The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Red Hat и Google представили Sigstore, сервис для криптографической верификации кода"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Red Hat и Google представили Sigstore, сервис для криптографической верификации кода"  +/
Сообщение от opennews (ok), 10-Мрт-21, 11:38 
Компании Red Hat и Google, совместно с Университетом Пердью, основали проект Sigstore, нацеленный на создание инструментов и сервисов для верификации программного обеспечения при помощи цифровых подписей и ведения публичного лога для подтверждения подлинности (transparency log). Проект будет развиваться под эгидой некоммерческой организации Linux Foundation...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54731

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +11 +/
Сообщение от Леголасemail (ok), 10-Мрт-21, 11:38 
в том же Git можно подписывать коммит - этого недостаточно?
Ответить | Правка | Наверх | Cообщить модератору

3. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +1 +/
Сообщение от Аноним (3), 10-Мрт-21, 11:41 
А артефакты чем будешь подписывать?
Ответить | Правка | Наверх | Cообщить модератору

4. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +4 +/
Сообщение от Леголасemail (ok), 10-Мрт-21, 11:44 
для них хватит и хеша
Ответить | Правка | Наверх | Cообщить модератору

7. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +/
Сообщение от Аноним (3), 10-Мрт-21, 11:46 
Хэш для проверки целостности файла, а не для проверки его подлинности. Цитируя новость, «часто необходимая для проверки подлинности информация хранится на незащищенных системах».
Ответить | Правка | Наверх | Cообщить модератору

11. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +1 +/
Сообщение от Аноним (11), 10-Мрт-21, 11:58 
> на незащищенных системах

Незащищённых - как?

Ответить | Правка | Наверх | Cообщить модератору

15. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +3 +/
Сообщение от Таненбаумemail (?), 10-Мрт-21, 12:07 
да никак (по мнению Google)
Ответить | Правка | Наверх | Cообщить модератору

87. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +8 +/
Сообщение от Синдарин (?), 11-Мрт-21, 13:41 
Странное это всё.
Апщемто те же дистры Ubuntu и другого софта, 100лет в обед, как делают поставляют 2х этапную сверку:

1) На одном сервере: софт, хэш-чексумма от софта в виде
textplain файла, и pgp(!) подпись этого checksum файла

2) Чтобы проверить checksum и аутентичность подписи, надо отдельно скачать публичный сертификат этого автора через любой Keystore server (можно альтернативный)

Как минимум цепочка доверия строится из 2х независимых источников.

3) По хорошему, это public cert, должен быть тоже не самоизданным CA, а выданным кем то из известных предустановленных Root CA

Тогда, даже полная компрометация трафика, и всех шифрованных туннелей и https, не сможет без доступа к машине (или приватникам авторских pgp) изобразить подмену всей цепочки доверия (разве что подклеить код так, чтобы через коллизию sha256 исполнить тот же хэш... а если sha512,1024... это уже цена атаки нереального уровня, иначе бы вся крипта давно б была взломана в лоб.

Ответить | Правка | Наверх | Cообщить модератору

88. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +5 +/
Сообщение от Массаракш (?), 11-Мрт-21, 14:18 
А еще добрая 99% масса не умеет в правильную настройку Secure Boot, по-прежнему считая, что это что-то плохое от MS... хотя от MS там только опционально удаляемые сертификаты (если это не какой-то вендорлокнутый ms surface плонш), и наследный формат исполняемых файлов EFI, как бы и всё на этом.

А то, что многие корпораты оставили свой след в индустрии и стандартах: от DARPA, подарившей Интернет, до IBM - PC-архитектуру, AT&T - Unix, и мн.др. = это никого не смущает.

Ответить | Правка | Наверх | Cообщить модератору

16. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +4 +/
Сообщение от Аноним (3), 10-Мрт-21, 12:07 
Качаешь ты файлец через http. А сверяешь его по хэшу, который получил опять-таки через http. Достаточно вклиниться в трафик, чтобы подменить и файл, и хэш.

Качаешь ты файлец через https. А сверяешь его по хэшу, который получил опять-таки через https. Достаточно ломануть вордпресс-сайтик, чтобы подменить и файл, и хэш.

Качаешь ты релизный бинарник из гитхаба. А сверяешь его по хэшу, который лежит прямо там на гитхабе в описании к релизу. Достаточно ломануть гитхаб автора, чтобы подменить и файл, и хэш.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

20. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +2 +/
Сообщение от Леголасemail (ok), 10-Мрт-21, 12:13 
> Достаточно вклиниться/ломануть

так то против лома нет приема

Ответить | Правка | Наверх | Cообщить модератору

35. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +/
Сообщение от InuYasha (??), 10-Мрт-21, 12:32 
Ага. Переводя на язык предыдущего оратора:

Качаешь ты файлец через https. А сверяешь его по сертификату, который получил опять-таки через https. Достаточно ломануть вордпресс-сайтик, чтобы подменить и файл, и сертификат.
Ну, ок, сертификат, возможно, на другом сайте.

Ответить | Правка | Наверх | Cообщить модератору

81. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +2 +/
Сообщение от mogwai (ok), 11-Мрт-21, 10:43 
>Ну, ок, сертификат, возможно, на другом сайте.

Ссылку на который ты получаешь с того же вордпресс-сайтика.

Ну, ок, URL для верификации ты можешь где-нибудь погуглить для проверки. Но Кто сказал, что self-hosted Sigstore взломать невозможно? Если self-hosted можно, почему гугловый\красношапковый нельзя?

Очередная инициатива по завязыванию всего на себе от корпораций.

Ответить | Правка | Наверх | Cообщить модератору

85. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +/
Сообщение от да ну нах (?), 11-Мрт-21, 11:50 
>Очередная инициатива по завязыванию всего на себе от корпораций.

+100500

Первая мысль была

Ответить | Правка | Наверх | Cообщить модератору

67. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +4 +/
Сообщение от kissmyass (?), 10-Мрт-21, 16:18 
А к CA ты по чем будешь ходить, случайно не через TLS?

И почему доверие к левому центру у меня должно быть больше, чем автору релиза.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

69. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –2 +/
Сообщение от Аноним (69), 10-Мрт-21, 16:22 
А что редхат нового предлагает? Теперь вместо одного сайта нужно ломануть два? Ну так я на в pastebin/другом git хостере размещу хэш. То же самое. Let's encrypt то проверяет принадлежность домена, а как редхат будет проверять принадлежность софта? Я соберу свой nginx с вредоносом. Назову его "nginx.", размещу на этом сервере и буду втирать что это настоящий nginx/с патчами для васянского дистрибутива (Ubuntu например).
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

72. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +/
Сообщение от msgod (ok), 10-Мрт-21, 16:57 
Напиши авторам что ты их взломал.
Ответить | Правка | Наверх | Cообщить модератору

91. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +/
Сообщение от fuggy (ok), 12-Мрт-21, 11:53 
А хэш подписан gpg подписью, ключём лица с которым ты встречался лично, или через через цепочку доверия. Потому что просто хэш недостаточно, и потому же можно безопасно размещать хэш на том же сайте, что и артефакт.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

29. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +3 +/
Сообщение от Ан О Ним (?), 10-Мрт-21, 12:29 
Как отозвать ключ. Например.
Как применить к бинарным артефактам.

В принципе, в принципе GPG есть, но нужна инфраструктура.

Но, опять же, это не должно быть столь сложно, как создание хорошо работающего реквеста на серт, например. А то, что в широком обиходе - сложно и запутано. Множество параметров, учитывающих абсолютно универсальные возможности - очень всё это непригодно для использования как есть.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

63. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +1 +/
Сообщение от Аноним (-), 10-Мрт-21, 15:20 
> В принципе, в принципе GPG есть, но нужна инфраструктура.

Нет, не нужна. Вместо тупых рюшечек, если на то пошло, жабаскрипт должен был заниматься например шифрованием трафика, ты хоть раз слышал об этом от копрораций ? Нет ? А об централизовации всего и вся хранения на их серверах ? Каждую новость ?

Ответить | Правка | Наверх | Cообщить модератору

73. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –1 +/
Сообщение от anonymous (??), 10-Мрт-21, 17:41 
> в том же Git можно подписывать коммит - этого недостаточно?

Совершенно. По моему опыты работы с gentoo, большая часть работы мейнтенейра - это написание патчей. И эти патчи ни в какие git не попадают.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

74. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –1 +/
Сообщение от lockywolf (ok), 10-Мрт-21, 18:28 
Патчи же должны быть в git гентушной системы портов, или как у них там это называется.
Ответить | Правка | Наверх | Cообщить модератору

2. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +/
Сообщение от Аноним (3), 10-Мрт-21, 11:39 
Две мои любимые корпорации снова принесли пользу обществу.
Ответить | Правка | Наверх | Cообщить модератору

5. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +/
Сообщение от Таненбаумemail (?), 10-Мрт-21, 11:45 
в свете недавних событий я не удивлён, что шляпа и гугль теперь за пани брата
Ответить | Правка | Наверх | Cообщить модератору

8. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +3 +/
Сообщение от Аноним (3), 10-Мрт-21, 11:47 
В свете избирательно подобранных событий, ...
Ответить | Правка | Наверх | Cообщить модератору

24. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +2 +/
Сообщение от Sgt. Gram (?), 10-Мрт-21, 12:19 
> за пани брата

Долго думал. Так и не смог понять, юмор это или неграмотность.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

31. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +2 +/
Сообщение от Ан О Ним (?), 10-Мрт-21, 12:29 
Современность.
Ответить | Правка | Наверх | Cообщить модератору

34. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –1 +/
Сообщение от Таненбаумemail (?), 10-Мрт-21, 12:32 
Отстраненность. Неопределенность. Безответственность.
Ответить | Правка | Наверх | Cообщить модератору

43. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –2 +/
Сообщение от YetAnotherOnanym (ok), 10-Мрт-21, 12:45 
> Две мои любимые корпорации снова нанесли пользу и причинили добро обществу.

Не благодари.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

58. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –1 +/
Сообщение от Аноним (58), 10-Мрт-21, 14:49 
А я его плюсанул
Решил, что сарказм
Ответить | Правка | Наверх | Cообщить модератору

6. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –2 +/
Сообщение от Аноним (6), 10-Мрт-21, 11:45 
Опять в какую-то Пердь ехать за сертификатом?)

А вообще, штука полезная может получиться.

Ответить | Правка | Наверх | Cообщить модератору

12. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –1 +/
Сообщение от Таненбаумemail (?), 10-Мрт-21, 12:00 
> А вообще, штука полезная может получиться.

на самом деле нет

Ответить | Правка | Наверх | Cообщить модератору

64. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –3 +/
Сообщение от Аноним (-), 10-Мрт-21, 15:23 
>  штука полезная может получиться.

От копрораций ? Полезного ? Это сарказм ?

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

84. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +1 +/
Сообщение от Аноним (84), 11-Мрт-21, 11:47 
>А вообще, штука полезная может получиться.

Вместо серьёзной цифровой подписи, которая лежит в сейфе, они предлагают слабые подписи, которые заверены через гугло-почту. Хотя если под "может получиться" ты имеешь ввиду захват гуглом контроля над всеми OpenSource проектами, то действительно может получиться.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

9. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +10 +/
Сообщение от Аноним (9), 10-Мрт-21, 11:51 
Ждем когда llvm будет отказываться компилировать неподписанный код.
Ответить | Правка | Наверх | Cообщить модератору

14. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +3 +/
Сообщение от Леголасemail (ok), 10-Мрт-21, 12:04 
компилятору для выполнения своих прямых обязанностей нужна будет сеть, ха
Ответить | Правка | Наверх | Cообщить модератору

18. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +/
Сообщение от Аноним (11), 10-Мрт-21, 12:10 
Растаманы именно это и пропихивают.
Ответить | Правка | Наверх | Cообщить модератору

40. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +1 +/
Сообщение от Аноним (40), 10-Мрт-21, 12:39 
В Deno это уже из коробки
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

51. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +2 +/
Сообщение от Аноним (51), 10-Мрт-21, 13:19 
А ещё llvm будет отказываться компилировать при обнаружении неинклюзивных имён в исходном коде.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

59. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +/
Сообщение от Аноним (58), 10-Мрт-21, 14:51 
Гуглошляпа выберет достойных компиляции
Ко всеобщему благу
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

93. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +/
Сообщение от макпыф (ok), 02-Апр-21, 18:59 
да пускай что хочет делает, нафиг он нужен?
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

10. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +3 +/
Сообщение от Аноним (11), 10-Мрт-21, 11:53 
Разработали ещё один метод гашения неугодных? Щёлк - и твоя система невалидная.
Ответить | Правка | Наверх | Cообщить модератору

13. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +8 +/
Сообщение от Умная Маша (?), 10-Мрт-21, 12:03 
У редхата до сих пор нет воспроизводимых сборок. Подписанный бинарник помогает убедиться, что бинарник собран редхатом, но не гарантирует, что он был собран из конкретных исходников без модификаций. Для этого нужен воспроизводимый процесс сборки: чтобы любой мог дома его повторить и получить байт-в-байт идентичный бинарник.

Воспроизводимостью [1] давно озаботился Дебиан, подключились SUSE, Arch, FreeBSD, OpenBSD, NixOS, GNU Guix... Последние вообще пилят 100% воспроизводимую систему бутстраппинга, позволяющую собрать компилятор и всю систему с нуля, вообще не используя бинарных артефактов [2]. Космос просто. А редхат играет в security theater и на воспроизводимые сборки кашлять хотел.

[1] https://reproducible-builds.org/

[2] https://fosdem.org/2021/schedule/event/gnumes/

Ответить | Правка | Наверх | Cообщить модератору

17. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –1 +/
Сообщение от dkms hello world (?), 10-Мрт-21, 12:10 
Может они пока еще не нашли пакетов этой самой воспроизводимой сборки от грегориана?
Ответить | Правка | Наверх | Cообщить модератору

36. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –3 +/
Сообщение от Аноним (36), 10-Мрт-21, 12:34 
Воспроизводимых сборки это очень простая технология. Красная шляпа если бы захотела то выложила воспроизводимых сборки.

Но вот незадача, их бизнес основан на продаже бинарей! А если будет технология воспроизводимых сборок Красную шляпу будут пересобииать из исходников, бит в бит идентичны продаваемой.

По этому красная шляпа воспроизводимых сборок иметь не будет.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

60. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +2 +/
Сообщение от Аноним (60), 10-Мрт-21, 14:55 
Бизнес редхата основан на суппорте и консалтинге. Исходники к почти всему ты можешь скачать без проблем.
Ответить | Правка | Наверх | Cообщить модератору

41. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +/
Сообщение от Аноним (3), 10-Мрт-21, 12:39 
> давно озаботился Дебиан

"Озаботился" != "имеет воспроизводимую сборку". Если тебе важно, что кто-то чем-то там "озаботился", то пожалуйста: Red Hat "озабочен" твоими воспроизводимыми сборками настолько же, насколько "озабочен" дебьян:

> Who is involved?
> Fedora

https://reproducible-builds.org/projects/

А теперь касательно дебьяна, который "озаботился":

> Reproducible builds of Debian as a whole is still not a reality, though individual reproducible builds of packages are possible and being done. So while we are making very good progress, it is a stretch to say that Debian is reproducible.

https://wiki.debian.org/ReproducibleBuilds

В экзотических дистрах типа гуикса над воспроизводимостью думали еще до реализации, поэтому она там присутствует изначально. Ну а в зрелых дистрах типа RHEL/Fedora/дебьян нужно правильно вписаться в уже имеющийся инструментарий и инфраструктуру.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

47. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +3 +/
Сообщение от Умная Маша (?), 10-Мрт-21, 12:54 
У дебиана сейчас воспроизводится примерно 95% пакетов:

https://tests.reproducible-builds.org/debian/reproducible.html

У редхата примерно 0%:

https://tests.reproducible-builds.org/rpms/fedora-23.html

Ответить | Правка | Наверх | Cообщить модератору

49. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +/
Сообщение от Аноним (49), 10-Мрт-21, 12:57 
федора еще чем-то озабочена? У них там информация по сборкам за 16 год, репозиторий законсервирован

>А теперь касательно дебьяна, который "озаботился":
>> Reproducible builds of Debian as a whole is still not a reality, though individual reproducible builds of packages are possible and being done. So while we are making very good progress, it is a stretch to say that Debian is reproducible.

reproducible packages: 95.5% (bullseye/amd64)
уж лучше так, чем как федора

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

45. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –1 +/
Сообщение от Gogi (??), 10-Мрт-21, 12:48 
> У редхата до сих пор нет воспроизводимых сборок.

Не совсем понимаю их смысл. На какой-то стадии Шляпы наканпеляли бинарей. Собрали из них релиз и выложили на офиц.сайте + зеркала. Всегда можно проверить, что образ соотв. оригиналу. Это всё, что нужно сделать обычному юзеру Шляподистра.

К тому же, если кто-то возьмётся канпелять сам, очевидно, что имеет смысл делать это с учётом всех возможностей локального ПК (набор команд, нужные модули и т.п.). Соотв. бинарь получится вообще другой, зато быстрый и компактный. Так зачем бинари воспроизводить??

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

53. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +/
Сообщение от Аноним (53), 10-Мрт-21, 13:26 
Чтобы не было как в SolarWinds: https://reproducible-builds.org/reports/2020-12/
Ответить | Правка | Наверх | Cообщить модератору

19. Скрыто модератором  +/
Сообщение от Аноним (19), 10-Мрт-21, 12:12 
Ответить | Правка | Наверх | Cообщить модератору

21. Скрыто модератором  –1 +/
Сообщение от Леголасemail (ok), 10-Мрт-21, 12:15 
Ответить | Правка | Наверх | Cообщить модератору

26. Скрыто модератором  +/
Сообщение от Sarcastic scutosaurus (?), 10-Мрт-21, 12:22 
Ответить | Правка | Наверх | Cообщить модератору

37. Скрыто модератором  +1 +/
Сообщение от InuYasha (??), 10-Мрт-21, 12:35 
Ответить | Правка | Наверх | Cообщить модератору

39. Скрыто модератором  –1 +/
Сообщение от Gogi (??), 10-Мрт-21, 12:37 
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

30. Скрыто модератором  +1 +/
Сообщение от Аноним (30), 10-Мрт-21, 12:29 
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

48. Скрыто модератором  –1 +/
Сообщение от YetAnotherOnanym (ok), 10-Мрт-21, 12:57 
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

22. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +/
Сообщение от Аноним (22), 10-Мрт-21, 12:17 
transparency log с помощью гугла и красношапки это хохма
Ответить | Правка | Наверх | Cообщить модератору

23. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –1 +/
Сообщение от Аноним (23), 10-Мрт-21, 12:18 
Взломать за 20 минут
Ответить | Правка | Наверх | Cообщить модератору

25. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –2 +/
Сообщение от Аноним (36), 10-Мрт-21, 12:21 
> Вместо постоянных ключей в Sigstore применяются короткоживущие эфемерные ключи, которые генерируются на основе полномочий, подтверждённых провайдерами OpenID Connect (на момент генерации ключей для цифровой подписи разработчик идентифицирует себя через провайдера OpenID с привязкой к email).
> выдающих короткоживущие сертификаты на основе email, аутентифицированного через OpenID Connect.

Призываю сообщество игнорировать данную технологию, как способствующюю распространению неавтентичного, подмененного корпорациями и прочими кода.

Для подписи кода надо использовать свой ключ PGP, RSA4096 или больше.

Хранить секретные ключи только в онлайне с аппаратной защитой от копирования типа https://nitrokey.com

Подписывая чужой публичный ключ необходимо: сверить фотографию в паспорте, побуквенно сверить ФИО в паспорте с указанными в UID публичного ключа, при вас человек должен подтвердить что владеет указанным в UID E-mail.

Подписанные публичные ключи загружайте на публичные сервера PGP.

По остальным вопросам: https://www.opennet.ru/docs/RUS/gph/index.html

Ответить | Правка | Наверх | Cообщить модератору

27. "FIX"  +1 +/
Сообщение от Аноним (36), 10-Мрт-21, 12:23 
Хранить секретные ключи только в офлайне!!
Ответить | Правка | Наверх | Cообщить модератору

46. "FIX"  +/
Сообщение от Gogi (??), 10-Мрт-21, 12:50 
..и обмениваться на дискетках или QR-кодах на лист А4! :)
Ответить | Правка | Наверх | Cообщить модератору

54. "FIX"  +1 +/
Сообщение от Аноним (53), 10-Мрт-21, 13:28 
Лучше лист A4, но с сертификацией паспорта и почты!
Ответить | Правка | Наверх | Cообщить модератору

57. "FIX"  +/
Сообщение от Аноним (57), 10-Мрт-21, 13:56 
s/сертификацией/верификацией/ - вражеский спелчекер
Ответить | Правка | Наверх | Cообщить модератору

80. "FIX"  +/
Сообщение от Аноним (80), 11-Мрт-21, 09:47 
Не рекомендую. Бумажные QR коды быстро приходят в негодность до нечитаемого состояния.
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

42. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –1 +/
Сообщение от Gogi (??), 10-Мрт-21, 12:44 
Всё это забавно, но как правильно гласит новость:

> ...из-за сложностей в управлении ключами, распространении открытых ключей и отзыва скомпрометированных ключей.

Людям нужны удобные инструменты, а не командлайновые перделки с тысячей опций. Общие стандарты не помешали бы - одних только форматов ключей аж 3 штуки и это только которые я знаю!

Похабно-наплевательское отношение к юзерам (со стороны кр@сн0глазых мамкиных кульхацкеров) приводит к тому, что никто даже не пытается пользоваться чем-то из мира Линукса (и правильно делают).
Это не юзерам нужны перделки апологетов секты Линуса, а линукс0идам нужны юзеры, которых надо привлекать нормальными программами с хорошей функциональностью и юзабилити, а не вот это вот всё устарелое гогно.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

52. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –1 +/
Сообщение от Crazy Alex (ok), 10-Мрт-21, 13:23 
То, что нужнен другой баланс между универсальностью и простотой - да, но вот насчёт "линукс0идам нужны юзеры" - это с чего бы? Да пусть лесом идут. Хороший софт пишется для себя, а что для всех выложили - так это чисто по доброте душевной, ну и ради получения обратной связи по багам и, возможно, некоторой помощи.
Ответить | Правка | Наверх | Cообщить модератору

55. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +/
Сообщение от Аноним (53), 10-Мрт-21, 13:33 
>Всё это забавно, но как правильно гласит новость:
> > ...из-за сложностей в управлении ключами, распространении открытых ключей и отзыва скомпрометированных ключей

Есть ложность хранения закрытых ключей и безопасной процедуры подписывания.

В остальном решаемо при желании.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

56. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –1 +/
Сообщение от Аноним (57), 10-Мрт-21, 13:55 
s/ложность/сложность
Ответить | Правка | Наверх | Cообщить модератору

70. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +/
Сообщение от Аноним (30), 10-Мрт-21, 16:28 
s|$|/|
Ответить | Правка | Наверх | Cообщить модератору

75. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –3 +/
Сообщение от lockywolf (ok), 10-Мрт-21, 18:37 
А зачем линуксоидам юзеры, если они всё равно не платят?

Да, собственно, даже заплатить за линукс для пользователя -- проблема. Шляпа десктоп -- 350 долларов в год. Я бы даже купил, это не так дорого, но в это ни хрена не входит, даже создание тикетов у них в багтрекере.

А когда я начал искать, кто продаёт саппорт для Слаки -- из всех, кто с 90х у Патрика зарегистрирован, остался работать один товарищ, и тот продаёт админство, а не разработку.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

86. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +/
Сообщение от Аноним (84), 11-Мрт-21, 12:12 
>Людям нужны удобные инструменты, а не командлайновые перделки с тысячей опций

Людям удобно к своим банковским картам доступ получать через SMS и CVC коды, но безопасности тут близка к нулю. Удобство враг безопасности. Безопасно хранить секретные ключи на отключенном от любых сетей компьютере лежащем в сейфе с механическим кодовым замком и защитой уничтожающей информацию в случае попытки взлома. Удобно ли это? Совершенно точно нет!

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

28. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –1 +/
Сообщение от InuYasha (??), 10-Мрт-21, 12:27 
У кого-то явно от взлома FartWinds подгорело. Прям полыхнуло. Испепелило. Подорвало. Бомбануло. Разнесло.
Ответить | Правка | Наверх | Cообщить модератору

38. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –2 +/
Сообщение от Аноним (36), 10-Мрт-21, 12:36 
Нет, они хотят затормозить внедрение PGP.
Ответить | Правка | Наверх | Cообщить модератору

65. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –1 +/
Сообщение от Аноним (65), 10-Мрт-21, 15:34 
Как можно затормозить то что не движется?
Ответить | Правка | Наверх | Cообщить модератору

71. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +3 +/
Сообщение от Sarcastic scutosaurus (?), 10-Мрт-21, 16:31 
30 лет внедряли, успех был близок как никогда, но пришли корпорации бобра и осла и затормозили.
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

76. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +/
Сообщение от Аноним (76), 10-Мрт-21, 21:45 
Вообще-то они постоянно саботируют, а не вот пришли.
Ответить | Правка | Наверх | Cообщить модератору

44. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +/
Сообщение от Аноним (44), 10-Мрт-21, 12:46 
Попахивает эппловской нотаризацией и майкрософтовским смартскрином.
Ответить | Правка | Наверх | Cообщить модератору

50. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –1 +/
Сообщение от Аноним (50), 10-Мрт-21, 13:14 
RedHat.Google_NIH.und.EEE_feat.LinuxFndtn_BDSM.XXX.mkv.torrent
Ответить | Правка | Наверх | Cообщить модератору

62. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +1 +/
Сообщение от Аноним (62), 10-Мрт-21, 15:17 
.exe
Ответить | Правка | Наверх | Cообщить модератору

61. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +2 +/
Сообщение от Аноним (61), 10-Мрт-21, 14:59 
какая то бюрократия получается, хочешь поставить ядро - сходи за подписью к Майкрософт, захочешь поставить пакет на поклон к Шляпе или Гуглу =)
на покупку компьютера у кого взять автограф ? =D
Ответить | Правка | Наверх | Cообщить модератору

66. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +2 +/
Сообщение от Минона (ok), 10-Мрт-21, 15:40 
запилили бы лучше сервис формальной верификации кода.
Ответить | Правка | Наверх | Cообщить модератору

83. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –1 +/
Сообщение от Аноним (-), 11-Мрт-21, 11:46 
Запилили бы умение программировать для некоторых чтоб не писали на всякой хне типа рустоговнястопетонясто и пользовтель сам разберется.
Ответить | Правка | Наверх | Cообщить модератору

68. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –1 +/
Сообщение от Аноним12345 (?), 10-Мрт-21, 16:18 
Безумный мир
Ответить | Правка | Наверх | Cообщить модератору

77. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +1 +/
Сообщение от Аноним (80), 10-Мрт-21, 22:35 
>используемый для подписи материал отражается в защищённом от внесения изменений публичном логе, который можно использовать для проверки и аудита.

В блокчеине биткоина что-ли?

Ответить | Правка | Наверх | Cообщить модератору

82. "Red Hat и Google представили Sigstore, сервис для криптограф..."  –1 +/
Сообщение от Аноним (-), 11-Мрт-21, 11:42 
> и ведения публичного лога для подтверждения подлинности (transparency log).

На моём дворе уже 21 год, 21 века. Сука, какие то дебилы зачем то придумали блок-чей. Но его никто не юзает для отслеживания публичной истории. Вообщем программисты толи слепые, толи без рук.

> Например, для проверки целостности релиза большинство проектов используют хэши,
>  безопасный процесс распространения открытых ключей и контрольных сумм.

Контрльная сумма о какому алгоритму хэширования будет считаться? по ненадежному и публично публикуемому.
Вода в ступе. Но нужная.

Ответить | Правка | Наверх | Cообщить модератору

92. "Red Hat и Google представили Sigstore, сервис для криптограф..."  +/
Сообщение от Аноним (92), 21-Мрт-21, 16:31 
А что, вот прям всем удостоверяющим центрам можно доверять?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру