Re: GPG в реальной жизни
Хмутро.
>>YR> Надеюсь что все ясности я смог устранить :)
YR> >
YR> >Да, успешно. То, что "сообщество дебианцев" за подсаженного тебе
YR> >мейнтейнером
YR> >трояна твоей фирме ущерба не выплатит, ты почему-то считаешь поводом не
YR> >доверять ключу Debian, а то, что точно так же тебе ничего не выплатит
YR> >VeriSign - почему-то не считаешь поводом не доверять его сертификату...
YR> Абсолютно правильно, я доверяю ключу подписанному VeriSign'ом потому как,
YR> 1. VeriSign несёт гражданскую и уголовную ответственность.
Скажем так, ее можно попытаться к оной ответственности привлечь. Пока не
удалось - ответственность несешь ты сам. Насколько я представляю себе
процедуру подписи ключей у верисайна, ответственности они никакой по жизни не
несут. Просто не могут.
YR> За промахи
YR> дебиановцев я отвечаю сам!
YR> 2. Качество работы VeriSign'а проверяется и контролируется государством
YR> и специальными организациями. Дебиановцев никто не контролирует, кроме
YR> себя самих.
Которым государством? Ни твой домен, ни мой не указывают на то государство,
которое хоть как-то его контролирует.
YR> 3. Основная цель VeriSign'а "обеспечивать доверие" в сети и он тратит на
YR> это большую часть своего времени! Дебиановцы же занимаются большую часть
YR> своего времени, логически Дебианом, а не контролем ими подписанных ключей.
YR> 4. Дебиан создан на добровольной основе, что приносит с собой
YR> безответственность и в некоторых случаях халатность! Организация за
YR> которой стоят миллионы $ вкладчиков, будет изначала серьёзнее подходить
YR> к своей задаче.
Эти два тезиса в корне неверны и отражают полное непонимание принципов
функционирования текущей реальности. Основная цель верисайна - получение
прибыли. Что как раз и приносит безответственность и халатность во _всех_
местах, где можно избежать за них ответственности. В отличие от добровольной
основы - дебиановцы думают головой, а не кошельком, когда подписывают
очередной ключ. Они заинтересованы в добром имени всего проекта и понимают,
что один раздолбай может все испортить. А верисайну пара тысяч случаев обмана,
за который их еще и фиг прищучишь, погоды не сделает.
YR> Простое человеческое доверие не может к сожалению конкурировать с
YR> профессиональной уверенностью.
Не может. Оно заведомо надежнее.
YR> >В то
YR> >время как я ключу Debian в этом смысле доверюсь гораздо больше - после
YR> >первой
YR> >же такой попытки гражданин загремит из официальных мейнтейнеров, и больше
YR> >никогда туда не попадет.
YR> Ох какое страшное наказание, тем более то что Вы пишете глупо, так как
YR> из официальных мейнтейнеров "загремит" кто-то неизвестно кто, только
YR> потому что его ключу кто-то доверил. Этот неизвестный сгенерит себе
YR> новый ключ, попросит его подписать опять кого-нибудь "значительного" и
YR> будет опять официальным мейнтейнером.
Ты знаешь, дебиановские мейнтейнеры вообще-то документы смотрят, прежде чем
ключ подписать. Так что придется еще и паспорт поменять.
>>YR> 1. Простая переписка не должна быть шифрованной или подписанной, чтобы
>>YR> не создавать ложной безопасности
YR> >
YR> > Когда я получаю три письма, подписанных одним и тем
YR> > же ключом, я могу по меньшей мере быть уверен, что даже если их
YR> > подписывали
YR> > разные люди, то это люди, знающие один и тот же секретный ключ. Если при
YR> > этом я имею некоторую дополнительную информацию о владельце ключа, у
YR> > меня
YR> > может появиться дополнительная информация. Например, если я знаю, что
YR> > таки
YR> > да, это ключ этого самого человека, и он за ним аккуратно следит, то
YR> > шансы,
YR> > что я вижу письмо не от него, достаточно малы.
YR> Только идея "Trusted Web" заключается как раз в том что вы *не* знаете
YR> что это ключ того самого человека, вы этого человека впервые видите! И
YR> только кто-то из тех кому Вы доверяете подтверждает Вам подлинность того
YR> ключа! Вот об этом "кто-то" и идёт спор. Для простой коммуникации между
YR> друзьями в общаге или даже внутри одной фирмы PGP очень хорош, но если я
YR> получаю сообщение от делового партнёра, которого я в глаза не видел, мне
YR> нужна третья инстанция на которую я могу положится, сосед Дядя Вася мне
YR> недостаточен.
Ну да. Идея "Trusted Web" заключается в том, что ты веришь поручительству
того, в ком ты уверен. Поручительству дяди Васи ты вправе не поверить, и
захотеть, чтобы ключ твоего делового партнера был подписан кем-нибудь более
вменяемым.
YR> >Например, судя по тому, что
YR> > я тут от тебя прочел, твоей подписи я буду доверять очень ограниченно в
YR> > любом случае, даже если получу твой ключ непосредственно из твоих рук.
YR> > И уж
YR> > точно не буду доверять твоей подписи на чужих ключах
YR> И правильно, с какого такого счастья Вы должны мне доверять? Неужели Вы
YR> думаете что я Вам доверять могу? Если я лично получу ключ от вас, то я
YR> буду знать что письмо написано действительно Вами, но ни в коем случае я
YR> не смогу доверять ключам подписанными Вами, даже если увижу что мои
YR> данные Вы проверили очень щепетильно. Сегодня Вы всё проверили хорошо, а
YR> завтра вам подделку подсунули левую, а Вы даже номера паспорта проверить
YR> не в состоянии или просто забыли что-то проверить или подписали ключ
YR> знакомому не проверяя данных или ещё что-нибудь. Если я положусь на ключ
YR> подписанный Вами, хоть Вы даже весь такой правильный, и произойдёт
YR> ошибка - моя фирма из-за этого пострадает, что тогда? Вы скажете прости
YR> Женя, но этого Пэдро который все твои винчестеры отформатировал, я не
YR> знаю как найти, разбирайся сам.
Верисайн тебе то же самое скажет. Только в отличие от меня, не будет
испытывать по подобному поводу никакого стыда. И математическое ожидание
убытков подобного рода в случае с Верисайном, полагаю, гораздо больше, чем в
случае со мной.
YR> >2. "Незнание закона не освобождает от ответственности. Зато знание -
YR> > запросто." Вот как раз упование на денежную или уголовную
YR> > ответственность -
YR> > это и есть ложная безопасность. Предел моего доверия, если оно
YR> > обеспечивается денежным или правовым механизмом, всегда будет очень и
YR> > очень ограничен.
YR> Вы доверяете "честному слову" больше, чем денежной или уголовной
YR> ответственности за это слово. Для меня честно говоря это странно, как
YR> это странно и для всех больших предприятий и особенно банков. Может Вы
YR> их тоже попробуете переубедить?
Большие предприятия и банки ничему не доверяют вообще. Кроме своей
собственной, специально ради судебных разборок сертифицированной системы
электронной подписи. Тут я малость знаю, о чем говорю. А все остальное для них
- риски, которые включаются в цену или проценты.
YR> > Потому что если "он" знает законы лучше
YR> > меня, он, скорее всего, найдет способ меня обмануть.
YR> Идея с одной стороны правильная, но только государство контролирует эти
YR> организации, чтобы они Вас не обманули.
Покажите мне такое государство. Россию и Штаты не предлагать. Плавали, знаем,
_что_ эти государства контролируют и как.
YR> > Большее доверие - это только личные или
YR> > откровенно бескорыстные отношения.
YR> Как бы я хотел в тот мир попасть в котором Вы витаете.
Заходи, guest'ом будешь.
--
Artem Chuprina <ran@ran.pp.ru>
FIDO: 2:5020/122.256
Reply to: