Простой перебор?! Если немного ближе к теме, то оценки различных методов дискретного логарифмирования на эллиптических кривых, скажем, начиная с Шанкса и более изощрённых, а так же с учётом оценок предполагаемого прогресса вычислительной техники и т.п., обещают сроки криптографической защиты десятки лет. (Имеется ввиду, что если начать логарифмировать прямо сейчас открытый ключ рекомендованной размерности, то в течении пары десятилетий вероятность успешного подбора не превысит разумно малой границы.)
Типичные же сроки действия сертификатов пользователей порядка одного года больше вызваны организационными аспектами. Например, если организация доверяет человеку ключ, то, как бы, разумно иметь с этим человеком трудовой договор не короче срока действия сертификата (ключа), что б не отзывать сертификат лишний раз.
Кроме того, оценки более сложных атак (физических, по побочным каналам, и т.п.), а так же оценки влияния отказов оборудования, как бы, намекают, что сохранить закрытый ключ в тайне с разумной вероятность больше пары-тройки лет достаточно непросто. Лучше бы его надёжно стереть, по окончании разумно небольшого срока действия, что б врагу не достался.
… кто будет нести ответственность, если случится компроментация ключа?
За всё отвечает владелец сертификата ключа подписи. Это его риски.
«… несколько контейнеров с разными закрытыми ключами, но соответствующими одному открытому...»
Заметим, что для большинства систем и алгоритмов это должно звучать как:«несколько контейнеров с одинаковыми закрытыми и открытыми ключами». Если же не ограничивать божественную милость, то: «несколько контейнеров с функционально эквивалентными закрытыми ключами и одинаковыми открытыми».
Как бы, действительно, срок действия закрытого ключа, в принципе, может быть задан соответствующим атрибутом X.509 в сертификате отправителя.
Однако, в тех системах, в которых этот атрибут используется, при выпуске продлённого сертификата можно и нужно расширить, как срок действия сертификата, так и срок действия закрытого ключа.
«Координация профанации»…
… пользователей сертификаты открытых ключей могут протухнуть при нахождении пользователей в режиме самоизоляции и они не смогут проверять с их помощью внешние электронные подписи...
Хм. На мой непросвещённый взгляд, «внешние» электронные подписи (подписи других пользователей) проверяются не с помощью своего сертификата, а с помощью «внешних» сертификатов (сертификатов других пользователей).
… привязанный к этому сертификату, у которого (ключа) срок уже тоже истек и по приказу министерства продлить его невозможно технически...
Обычно, привязка сертификата с закрытым/открытым ключом пользователя изменяется легко, или очень легко:
Если сертификат пользователя передаётся в подписанном сообщении, достаточно легко установить «продлённый сертификат» в «личное хранилище сертификатов» и/или в соответствующий атрибут ключевого контейнера/токена (технически легко, другой вопрос как обучить этому пользователя);
Если сертификат пользователя не передаётся в подписанном сообщении, а в сообщении передаётся ссылка на сертификат по keyed, то достаточно легко изменить централизованный каталог сертификатов;
И т.д. и т.п.
P.S.
Там есть правовая коллизия, вроде в требованиях ФСБ на УЦ есть пожелание контролировать уникальность сертификатов на открытые ключи, а здесь законодатели предлагают выпустить второй. Кто главнее ФСБ или законодатели?
Типа «дом/квартира ‘самоубийц’» и «непуганых электриков двоечников»? Представить, конечно, можно, но понять почему защитное заземление(зануление) проложено, но не соединено с фундаментом, трубами отопления и водопровода тем или иным способом, достаточно сложно.
DNAT? Нет, ну если поставщик поддерживает DHCPv6-PD, Интернет более устойчив, чем даже питание 230В, и не требуется резервное подключение, то ж может быть, может быть, и DNAT+DynDNS будут ещё туда-сюда.
Но если, скажем, взять Интернет на даче от МТС, в котором при каждом переподключении модема изменяется префикс сети IPv6, то нужен же нормальный, полноценный NAT.
Как бы, и возникает возврат к вопросу: «И зачем домашнему пользователю IPv6»? Что так IPv4 без NAT жизни нет, что этак IPv6 без NAT жизнь весьма и весьма тяжела, вплоть до полной невозможности. Тем более что и в дороге, на пути поддержки IPv6, сервиса никто не обещал ;)
Строго говоря, если они сертифицировали с двухконтактной вилкой, как прибор класса II, то не 0,5 мА, а немного меньше <0,35 мА.
А вот насчёт 9 других розеток вашего модельного удлинителя, токи утечки у разной техники могут быть очень разными, типичные ограничения ГОСТ/IEC: <3,5 мА или <0,75 мА на кВт мощности.
Однако реальная беда с другого конца, если у прибора(ов) есть третий контакт на вилке (класс I), то это означает, что внутренние провода могут проходить непосредственно рядом с корпусом или иными доступными к прикосновению металическими частями (одинарная, обычная изоляция). И когда эта изоляция нарушится, от времени ли, от перегрева ли, то если у удлинителя нет контакта с защитным заземлением розетки, на всех корпусах окажутся полноценные 230В без всякого ограничения тока. И поэтому, вне зависимости от конструкции MacBook, не стоит использовать удлинители с контактами защитного заземления, если в розетке нет защитного заземления. Особенно, если рядом батарея или водопровод.
Как, как? Дифференциальным трансформатором… Берёт геометрическую сумму токов 2/4 проводной линии и, через компаратор, подаёт на соленоид, который дёргает расцепитесь.
P.S.
Это для переменного (АС) и пульсирующего (А). Для постоянного тока (B) трансформаторов два и большая куча электроники.
Согласно ГОСТ что б при сертификации считаться прибором класса II, т.е. иметь двухконтактую вилку, следует выполнять: «… для приборов класса II и частей конструкций класса II — 0,35 мА (пиковое значение)...»
Так что, при исправном оборудовании, ВДТ/АВДТ (УДТ или УЗО) срабатывать не должны, т.к. самые чувствительные обязаны не срабатывать при 5 мА у нас и при 4 мА у них, за большой лужей.
Как сказать, как сказать, например в МТС маршрутизатор/модем переподключился и-и-и? Домашняя сеть получила другой префикс, тут то и пошли тормоза. Без DHCPv6-PD жизни вообще нет.
Но все области применения (резервные каналы и прочая, прочая) перекрывают только, либо своя автономная система (AS), либо NAT.
Это ж если жечь сталь несущих конструкций вышки для устроения фейерверков. Тогда, да, потребно образование химика (взрывника).
Но у нас же глобальное потепление, так что можно ж и без излишнего энерговыделения ж «пожечь» алюминий или медь проводов, а может кремниевые элементы микросхем. И для этого может быть полезно иметь радиоинженерное или электротехническое образование.
Есть ещё куча вариантов того, каким именно способом уменьшить или убрать акустическое или электромагнитное загрязнение окружающей среды до приемлемого уровня…
А чего macOS учить открывать? Он их нормально не только открывает, но и создаёт. Например, легко проверить:
$ mkdir /tmp/t/shell-ё
$ ls /tmp/t | od -c
0000000 f i n d e r - е ** ̈ ** \n s h e l
0000020 l - ё ** \n
0000025
, что Finder создаёт NFD нормализованные имена, а bash точно такие, какие заданы аргументом (и, в данном случае, Терминал вводит букву «ё» одним символом Unicode).
В общем, APFS относится к нормализации Unicode так же, как к регистру символов: храним как создавали, а при открытии, поиске и сравнении нормализуем, т.е. все варианты «ё», «ё», «Ё», «Ё» (упс, в комментарии нормализация NFC) открывают один и тот же файл.
А например, NTFS под Windows, несмотря на аналогичную нечувствительность к регистру, работает иначе («ё», «Ё» — это один файл, а «ё», «Ё» — это другой файл, и перепутать просто невозможно ж):
Ясное дело, в ZFS и прочих ФС у Solaris, Linux, FreeBSD: «ё», «ё», «Ё», «Ё» — четыре разных файла. Что, как бы, тоже понять можно, в отличии от NTFS/Windows.
2) Фаирвол, лично на мой взгляд это лучше nat'а.
…
— дают динамический префикс /64. Вытекающее из этого уже понятно.
— статические префиксы, когда появятся, будут за отдельную плату. Ироды.
В основной статье за этот факт, что префиксы раздаёт поставщик Интернет и, одновременно, рабочий NAT для IPv6, днём с огнём найти непросто, забыты как основные препятствия к внедрению IPv6.
Ну а вытекающее из этого, да понятно, домашняя сеть без внешнего Интернет хреново поднимается, при подключении/отключении/подключении/… Интернет тормозит даже внутри домашней сети.
За смену провайдера Интернет (скажем, МТС на Теле2), а тем более за резервное подключение, можно и не вспоминать.
Большие организации, конечно, могут разграничить с поставщиком(-и) Интернет области ответственности, скажем, получив автономную систему. Но зачем это им, если мелкие организации, а тем более домашние пользователи с IPv6 не дружат?
Охлад там работакт явно исправно, мониторинг ничего не покажет.… звонить не будут.
Если жужжит, стало быть, неисправен. А мониторинг, да, наверное, не покажет, ибо, неполон и некорректен, а ведь должен же контролировать важные для людей параметры. (как бы, разработчики, пока, почему-то иного мнения, но это стоит изменить, тем или иным способом)
Что до «человека с инженерным образованием», то он имеет полное право найти иные, более удобные/надёжные/прикольные способы вызвать срабатывание мониторинга, нежели тупые звонки.
P.S.
… но по телефону, который, зачастую, там же на столбе — звонить не будут.
Ваше пожелание навяело воспоминание о бородатом анекдоте:
Мужик показывает квартиру своему другу.
Вдруг тот видит на стене большой медный таз.
— А это что еще такое?
— Говорящие часы!
— ???
Мужик со всей силой бьет по тазу. Из-за стены раздается голос:
— Два часа ночи, е.. твою мать!
Не мониторинг, а мечта разработчика, да и почти бесплатно ж ;)
Типичные же сроки действия сертификатов пользователей порядка одного года больше вызваны организационными аспектами. Например, если организация доверяет человеку ключ, то, как бы, разумно иметь с этим человеком трудовой договор не короче срока действия сертификата (ключа), что б не отзывать сертификат лишний раз.
Кроме того, оценки более сложных атак (физических, по побочным каналам, и т.п.), а так же оценки влияния отказов оборудования, как бы, намекают, что сохранить закрытый ключ в тайне с разумной вероятность больше пары-тройки лет достаточно непросто. Лучше бы его надёжно стереть, по окончании разумно небольшого срока действия, что б врагу не достался.
За всё отвечает владелец сертификата ключа подписи. Это его риски.
Заметим, что для большинства систем и алгоритмов это должно звучать как:«несколько контейнеров с одинаковыми закрытыми и открытыми ключами». Если же не ограничивать божественную милость, то: «несколько контейнеров с функционально эквивалентными закрытыми ключами и одинаковыми открытыми».
Если таков регламент, значит «секурно», его ж проверяли и утверждали умные и ответственные товарищи.
Однако, в тех системах, в которых этот атрибут используется, при выпуске продлённого сертификата можно и нужно расширить, как срок действия сертификата, так и срок действия закрытого ключа.
Обычно, привязка сертификата с закрытым/открытым ключом пользователя изменяется легко, или очень легко:
P.S.
Там есть правовая коллизия, вроде в требованиях ФСБ на УЦ есть пожелание контролировать уникальность сертификатов на открытые ключи, а здесь законодатели предлагают выпустить второй. Кто главнее ФСБ или законодатели?
Но если, скажем, взять Интернет на даче от МТС, в котором при каждом переподключении модема изменяется префикс сети IPv6, то нужен же нормальный, полноценный NAT.
А вот насчёт 9 других розеток вашего модельного удлинителя, токи утечки у разной техники могут быть очень разными, типичные ограничения ГОСТ/IEC: <3,5 мА или <0,75 мА на кВт мощности.
Однако реальная беда с другого конца, если у прибора(ов) есть третий контакт на вилке (класс I), то это означает, что внутренние провода могут проходить непосредственно рядом с корпусом или иными доступными к прикосновению металическими частями (одинарная, обычная изоляция). И когда эта изоляция нарушится, от времени ли, от перегрева ли, то если у удлинителя нет контакта с защитным заземлением розетки, на всех корпусах окажутся полноценные 230В без всякого ограничения тока. И поэтому, вне зависимости от конструкции MacBook, не стоит использовать удлинители с контактами защитного заземления, если в розетке нет защитного заземления. Особенно, если рядом батарея или водопровод.
А вот требования консорциума USB на БП могут отличаться и, например, требовать обратного.
P.S.
Это для переменного (АС) и пульсирующего (А). Для постоянного тока (B) трансформаторов два и большая куча электроники.
Так что, при исправном оборудовании, ВДТ/АВДТ (УДТ или УЗО) срабатывать не должны, т.к. самые чувствительные обязаны не срабатывать при 5 мА у нас и при 4 мА у них, за большой лужей.
Но все области применения (резервные каналы и прочая, прочая) перекрывают только, либо своя автономная система (AS), либо NAT.
И пока поставщики домашнего Интернет хотя бы этому не научатся, без NAT жизни по-любому не будет.
Но у нас же глобальное потепление, так что можно ж и без излишнего энерговыделения ж «пожечь» алюминий или медь проводов, а может кремниевые элементы микросхем. И для этого может быть полезно иметь радиоинженерное или электротехническое образование.
Есть ещё куча вариантов того, каким именно способом уменьшить или убрать акустическое или электромагнитное загрязнение окружающей среды до приемлемого уровня…
, что Finder создаёт NFD нормализованные имена, а bash точно такие, какие заданы аргументом (и, в данном случае, Терминал вводит букву «ё» одним символом Unicode).
В общем, APFS относится к нормализации Unicode так же, как к регистру символов: храним как создавали, а при открытии, поиске и сравнении нормализуем, т.е. все варианты «ё», «ё», «Ё», «Ё» (упс, в комментарии нормализация NFC) открывают один и тот же файл.
А например, NTFS под Windows, несмотря на аналогичную нечувствительность к регистру, работает иначе («ё», «Ё» — это один файл, а «ё», «Ё» — это другой файл, и перепутать просто невозможно ж):
Ясное дело, в ZFS и прочих ФС у Solaris, Linux, FreeBSD: «ё», «ё», «Ё», «Ё» — четыре разных файла. Что, как бы, тоже понять можно, в отличии от NTFS/Windows.
В основной статье за этот факт, что префиксы раздаёт поставщик Интернет и, одновременно, рабочий NAT для IPv6, днём с огнём найти непросто, забыты как основные препятствия к внедрению IPv6.
Ну а вытекающее из этого, да понятно, домашняя сеть без внешнего Интернет хреново поднимается, при подключении/отключении/подключении/… Интернет тормозит даже внутри домашней сети.
За смену провайдера Интернет (скажем, МТС на Теле2), а тем более за резервное подключение, можно и не вспоминать.
Большие организации, конечно, могут разграничить с поставщиком(-и) Интернет области ответственности, скажем, получив автономную систему. Но зачем это им, если мелкие организации, а тем более домашние пользователи с IPv6 не дружат?
Если жужжит, стало быть, неисправен. А мониторинг, да, наверное, не покажет, ибо, неполон и некорректен, а ведь должен же контролировать важные для людей параметры. (как бы, разработчики, пока, почему-то иного мнения, но это стоит изменить, тем или иным способом)
Что до «человека с инженерным образованием», то он имеет полное право найти иные, более удобные/надёжные/прикольные способы вызвать срабатывание мониторинга, нежели тупые звонки.
P.S.
Ваше пожелание навяело воспоминание о бородатом анекдоте:
Не мониторинг, а мечта разработчика, да и почти бесплатно ж ;)