https://www.opennet.ru/openforum/vsluhforumID3/130586.html Директор по инфраструктуре организации Python Software Foundation опубликовал отчёт о выполнении требований по раскрытию персональных данных пользователей репозитория PyPI (Python Package Index). В марте и апреле Министерство юстиции США направило в PyPI требования о раскрытии данных 5 пользователей, которые после консультаций с юристами были выполнены. Переданные данные включали имена, адресную информацию, списки загруженных пакетов и сведения о сеансах и IP-адресах...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59191<br> https://www.opennet.ru/openforum/vsluhforumID3/130586.html#53 Sat, 10 Jun 2023 06:57:36 GMT &gt; Как пример: ни один из дистров не использует WoT для управления ключами для подписи пакетов.<br><br>Не использование подписанных ключей при подписи программ, ISO, ... есть баг. Это неверное использование PGP.<br><br>Раньше (до Сновдена и Осанджа) так не было.<br><br>Лучше, чтобы пакет с прогой, ISO, ... был подписан сразу несколькими подписями его разработчиков, а не одной. Как это делается, например<br>https://gnupg.org/ftp/gcrypt/gnupg/gnupg-2.2.14.tar.bz2.sig<br>https://gnupg.org/ftp/gcrypt/gnupg/gnupg-2.2.14.tar.bz2<br> https://www.opennet.ru/openforum/vsluhforumID3/130586.html#51 Sun, 28 May 2023 22:09:55 GMT 2. Как только человек начинает говорить про WoT в контексте подписи артефактов, можно сразу дальше не читать &#8212; просто шалунишка в штанишках. Атака организуется на раз-два-три. Как пример: ни один из дистров не использует WoT для управления ключами для подписи пакетов.<br> https://www.opennet.ru/openforum/vsluhforumID3/130586.html#50 Sat, 27 May 2023 12:44:09 GMT &gt; Цифровизация в РФ под угрозой или все пункты соблюдены?<br><br>Всё идет строго по пунктам их их плана:<br>1. https://www.opennet.ru/openforum/vsluhforumID10/5567.html<br>2. https://www.opennet.ru/openforum/vsluhforumID10/5564.html<br>3. Следующим пунктом плана всех чипировать: https://nauka.tass.ru/nauka/17848123<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/130586.html#49 Sat, 27 May 2023 10:38:48 GMT &gt; Точно, у меня завтра с хорошим кентом, Линусом Торвальдосом встреча ...<br><br>Подписывай ключи тех кого хорошо знаешь: одноклассников, однокурсников, сотрудников.<br><br>&gt;&gt; Цепочка доверия. Если к интересующему тебя ключу есть ~5 разных цепочек доверия, <br>&gt;&gt; то с высокой вероятностью ключ принадлежит собственнику.<br>&gt; но как показывает десятилетия практики, WOT не <br>&gt; работает за исключением...<br><br>Работает у тех кто прилагает усилия. Надо всего-то подписать ключи тех людей кого знаешь.<br><br>https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/keys<br><br>https://archlinux.org/master-keys<br><br>https://git.altlinux.org/gears/a/alt-gpgkeys.git?p=alt-gpgkeys.git;a=tree;f=keys<br><br>&gt;&gt; WOT выдержит.<br>&gt; Ты как покажешь цепочку доверия того же Торвальдаса, которую я могу проверить, лично и по паспортным данным, ну не его, ну хотя-бы тех 5 пацанов, вот тогда и поговорим как твой вебо-траст выдержит <br><br>Ты можешь проверить только паспорта тех чьи ключи лично подписываешь. После того как подпишет некоторое количество ключей можно https://www.opennet.ru/openforum/vsluhforumID3/130586.html#46 Fri, 26 May 2023 16:40:00 GMT Задача подписи в том, чтобы определить, что у пакета не поменялся автор. Критерий вида "ключи не зарегистрированы на крупных серверах с ключами" ни о чем абсолютно. Не пытайтесь завести и в pgp сертификационные центры и просрачиваемость, тут хоть и есть видимость подобного, но все работает совершенно иначе, ключи можно продлевать или ставить им вечные сроки, и работать они не перестают если просрочены.<br> https://www.opennet.ru/openforum/vsluhforumID3/130586.html#44 Fri, 26 May 2023 11:41:02 GMT &gt; ГАРАНТИЮ дает только страховой полис.<br>&gt; и то за страховое возмещение придется судиться (по опыту с ОСАГО), <br>&gt; страховщики очень жадные и жлобные.<br><br>А зачем тогда вообще вся эта лапша с ПГП?<br><br><br>&gt; // интересно, сколько будет стоить застраховать сайт (ключ) от взлома на год <br>&gt; ?<br><br>По разному, если платить за EV верификацию, то можно под пол лимона зелени застраховаться, но только не с ПГП, а с SSL<br><br><br>&gt;&gt; Т.е. просто верьте на слово, - "мы крутая пацанва, нас все знают <br>&gt; в конечном счете да.<br><br>А нах тогда вообще этот самобман с ПГП, где самое главное - **доверие** подписи, - не проверяемое ?<br><br><br>&gt;&gt; и нас никто и никогда не ломал..." <br>&gt; если бы ломали, то поднялся бы такой хай в интернетах, <br>&gt; что заметили бы даже самые придонные ламеры и нубы.<br><br>Так переодически именно это и случается :)))) <br>Потому как строить охеренно крутые , беттонно-чугунные ворота с неломаемым в принципе замком, но... без забора, в открытом поле - нет никакого смысла<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/130586.html#43 Fri, 26 May 2023 11:32:01 GMT &gt; Желательно обмен проводитьсреди грамотных людей, личности которых ты хорошо знаешь.<br><br>Точно, у меня завтра с хорошим кентом, Линусом Торвальдосом встреча, а после завтра с Вовкой Путиным, заодно ключами обменяемся, подпишем их там друг другу...<br><br>&gt; Цепочка доверия. Если к интересующему тебя ключу есть ~5 разных цепочек доверия, <br>&gt; то с высокой вероятностью ключ принадлежит собственнику.<br><br>дорогой друг, я очень рад, правда, что ты понял как мог бы работать этот концепт, но как показывает десятилетия практики, WOT не работает за исключением нескольких чудаков на планете, но вот массы свято верят в подписанные кем-то и чем-то ключи и думают они очень круты, т.к. научились в одну строчку запустить верификацию хер знает чего<br><br><br>&gt; WOT выдержит.<br><br>Ты как покажешь цепочку доверия того же Торвальдаса, которую я могу проверить, лично и по паспортным данным, ну не его, ну хотя-бы тех 5 пацанов, вот тогда и поговорим как твой вебо-траст выдержит<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/130586.html#42 Fri, 26 May 2023 07:49:16 GMT &gt; И где гарантия, что эти сайты не взломаны<br><br>ГАРАНТИЮ дает только страховой полис.<br>и то за страховое возмещение придется судиться (по опыту с ОСАГО),<br>страховщики очень жадные и жлобные.<br><br>// интересно, сколько будет стоить застраховать сайт (ключ) от взлома на год ?<br><br>&gt; Т.е. просто верьте на слово, - "мы крутая пацанва, нас все знают <br><br>в конечном счете да.<br><br>&gt; и нас никто и никогда не ломал..." <br><br>если бы ломали, то поднялся бы такой хай в интернетах,<br>что заметили бы даже самые придонные ламеры и нубы.<br> https://www.opennet.ru/openforum/vsluhforumID3/130586.html#41 Fri, 26 May 2023 04:14:02 GMT &gt;&gt; Обмен ключами можно проводить в универе среди однокурсников, на работе среди сотрудников, ...<br><br>Желательно обмен проводитьсреди грамотных людей, личности которых ты хорошо знаешь.<br><br>&gt; Как проверить, что эти 5-ро не аферисты, которые слизали паспортные данные чтоб провернуть гнилое дело вместо подписывания твоего сертификата?<br>&gt;&gt; https://www.linux.org.ru/forum/security/16839105?cid=16840324<br><br>Цепочка доверия. Если к интересующему тебя ключу есть ~5 разных цепочек доверия, то с высокой вероятностью ключ принадлежит собственнику.<br><br>Да можно, создать 5 фиктивных ключей, чтобы подписать ключ мошенника. Но очень сложно чтобы эти 5 фиктивных ключей подписали реальные люди для образования цепочек доверия между тобой и ключом мошенника.<br><br>Делаю акцент на аккуратную проверку паспортных данных Ф.И.О., фотографии и верификацию E-mail, подавляющим числом пользователей OpenPGP при подписании чужих ID ключей. Пару неаккуратных пользователей, подписывающих всё что попадает им в руки, включая ключи аферистов, WOT выдерж