𝕵𝖔𝖍𝖆𝖓 ⛧

По поводу Всемирного дня шифрования, задам : какой должен быть правильный способ и порядок использования *отпечатков ключей*? В Гугле толкового описания не находится. Я правильно понимаю, что ими нужно предварительно *обменяться* по **дополнительному** каналу (e-mail?), а в начале диалога *сверить* с тем, что покажет мессенджер ~~ручками~~ глазками? И так для каждого устройства и периодически заново?

Выглядит не слишком «френдли юзерс» ©. Есть какие-то еще варианты (Ватсап же ничего такого не просит)?

И еще: при неподтвержденном ключе шифрование работает или нед?
@ru@lor.sh @rf

1+
Stas

@johan @ru @rf о боже, шифропанки подьехали)
Загугли про открытый-закрытый ключ.
Ты передаешь открытый (и похрен, что перехватят), кто-то им шифрует, а ты расшифровываешь у себя закрытым.
Лучше пока ничего не придумали.

1
𝕵𝖔𝖍𝖆𝖓 ⛧

@vsv @ru@lor.sh @rf Я так понял, что всё немного сложнее: MITM ведь может мой открытый подменить своим открытым и сидеть посередине, читая мои сообщения?

1
Stas

@johan @ru @rf
Твои не будет. Он только может их зашифровать и отправить. Каждый расшифровывает на своей стороне закрытым ключом.
У вас с собеседников 2 пары ключей.
Там какие-то ключи сумели взломать (64 бита?). Но это вроде все старое и такое никто уже давно не использует.

1+
𝕵𝖔𝖍𝖆𝖓 ⛧

@vsv Так. А если митм перехватывает открытые ключи и подменяет своими? Соответственно, расшифровывает своими закрытыми ключами, читает, потом шифрует нашими открытыми и передает как ни в чём не бывало?

1
Stas

@johan ну технически он только открытыми оперирует.
хоть атака и сложная, но теоретически возможна. последний публичный случай в 2017 году, вроде.
помогает только системы сертификации (аутентификация ключа в начале передачи).
опять же, другого ничего нету.
квантовое шифрование пока не подвезли.

1
𝕵𝖔𝖍𝖆𝖓 ⛧

@vsv Так. А что в этом сложного, если негодник, представим, имеет доступ к каналу передачи? Вася думает, что пишет Пете, на самом деле оба беседуют с негодником, а он сообщения читает и пересылает дальше, расшифровывая и шифруя *своими* ключами?

1
Stas

@johan ну возможно, для спеца в криптографии ничего сложного нету.
последний бастион - это авторизация ключа перед началом передачи. но центр сертификации тоже может быть скомпрометирован.

1
𝕵𝖔𝖍𝖆𝖓 ⛧

@vsv А Jabber/Matrix разве соединяются с какими-то центрами авторизации?

1
Stas

@johan технические детали не знаю, но вроде как этот механизм встроен в сам PGP. принцип похож на протухшие сертификаты ssl/tls

1
Ever Aftar

@vsv @johan
> Вася думает, что пишет Пете, на самом деле оба беседуют с негодником, а он сообщения читает и пересылает дальше, расшифровывая и шифруя своими ключами?

Открытый ключ (public key) он на то и паблик, что его владелец может публиковать его в открытую. Петя кричит на всю рыночную площадь свой паблик кий, и вся площадь слышит, что этот ключ, это Петин открытый ключ. Вася тоже это слышит и шифрует свое сообщение Пете именно этим ключом, а не тем, который ему подсовывает негодник. Т.е. вопрос тут выходит не в том, как передать Васе Петин открытый ключ, а в том, как показать Васе, что тот ключ, что у всех на виду на стене часовни, нацарапал именно Петя, а не какой-то негодник. Ну например DNS -> https, т.е. Петя может вывесить свой паблик кий на своем веб-сайте, если Вася доверяет DNS.

1
𝕵𝖔𝖍𝖆𝖓 ⛧
Follow

@ever @vsv Это ты PGP описал. А Джаббер ключами обменивается «втихую», показывая при этом отпечаток. По идее, можно отпечаток публиковать на сайте, но... Он для каждого клиента отдельный :ablobsweating:

· · 0 · 0 · 0
Sign in to participate in the conversation
Qoto Mastodon

QOTO: Question Others to Teach Ourselves
An inclusive, Academic Freedom, instance
All cultures welcome.
Hate speech and harassment strictly forbidden.

Trending now

Resources

Developers

What is Mastodon?

qoto.org

More…

v3.5.19-qoto · Privacy policy