imamo mehanizme, ki bi bili za uporabnike popolnoma transparentni (enostavnost), hkrati pa bi upraviteljem strežnikov dali možnost avtomatičnega sortiranja pošte glede na ugled izvora? En takšen poskus je npr. DKIM, ki postaja vedno bolj popularen (veliko velikih ga že uporablja), ćeprav ima tudi ta težave, ker zagotavlja samo potrditev izvora sporočila, ne govori pa ničesar o ugledu izvora. In pri temu ne uporablja nikakršnih X.509 digitalnih potrdil.
Ni težava, da se pri temu uporablja kriptografija, ampak uporabnik, po mojem mnenju, z drobovjem tehnike ne bi smel imeti nikakršnega stika.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Prepoznavanje govoraOddelek: Programska oprema | 7027 (4652) | Blop |
| » | Microsoft uničil botnet Nitol in odkril njegove zasevke na svežih kitajskih računalniOddelek: Novice / Varnost | 3563 (2478) | Jst |
| » | Spamerji se z botnetov selijo na legitimne, a kompromitirane računeOddelek: Novice / Varnost | 4776 (3610) | Iatromantis |
| » | Spama vedno manjOddelek: Novice / Omrežja / internet | 6663 (5566) | Pyr0Beast |
| » | Milijon Linux kernelov na enem sistemuOddelek: Novice / Varnost | 4150 (2741) | Pyr0Beast |