| |
| 2.61, Аноним (61), 11:12, 07/07/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Не надо трогать сервера!
Не надо прикасатся к алгоритмам!
Не надо прикасатся к ключам!!!
Надо увеличить максимальное число подписей ключа до 150 000 всего у одной программе - GNUpg !
| | |
|
| |
| 2.4, Аноним (4), 12:42, 02/07/2019 [^] [^^] [^^^] [ответить]
| +4 +/– |
На пользователей этих серверов. Импортировал сертификат и всё зависло. Повезёт если знаешь, из-за какого сертификата проблема, а иначе весь кейринг придётся пересоздавать по крупицам.
| | |
|
| 1.3, Аноним (3), 12:40, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –19 +/– |
Подписи-шмодписи, зачем они? Т.е. я знаю зачем, но толку, если ты в глаза всё равно не видел никого из подписантов? А даже если и да, то это всё равно ничего не гарантирует.
| | |
| |
| 2.8, пох. (?), 13:17, 02/07/2019 [^] [^^] [^^^] [ответить]
| –5 +/– | |
вот кто-то и решил показать на практике, что вся эта секьюрить выеденного яйца не стоит.
| | |
| |
| 3.18, Аноним (18), 15:59, 02/07/2019 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> вот кто-то и решил показать на практике, что вся эта секьюрить выеденного яйца не стоит.
А можно отгрузить Камаз свежайшего, из под коровок, прям под дверь и громко смеятся над несекьюрностью этих ваших дверей и замков!
| | |
| |
| 4.19, пох. (?), 16:06, 02/07/2019 [^] [^^] [^^^] [ответить]
| +/– |
> А можно отгрузить Камаз свежайшего, из под коровок, прям под дверь и громко смеятся над
> несекьюрностью этих ваших дверей и замков!
ну если через дверь протечет - то несекьюрна, а если не - то, разумеется, дверь ок, но наличие отсутствия рва с крокодилами и подъемного моста - несекьюрно. (разгрузку в ров камаза предотвращает внешний вал и автоматические огнеметы, разумеется)
А так-то на камазе можно просто в дом въехать - необязательно даже через дверь.
| | |
|
| 3.52, myhand (ok), 23:31, 03/07/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Тебя боевые чукчи угрозами заставляют использовать сервера ключей?
| | |
|
| 2.17, Аноним (17), 15:41, 02/07/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Простой пример: пакеты с подписями. А иначе можно установить что угодно. А атака вообще ни о чём и не задевает пользователей этих пакетов.
| | |
|
| 1.5, Аноним (5), 12:56, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> Не существует единого эталонного сервера, на котором можно было бы удалить проблемные записи, все серверы равноправны, что делает задачу внесения архитектурных изменений крайне сложной.
Аргументация, как при миграции скайпа на сервера, прям.
> Задача усложняется тем, что SKS написан на достаточно специфичном языке OCaml
Смузимжны не осилили.
| | |
| |
| 2.9, пох. (?), 13:20, 02/07/2019 [^] [^^] [^^^] [ответить]
| +6 +/– |
>> Задача усложняется тем, что SKS написан на достаточно специфичном языке OCaml
> Смузимжны не осилили.
ты-то, конечно, уже осилил бы - вот только щас-щас-щас, пехепешный скриптик доотладишь, и тут же побежишь исправлять SKS?
все же писателей на нескучных язычках без жесткого обоснования необходимости надо гнать из проектов, пока они маленькие.
| | |
| |
| 3.13, Ivan_83 (ok), 14:12, 02/07/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Вот-вот!
Понапишут на непонятных фриковских языках а другим потом страдать.
| | |
| |
| 4.43, Клыкастый (ok), 11:55, 03/07/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Но это же можно и по-другому повернуть. Побегут на хайповый нодыжс, и написать ничего толкового на нём не написали и на тот софт что есть программистов нет. Как тебе такая точка зрения?
| | |
| |
| 5.45, agent_007 (ok), 13:06, 03/07/2019 [^] [^^] [^^^] [ответить]
| +/– |
 > Но это же можно и по-другому повернуть. Побегут на хайповый нодыжс, и написать ничего толкового на нём не написали и на тот софт что есть программистов нет. Как тебе такая точка зрения?
Так это просто оборотная сторона медали. И те и другие пишут на модном в своём кругу языке, с одинаковым результатом.
| | |
|
|
| 3.14, анонн (?), 14:24, 02/07/2019 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> все же писателей на нескучных язычках без жесткого обоснования необходимости надо гнать из проектов, пока они маленькие.
И использовать проект на правильном и скучном языке, только немного нереализованный? Или в котором 100500 дырок?
Напоминая, что сама проблема НЕ в SKS и предыдущее, скромно опущенное предложение
> мешает необходимость аккуратного изменения проверенного временем достаточно сложного алгоритма синхронизации
намекает, что лучше уж так, чем куча "улучшайзеров", которые наулучшали бы уже давно все к такой-то маме.
| | |
| |
| 4.20, пох. (?), 16:10, 02/07/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> И использовать проект на правильном и скучном языке, только немного нереализованный? Или
шансов реализоваться тоже больше у проектов на банальном си - просто в виду большего количества разработчиков, способных именно к разработке, а не тривиальным исправлениям.
> в котором 100500 дырок?
а волшебный ocaml от них волшебно защищает? (а, ну да - их никто там найти не может)
> Напоминая, что сама проблема НЕ в SKS и предыдущее, скромно опущенное предложение
проблема яйца выеденного не стоит, добавить лимит на число подписей.
Очевидно что уже два десятка - перебор и ни для чего не нужно. А проблем не будет и при сотне.
>> мешает необходимость аккуратного изменения проверенного временем
перевожу: написанного на том же нескучном язычке и никем не понимаемым - как-то проработал двадцать лет, хз как.
> достаточно сложного алгоритма синхронизации
да уж
> намекает, что лучше уж так, чем куча "улучшайзеров", которые наулучшали бы уже
лучше бы его поломали пока он был маленький - чем вот так, в любой момент ВСЕ автопроверялки подписей могут превращать свои проекты в тыкву.
| | |
| |
| 5.22, анонн (?), 16:27, 02/07/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> И использовать проект на правильном и скучном языке, только немного нереализованный? Или
> шансов реализоваться тоже больше у проектов на банальном си - просто в
> виду большего количества разработчиков, способных именно к разработке, а не тривиальным исправлениям.
Шансов подвергнуться остракизму на опеннете - несомненно.
А ссылочку на вашу реализацию тех (или вообще, любых) времен можно?
>> в котором 100500 дырок?
> а волшебный ocaml от них волшебно защищает? (а, ну да - их
> никто там найти не может)
Список проблем и уязвимостей в SKS - в студию!
>> Напоминая, что сама проблема НЕ в SKS и предыдущее, скромно опущенное предложение
> проблема яйца выеденного не стоит, добавить лимит на число подписей.
> Очевидно что уже два десятка - перебор и ни для чего не нужно. А проблем не будет и при сотне.
Увы, оне не опеннет, у них видимо нет своих знатоков и экспертов-по-всему ((
А ваш патч и умный совет в рассылке наверное не захотели принять, не так ли?
| | |
| |
| 6.33, пох. (?), 20:01, 02/07/2019 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> Список проблем и уязвимостей в SKS - в студию!
вон, в начале страницы. Ах, ну да, это ж не уязвимость и не в SKS.
Жаль что вся основанная на них структура вышла из доверия и пользоваться ей нельзя, но никакой уязвимости, вообще никакой.
| | |
| |
| 7.34, Аноним (18), 20:46, 02/07/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> Список проблем и уязвимостей в SKS - в студию!
> вон, в начале страницы. Ах, ну да, это ж не уязвимость и
> не в SKS.
Расскажите нам, какое слово в
This attack exploited a defect in the OpenPGP protocol itself in order to "poison" rjh and dkg's OpenPGP certificates
вам не понятно?
> Жаль что вся основанная на них структура вышла из доверия и пользоваться
> ей нельзя, но никакой уязвимости, вообще никакой.
А кто вам лично не давал сделать правильную реализацию на правильном ЯП еще 20 лет назад? Необходимость раздавать на опеннете ЦУ для других проектов?
| | |
| |
| 8.48, пох. (?), 16:33, 03/07/2019 [^] [^^] [^^^] [ответить] | +/– | еще двести миллионов раз повторите мантру это не в sks, это не в sks , перед ва... текст свёрнут, показать | | |
|
|
|
|
|
| 3.15, скорая помощь (?), 15:20, 02/07/2019 [^] [^^] [^^^] [ответить]
| +/– |
>все же писателей на нескучных
>язычках без жесткого
>обоснования необходимости
>надо гнать
Точно. Всез этих пэхапэшников надо гнать их профессии, чтобы они не множили завалы дырявого, неподдающегося отладке гуано.
| | |
| 3.41, Аноним (41), 10:25, 03/07/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
> все же писателей на нескучных язычках без жесткого обоснования необходимости надо гнать
> из проектов, пока они маленькие.
Вообще-то ML это классика. Его даже программисты из Микрософт, на которых тут принято показывать пальчиком, осилили и создали свой F с диезом и фреймворками.
| | |
| |
| 4.49, пох. (?), 16:34, 03/07/2019 [^] [^^] [^^^] [ответить]
| +/– | |
проблема, как видите, в том, что разобраться даже в сравнительно тривиальной программе на этой классике - никто не может, а те трое программистов из microsoft, к сожалению, заняты на работе.
| | |
| |
| 5.51, Аноним (41), 16:49, 03/07/2019 [^] [^^] [^^^] [ответить]
| +/– |
> проблема, как видите, в том, что разобраться даже в сравнительно тривиальной программе
> на этой классике - никто не может
Когда разбираться то? Надо строчить каменты, критикуя трёхфакторную идентификацию, которую внедрила microsoft, и предлагая всё переписать на Rust.
| | |
| 5.53, Vkni (ok), 02:29, 04/07/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Вообще-то программистов на камле дофига и больше. Его, как и SML в институтах преподают.
Но, вообще, надо быть отчаянно серым человеком, чтобы никогда не слышать о, скажем, INRIA.
| | |
|
| 4.54, Vkni (ok), 02:34, 04/07/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
ML - это база, на которой стоит Haskell, который разрабатывается с серьёзной поддержкой MS. Кроме того, если хоть чуть-чуть интересоваться софтом для верификации программ, сразу же попадаешь в чудесный мир Coq, Why3, и т.д., и т.п.
В общем, мы с сотрудниками замечательно поржали. Минский, наверное, тоже. Кстати, 27го будет Jane Street tech talk, наверно там вспомнят.
| | |
|
|
| 2.62, Аноним (61), 11:14, 07/07/2019 [^] [^^] [^^^] [ответить]
| +/– | |
Не надо трогать сервера!
Не надо прикасатся к алгоритмам!
Не надо прикасатся к ключам!!!
Надо увеличить максимальное число подписей ключа до 150 000 всего у одной программе - gnupg !
| | |
|
| 1.6, КО (?), 12:57, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Значит необходимо добавить в Gnupg патч добавляющий поддержку подобного количества ключей, и все дела. Раздули проблему на ровном месте. )))
| | |
| |
| 2.11, кульхакер (?), 13:22, 02/07/2019 [^] [^^] [^^^] [ответить]
| +/– | |
окей, сколько раз тебе подписать ключ, чтобы он в память твоего "десктопа" просто не влезал? Мне не жалко - у меня зомбонет большой.
| | |
| |
| 3.23, анон (?), 17:08, 02/07/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
больше 150к ты не сможеш, тут действительно нужно только клиентскую часть обновить чтобы решить проблему.
| | |
|
| 2.63, Аноним (61), 11:17, 07/07/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Значит необходимо добавить в Gnupg патч добавляющий поддержку подобного количества ключей, и все дела. Раздули проблему на ровном месте. )))
Скоты хотят испортить алгоритмы и базы ключей! Видять скотам они теперь сильно мешать начали...
Не надо трогать сервера!
Не надо прикасатся к алгоритмам!
Не надо прикасатся к базам ключей!!!
Надо увеличить максимальное число подписей ключа до 150 000 всего у одной программе - gnupg !
| | |
|
| 1.7, Аноним (7), 13:10, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Не вижу сложности, достаточно научить клиенты удалять записи с большим количеством ключей. Для этого можно написать фильтр который восстанавливает работу клиентской системы.
| | |
| |
| 2.10, пох. (?), 13:21, 02/07/2019 [^] [^^] [^^^] [ответить]
| –5 +/– |
кульхакер: не вижу сложности подписать ключи всех убунтят и великого Линуса по пять тыщ раз - пусть твоя поделка их удаляет нахрен.
Не работают апдейты ни одного дистрибутива, полагающегося на keyservers? Так лохам и надо!
| | |
| |
| |
| 4.21, пох. (?), 16:13, 02/07/2019 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> А в каких дистрибутивах апдейты полагаются на keyservers?
да вроде уже во всех? Есть какой-то набор ключей на дистрибутивных носителях, но никто не обещал что их не меняют - дальше добрый apt или кто у тебя там просто спрашивал "тут новый ключ приехал - всосать?!"
| | |
| |
| |
| 6.31, пох. (?), 19:57, 02/07/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
думаешь, что-то мешает прямо там и подписать 149999 тыщ раз? ;-)
| | |
|
| 5.28, Аноним (28), 17:52, 02/07/2019 [^] [^^] [^^^] [ответить]
| +/– |
Апдейты ключей, внезапно, приезжают в пакетах. Ну для apt, по крайней мере. Всякие шляпы просто спрашивают юзера: "Тут репа каким-то незнакомым ключом подписана, принять?" Юзер не глядя жмёт y, ключ, загруженный с зеркала, импортируется, всё секурно, все довольны.
| | |
| |
| 6.30, пох. (?), 19:57, 02/07/2019 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Ну для apt, по крайней мере.
для как раз apt пришлось открывать порты для keyservers - иначе, кажись, с очередным апдейтом бубунточки возникли сложности.
У шляпы да, там нет встроенного в rpm или dnf ненужного bloatware, но д'Эффехтивным хочется сесурити, а огорчать пользователя ненужно-знанием не хочется. Поэтому "принять? [Y|Да|Ok|Confirm|All]" - и никакого лишнего траффика, угрожающего безопастносте корпоративных сетей. У suse, помнится, аналогично.
Вот только не с keyservers ли их сборочная система эти самые ключи берет? ;-)
| | |
|
|
|
| 3.44, Ананимус (?), 11:55, 03/07/2019 [^] [^^] [^^^] [ответить]
| +/– |
Знаешь, вот примерно в этот момент я начинаю думать, что идея пацанов OpenBSD с их signify (который просто проверяет ключи, без web-of-trust) это не самая плохая идея для дистрибутивов.
| | |
| |
| 4.50, пох. (?), 16:35, 03/07/2019 [^] [^^] [^^^] [ответить]
| +/– |
а как он их проверяет-то, если "никому верить нельзя"? Просто спрашивает у папаши Мюллера?
| | |
| |
| 5.56, Ананимус (?), 17:19, 04/07/2019 [^] [^^] [^^^] [ответить]
| +/– |
Публичный ключ для проверки лежит в /etc/signify/openbsdXY-release.pub и на сайте/твитторе/мастодоне/etc.
| | |
|
|
|
|
| |
| 2.32, пох. (?), 19:58, 02/07/2019 [^] [^^] [^^^] [ответить]
| +/– | |
а анализ ДНК-то у встреченных берешь, или так, по старинке, на скан паспорта вся надежда?
| | |
| |
| 3.40, Аноним (40), 23:34, 02/07/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Личная встреча, какой нах скан? Только оригинал, только хардкор.
| | |
|
|
| 1.37, Аноним (37), 21:35, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Сервер ключей SKS допускает размещение в сети до 150 тысяч подписей на один сертификат, но GnuPG такое число подписей не поддерживает
Пфф, тоже мне проблема... ну пусть ограничат 10 тысячами.
> предсказать на какие ещё сертификаты направлена атака невозможно до момента начала проявления сбоев при их обработке
А цикл на сервере по всем ключам сделать и посчитать подписи что мешает? Администраторов способных написать 'for k in' уже не осталось?
> При этом в обозримом будущем атака не может быть блокирована на уровне уже существующих сетей хранения ключей SKS.
Какая то странная попытка раздуть из мухи слона.
| | |
| 1.39, Аноним (39), 23:24, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
Теперь мы знаем, что не осталось людей, которые "знает начинку настолько хорошо, чтобы безболезненно вносить фундаментальные изменения". Есть только группа людей, которые обслуживают бог-машину, пока она не сломается.
Как бы всегда казалось, что как и с ОТО, на свете почти нет людей, ясно понимающих что как на самом деле работает все от и до в этих GPG.
| | |
| 1.42, Аноним (42), 10:37, 03/07/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Что помешало на этих кеу серверах уменьшить макс число новых ключей до допустимого gnupg..
| | |
| |
| 2.46, Смартанонимус (?), 15:01, 03/07/2019 [^] [^^] [^^^] [ответить]
| +/– |
ЧТо-то из области технологической религии. А попросту никто не хочет брать на себя отвественность, так как боитья что сломается еще что-то. Сейчас будут собирать комитеты, рабочие группы и совещаться, совещаться...
| | |
| |
| 3.59, Аноним (61), 11:06, 07/07/2019 [^] [^^] [^^^] [ответить]
| +/– | |
Не освещатся, а внедрять незаметный изян в идеальный алгоритм.
Сервер ключей трогать не надо!!!
Алгоритмы трогать не надо!!!
Виснет gpg на стороне НЕКОТОРЫХ пользователей. Следовательно проблему надо исправить всего то увеличив лимит допустимых подписей ключа в _одной_ КЛИЕНТСКОЙ программе gpg!
| | |
|
| 2.60, Аноним (61), 11:10, 07/07/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Что помешало на этих кеу серверах уменьшить макс число новых ключей до допустимого gnupg..
Не надо трогать сервера!
Не надо прикасатся к алгоритмам!
Не надо прикасатся к ключам!!!
Надо увеличить максимальное число подписей ключа до 150 000 всего у одной программе - gpg !
| | |
| |
| 3.64, x3who (?), 03:54, 09/07/2019 [^] [^^] [^^^] [ответить]
| +/– |
Но ведь тебе не нужны 100500 подписей ключа. Тебя интересует весьма небольшое множество - юзкейс же я хочу проверить подписан ли этот ключ теми ключами, которым я доверяю, а не всеми вообще, а это уже, по всей видимости, требует потрогать сервера чтобы они в это умели вместо того чтобы вываливать на клиента всё и сразу. Ну или хотя бы итераторы изобрести, чтобы можно было порциями подписи скачивать, пока не найдётся удовлетворяющая критерию или подписи не кончатся.
| | |
|
|
| 1.57, Аноним (57), 13:06, 05/07/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
мудрое решение проблемы — чтобы размещать подписи, сколько бы их ни было, мог бы размещать только владелец ключа.
пока что это только лишь знак хорошего тона, хочешь подписать ключ — подпиши и отправь зашифрованное письмо владельцу, а уж он сам выложит на сервер.
сделать такую практику обязательной — всего и делов то.
| | |
|
