Ну сертификат это же просто набор байтов, ничего он сам зашифровать не может, криптосредством не является. И регру тоже ничего не шифрует, криптосредства не изготавливает и вам их не продает.
Все возникающие вопросы будут направлены вам. А что это вы делаете с этими байтами? По какому алгоритму? Где взяли? Сами придумали или кто подсказал? Ну и все такое в этом духе.
ага, но ее ой как непросто подключить. Из открытых PKI для linux я знаю только XCA. http://xca.sourceforge.net/
Лучше собрать из исходников, в репозитариях обычно старые версии, хотя здесь http://ru.archive.ubuntu.com/ubuntu/ubuntu/ubuntu/pool/universe/x/xca/
есть новейшая, но зависимости не удовлетворяются, можно попробовать установить из репов и поменять вручную, должна завестись.
ГОСТ она не поддерживает, я покурил исходники и понял, что без помощи автора не справлюсь.
Он отказался помогать, так что она пока без ГОСТа.
Ее склонировали госжулики из ЛИССИ, добавили ГОСТы и продают.
Скажите, а есть факты использования доверенных CA из вашего скриншота для подписывания поддельных сертификатов или принуждения не китайских компаний получать сертификаты в этих CA c депонированием закрытой части ключа?
По поводу уедет в Европу и работать никто не даст. Это вообще что? Мне лично неизвестны случаи, чтобы в Европе или США государство препятствовало желанию приехавшего туда россиянина работать. У вас есть какие-то подтверждения?
И чем вам не нравится Украина в этом контексте?
Вообще, почитал комментарии и понял, что статья об одном, а комментарии совсем о другом.
В статье говорится, что власти РФ опасаются отзыва сертификатов у структур, обеспечивающих инфраструктуру (госорганы, банки и прочие росстаты и фсс-ы) иностранными УЦ под нажимом их родных правительств, и что вся жизнь в стране от этого сразу остановится и наступит тот самый хаос, которого они так боятся. И решение они видят в том, чтобы заставить продукты разных производителей ПО (сами то они ничего видимо делать не собираются — ни тебе ОС, ни тебе браузеров) доверять РОСГОСУЦэ.
Всю бредовость этого заявления (во-первых, не отзовут, а во-вторых от этого ничего не встанет) никто не обсуждает, а все почему-то кинулись обсуждать то, что государство жаждет устроить глобальный MitM, как только получит вожделенное доверие, что тоже абсолютная чушь, поскольку после подтверждения хотя бы одного случая подписывания левого сертификата эти производители дружно уберут РОСГОСУЦэ из доверенных как скомпрометированный и больше никогда не добавят.
А инстранные сервисы запоют как канарейки, если их поставят перед фактом, что РОСГОСУЦэ генерирует и хранит закрытые ключи, вот и вся история.
Секундочку, тот товарищ интересуется, как это могут быть закладки, если они сами этим же пользуются. Я товарищу объяснил, что закладки могут быть не в самом алгоритме, а в его хитрой инициализации и/или в ГПСЧ. И что сами они будут пользоваться реализацией без закладок, а вы пишете, как осуществить атаку на правильно реализованную машину, которая все честно шифрует, в то время, как товарищ выше аргументирует невозможность существования закладок именно мгновенной компрометацией их данных в случае обнаружения уязвимости в реализации.
Вы же сами подтверждаете, что мгновенной компрометации не получится, а придется делать честную атаку.
ну зря вам так кажется. Есть алгоритм. В нем есть начальные параметры. В них может быть закладка. Еще есть ГПСЧ. в нем тоже может быть закладка. Это уже закладка в реализации. У них параметры без закладки и ГСЧ железный, например. Что будете делать как потенциальный противник?
А при чем здесь вообще шифрование? Инсайдеры не будут расшифровывать вашу работу с госзакупками, они прямо в госзакупочной получают доступ.
Секретный ключ для госзакупок вы, конечно же, сами не генерировали?
Я что-то не пойму о чем вы. Для проверки клиентов у вас есть возможность авторизовывать по сертификату, правда для этого нужно быть СА.
Или вы хотите узнать со стороны сервера, какой сертификат видит клиент? Ну клиент всегда будет видеть ваш сертификат, даже если он товарищ майор, он же для вас и есть клиент. Кстати, вы явно недооцениеваете товарища майора, он же при MitM ваш волшебный скрипт настоящему клиенту просто не отдаст.
Все правильно говорите,
только Микрософт дорожит репутацией и всякую фигню в доверенные сертификаты засовываь не будет.
И почему это вы решили, что русский=РФ? И Микрософт тоже так считает и только в русскую версию (кстати, такая разве есть) сертификат CA УЦ Российской Федерации (еще раз, почувствуйте разницу, пожалуйста) помещать не станет.
Да ладно, Firefox использует свою базу доверенных центров сертификации, и она находится прямо в исполняемом файле для любых ОС.
Как будем их прогибать?
Ну нет, я и не утверждал, что там написано. Я сказал, что я так понял.
Давайте разберемся, вы какие доверенные имеете в виду? Те, что вам доступны локально? Это не тот уровень.
Задача стоит добавиться в базу доверия, которую распространяют производители ПО.
В эту базу со своим ГОСТом не пустят, пока он не поддерживается тем продуктом, в который хотят добавиться, ну это минимальное требование. А еще придется показать, как вы подписываете запросы, где храните ключи, можете ли обеспечить всех своевременно списками отзыва и где берете случайные числа.
Вопрос доверия решать просто не нужно. Потомучто там доверие настоящее, его сложно заработать и легко навсегда потерять. Для целей контроля за пользователями нужно их заставить использовать госсертификат без всякого доверия.
Ну вот представьте, пошла бабушка на сайт, а там написано, что сертификат недоверенный, потомучто выдан АПРФ.
Ну позвонит она провайдеру, а он ей скажет — вы что, не доверяете президенту РФ? И всех делов.
А зачем давить на миллионы пользователей? Пойдете вы в интернет, а там неправильный сертификат, ужас-ужас. Куда вы обратитесь? Правильно, к провайдеру. Провайдер вам скажет, что по закону сертификат заменен на государственный, и чтобы все заработало просто выполните шаги из инструкции на нашем сайте. Ну и как думаете, много будет пострадавших и сильно подавленных?
А вот позориться и лезть в доверенные для этого вовсе не надо.
Все возникающие вопросы будут направлены вам. А что это вы делаете с этими байтами? По какому алгоритму? Где взяли? Сами придумали или кто подсказал? Ну и все такое в этом духе.
Лучше собрать из исходников, в репозитариях обычно старые версии, хотя здесь http://ru.archive.ubuntu.com/ubuntu/ubuntu/ubuntu/pool/universe/x/xca/
есть новейшая, но зависимости не удовлетворяются, можно попробовать установить из репов и поменять вручную, должна завестись.
ГОСТ она не поддерживает, я покурил исходники и понял, что без помощи автора не справлюсь.
Он отказался помогать, так что она пока без ГОСТа.
Ее склонировали госжулики из ЛИССИ, добавили ГОСТы и продают.
По поводу уедет в Европу и работать никто не даст. Это вообще что? Мне лично неизвестны случаи, чтобы в Европе или США государство препятствовало желанию приехавшего туда россиянина работать. У вас есть какие-то подтверждения?
И чем вам не нравится Украина в этом контексте?
В статье говорится, что власти РФ опасаются отзыва сертификатов у структур, обеспечивающих инфраструктуру (госорганы, банки и прочие росстаты и фсс-ы) иностранными УЦ под нажимом их родных правительств, и что вся жизнь в стране от этого сразу остановится и наступит тот самый хаос, которого они так боятся. И решение они видят в том, чтобы заставить продукты разных производителей ПО (сами то они ничего видимо делать не собираются — ни тебе ОС, ни тебе браузеров) доверять РОСГОСУЦэ.
Всю бредовость этого заявления (во-первых, не отзовут, а во-вторых от этого ничего не встанет) никто не обсуждает, а все почему-то кинулись обсуждать то, что государство жаждет устроить глобальный MitM, как только получит вожделенное доверие, что тоже абсолютная чушь, поскольку после подтверждения хотя бы одного случая подписывания левого сертификата эти производители дружно уберут РОСГОСУЦэ из доверенных как скомпрометированный и больше никогда не добавят.
А инстранные сервисы запоют как канарейки, если их поставят перед фактом, что РОСГОСУЦэ генерирует и хранит закрытые ключи, вот и вся история.
Вы же сами подтверждаете, что мгновенной компрометации не получится, а придется делать честную атаку.
Как попадутся, так сразу вылетят.
Секретный ключ для госзакупок вы, конечно же, сами не генерировали?
Или вы хотите узнать со стороны сервера, какой сертификат видит клиент? Ну клиент всегда будет видеть ваш сертификат, даже если он товарищ майор, он же для вас и есть клиент. Кстати, вы явно недооцениеваете товарища майора, он же при MitM ваш волшебный скрипт настоящему клиенту просто не отдаст.
только Микрософт дорожит репутацией и всякую фигню в доверенные сертификаты засовываь не будет.
И почему это вы решили, что русский=РФ? И Микрософт тоже так считает и только в русскую версию (кстати, такая разве есть) сертификат CA УЦ Российской Федерации (еще раз, почувствуйте разницу, пожалуйста) помещать не станет.
Как будем их прогибать?
Давайте разберемся, вы какие доверенные имеете в виду? Те, что вам доступны локально? Это не тот уровень.
Задача стоит добавиться в базу доверия, которую распространяют производители ПО.
В эту базу со своим ГОСТом не пустят, пока он не поддерживается тем продуктом, в который хотят добавиться, ну это минимальное требование. А еще придется показать, как вы подписываете запросы, где храните ключи, можете ли обеспечить всех своевременно списками отзыва и где берете случайные числа.
Ну вот представьте, пошла бабушка на сайт, а там написано, что сертификат недоверенный, потомучто выдан АПРФ.
Ну позвонит она провайдеру, а он ей скажет — вы что, не доверяете президенту РФ? И всех делов.
А вот позориться и лезть в доверенные для этого вовсе не надо.