Спустя три с половиной года с момента формирования прошлой значительной ветки представлен новый выпуск инструментария GnuPG 2.3.0 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=54928
Софт ващеагонь. Но юзал только для ш-ния быкапов )
Зачем ты шатаешь бэкапы??
Шлёпает же
шостаёт бэкапы
Ты компиляцию модулей ядра под свой ноутбук уже осилил и всё продолжаешь на дистрибутивы бочку катить?
Всё бы хорошо, но осилить его так массы и не смогли. А про обмен ключами вообще молчу. Его не осилили даже массы из целевой аудитории. Плюс, опять какая-то фрагментация наметилась с этими новыми autocrypt'ами и p≡p.Короче, нет в жизни счастья )))
P.S. ироничность в том, что auto-key-retrieve вроде как даже по дефолту сделали и оно даже работает в первом приближении (доверять или нет скаченному всё же приходится ручками). Но перевыгрузить ключи на новый дефолтный сервер, который не подвержен спаму подписями, смогли далеко не все. Увы.
Массы ленивы, от SSH бывает закрытый ключ присылают
О, это отдельная песня! Ещё с SSL сертификатами вообще швах. У меня тут как-то вполне себе успешный (уже давно руководитель) коллега утверждал на кислых щах, что какой-нибудь CA (пускай Digicert) может читать HTTPS трафик условно того же whitehouse.gov )))
В зависимости от контекста, он мог быть даже прав. Любой CA, присутствующий у тебя в браузере в списке доверенных, договорившись с твоим провайдером, может выпустить сертификаты для митм, с помощью которых сможет читать твой трафик.
На этом была основана попытка Казахстана обязать своих граждан добавить национальный сертификат в список доверенных в браузер.
Хех, опередили на секунды
В рамках «защиты от терроризма», в сша могут не только прослушивать всех кого не лень.
Более-менее крупные конторы, работающие с сетью, регулярно «куда надо» ключи передают.. или не передают и не работают в сша.Казахстан решил более простым путём пойти, но чем закончилось - неизвестно( вроде бы, особо ничем )
>Более-менее крупные конторы, работающие с сетью, регулярно «куда надо» ключи передают.. или не передают и не работают в сша.По какому закону?
> По какому закону?Ты не в РФ, чтобы конкретный закон спрашивать - у каждого штата весьма большая свобода в законотворчестве.
Происходит это на базе жирного федерального закона - т.н Патриотического акта, принятого по итогу того_самого 11 сентября. Закон, в частности, расширил права ФБР по подслушиванию и электронной слежке, что многими было расценено как нарушение четвёртой поправки к конституции.
Принят, кстати, еще осенью далекого 2001-го.С 2015-го для АНБ формально запретили неограниченную электронную слежку и прослушивание. Но возможность подобного по суду - оставили. Другое дело, что помимо анб еще куча ведомств информацию любыми способами добывала.
Для остальных ведомств - когда как. Отдельно стоит упомянуть, что запрет( ограничение. По суду или при наличии подозрений - можно ) прослушивания и электронной слежки относился лишь к гражданам сша.
> В зависимости от контекста, он мог быть даже прав. Любой CA, присутствующий
> у тебя в браузере в списке доверенных, договорившись с твоим провайдером,
> может выпустить сертификаты для митм, с помощью которых сможет читать твой
> трафик.
> На этом была основана попытка Казахстана обязать своих граждан добавить национальный сертификат
> в список доверенных в браузер.Ну вот и ещё один "специалист" нашёлся.
поэтому фсб и требует предустановка отечественных программ на пк и телефоны, с программами проставтятся и нужные СА, чтобы можно было любой трафик смотреть.
Странные эти госконторы, на заборе пишешь, недовольны, незаметно пишешь, хотят, чтобы им видно было! Начитались роман "1984", про мыслепреступление :)
Что сможет приложение яндекса, посаженное в "песочницу" с отключенными правами (уже не говорю, если я его вообще банально отключу)? Ах, да, непоправимо травмировать психику мнительных личностей оно сможет.
Вообще-то может. Делает mitm, подсовывает сертификат закрывающий whitehouse.gov и свой рутовый (ну или свой промежуточный, удостоверенный рутовым). Собственно стать удостоверяющим центром и было неудачным планом казахстана по захвату мира. Собственно фишинг на том и живет, за исключением того что не может выпустить серт на сам домен и выпускает на whiteh0use.gov.
> подсовывает сертификат закрывающий whitehouse.govПоподробнее с этого момента.
А простому пользователю в обычной жизни зачем он нужен ?Для шифрования переписки хватает s/mime который и без сабжа можно бесплатно получить и обмен ключами s/mime прост как валенок !
> А простому пользователю в обычной жизни зачем он нужен ?
> Для шифрования переписки хватает s/mime который и без сабжа можно бесплатно получить
> и обмен ключами s/mime прост как валенок !Смеялсо. А что там с обменом "ключами"? Найдёшь ключ по адресу почты? В реальности единственное преимущество s/mime в том, что оно в коммерческих почтовиках реализовано "изкаропки". В остальном всё ещё хуже, чем в PGP/GPG (включая безопасность). Но зато его реально используют в некоторых конторах, контор же, где было бы PGP/GPG обязательным, я не видел.
P.S. простому пользователю знать про шифрование не нужно вообще. Ему нужен тикток/ютуб и вотсап с инстой.
Ну то что есть целые, доступные всем сервисы для хранения публичных ключей понятно что Вы не знаете - там как раз по почте и ищется.Но в моём случае всё ещё проще - мой ник suffix, общаюсь на русском - достаточно зайти на https://suffix.ru
> Ну то что есть целые, доступные всем сервисы для хранения публичных ключей понятно что Вы не знаете - там как раз по почте и ищется.И конечно же вы назовёте их и ткнёте меня моськой в инструкцию, как это подцепить в Outlook или почту на Андроиде. Прямо жду )))
Да, пожалуйста:https://www.globaltrustpoint.com/
И мой там есть :)
И как ты себе предлагаешь общение данного самодельного сервиса с любой из почтовых программ? Я же говорил, в случае с s/mime всё ещё хуже, чем с PGP/GPG.
Главное что можно скачать public key - а уж ручками куда угодно вставить можно - чай не бином Ньютона :)
> Главное что можно скачать public key - а уж ручками куда угодно
> вставить можно - чай не бином Ньютона :)У PGP/GPG хоть какой-то механизм поиска и дефолтные сервера имеются, а тут полтора самодельных сервиса, которые сегодня работают, а завтра нет. На самом деле я иронизировал, S/MIME, если оно не реализовано в конторе на уровне корпоративного правила с раздачей сертификатов через адресную книгу, нафиг никому не нужно. Бесплатные сертификаты выдают полторы конторы (раньше было больше), сейчас вроде никто не продлевает их даже (бесплатные), нужно каждый год новый получать.
1. Вообще-то там и инструкция есть по интеграции:https://www.globaltrustpoint.com/ldap-webservice-access.jsp
2. Платный (но дешёвый) от Sectigo на 3 (три) года.
Спасибо, я лучше бесплатно себе GPG/PGP выпущу )))
Ну на год-то и s/mime бесплатные есть - и таки для "простых" людей они в разы легче чем PGP.
> осилить его так массы и не смогли.Другого пути нет. Массы программистов должны осилить PGP для подписи комитов и релизов.
> Массы программистов должны осилить PGP для подписи комитов и релизов.Зачем? Большая часть проектов без этого обходится.
Жуткий комбайн. Сколько ни пытался начать разобираться в этом всём, ни разу не смог. А нужно ли? Вот тут нелестно отзываются о GPG: https://latacora.micro.blog/2019/07/16/the-pgp-problem.html
Вот и все так. Forward secrecy же банально не нужен. Напрямую им вообще никто не пользуется. Зачем мне знать все эти опции, если я шифрую сообщения в почтовике или мессенджере? Надо только уметь секретный ключ хранить и не забыть пароль. Но и это осилили единицы. Поэтому и юзаем двухфакторную аутентификацию с привязкой к номеру телефона. Три четверти вон каждый раз при покупке нового телефона округляет глаза и спрашивает "какой такой логин и пароль? я ничего не помню".
> Надо только уметь секретный ключ хранитьНаучи. Я на полном чертеже, но буду критиковать.
> Научи. Я на полном чертеже, но буду критиковать.Критикуй: https://www.kernel.org/doc/html/latest/process/maintainer-pg...
может ты еще и SELinux не осилил?
> SELinuxв отличии от крайне нужного сабжа, SELinux - малополезная шляпа.
крутые малварщики и вирмейкры под линукс пренебрежительно отзываются о SELinux.
на лоре или опеннете малограмотные юзеры уповают на этот SELinux. что как бы показывает неказистый уровень... лучше статьи хермита почитайте...
>SELinux - малополезная шляпа... для анонимов опеннета. После обработки высокооплачиваемыми специалистами на фуллтайме- весьма полезная. Напр. почти полностью прибивает dirty cow на старых вёдрах, при использовании методов обхода рут получается ненадёжно, прошивкой рекавери, с тройной перезагрузкой и риском кирпича.
> для анонимов опеннетаа ты шо... сам не аноним с опеннета? и хватит ссылаться на "высокооплачиваемых специалистов на фуллтайме". я вот ссылаюсь на высококвалифицированных малварщиков и вирусмейкеров. это гораздо весомее. и лучше бы твои "высокооплачиваемые специалисты" были "высококвалифицированными специалистами". что на практике почти всегда не так. смузихлебы в 99% случаях. пусть и высокооплачиваемые на фуллстаке. как будто это что-то доказывает, лол. it сейчас раздута и много нубов получают большие зп. учитывая, что они делают шерето (с точки зрения настоящих квалифицированных специалистов и взломщиков профильных, я уже упоминал хермита, у которго по этому поводу были прекрасные статьи) толку от их зарплат нет никакого (ну может им самим приятно). а на счёт получения рута повеселило. рут как таковой уже давно не самоцель. отстали от жизни.
Конечно нужно, это ж самое распространенное и надежное из альтернатив.
Для разработчиков и вовсе грех такое не знать, множество софта используют gpg и не понимать как он абстрактно работает автоматически отправляет в лигу макак.
Для пользователя тоже будет не лишним, хотя бы чтобы переписываться без ограничений и бекапы шифровать.
Основы то легко учатся, достаточно потратить вечер (а то и 3-4 часа), а вчитываться во всевозможные алгоритмы и запоминать все ключи смысла нет никакого.
Не знаю, что это и зачем оно для разработчика, но для пользователя точно не нужно. Переписка шифруется мессенджером, бекап и прочие файлы — luks2, veracrypt и ещё уйма средств для шифрования файлов. И на освоение всего это уйдёт меньше часа. Потому что это не древнее легаси с криптографией времён говна мамонтов, а продукт сделанный для пользователя.
С тех пор как задудосили сервера 2 года назад все дружно отказались от повсеместного использования и полезность упала.
Сервера не прекращали работать, пострадали только те, у кого были в связках ключи, подписанные кучей левых подписей. Да и запилили новые дефолтные сервера давно. Но, как я писал выше, осилить gpg --refresh-keys смогли не все.
Ну конечно, проблемы не у серверов (которые позволяют слишком много и не верифицируют), а у клиентов (gnupg). Однако, факт имеет место, все дружно перешли с публичных серверов на васяносервера (которым уже нет никакого доверия и которые могут быть скомпроментированы одновременно, поскольку являются частью одной инфраструктуры) и в итоге это никому не надо стало ssl is good enough и вообще заигрались с верификациями: так нужный пейлоад не подсунешь и сообщение не подменишь.
Какие васяносервера? Там все сервера от васяна, просто один по дефолту.
Ой, дайте-ка накину на тему блеска и нищеты криптопанка...Создатель PGP Фил Циммерманн не пользуется в реальной жизни PGP/GPG и довольствуется айфоном 😄
вас слишком много на опеннете с вашей косичкой, какой-то феминизированный с бородкой весь топик зафлудил... впечатленя не самые приятные...
Ну не читай, раз не нравится. Или зарегистрируйся и добавь его в австоскрытие.
Что я сделал не так и где соврал? Он на своём сайте даже об этом пишет. А ключ у него 20-летней давности, если память не изменяет, то dsa1024 ещё.
Уровень анонима на OpenNET - аргумент в стиле ad hominem
А это очень дельный коммент. Он в очередной раз подчеркивает непонимание программистами что такое "продукт" или "решение". Юзерам не нужны протоколы, форматы, стандарты, конфигурации и опции, как программисту не нужны дрожжи, солод, ячмень... Всем нужна кнопка ВКЛ и ВЫКЛ. Не более того. Все сложнее - это полуфабрикат и нет времени копаться в нем. На этом например погорел СССР - все купленное нужно было допиливать самому, а когда пошла корейская, немецкая, японская техника - оказалось, что все просто работает и работает десятками лет.
А не будете ли так любезны просветить, что нужно было допиливать в советских бытовых вещательных радиоприёмниках, телевизорах?
>Создатель PGP Фил Циммерманн не пользуется в реальной жизни PGP/GPG и довольствуется айфономВот самый сильный аргумент
>Создатель PGP Фил Циммерманн не пользуется в реальной жизни PGP/GPG и довольствуется айфоном 😄Не читайте всяких газет,
Посмотрите дизайн сайта Циммерманна, ещё он рекомендует подписывать присылаемые сообщения.
>Предложен экспериментальный фоновый процессНеужели без фоновых процессов нельзя?
Это же электрон.
Оффтоп, но вы обратили внимание, что админы освоили Let's encrypt?
Let's Encrypt - да, но вот всякие certbot осилить без помощи индусских статеек я так и не сумел. Мне проще было открыть RFC и наговнокодить свой клиент, чем допиливать то, что есть.
кто-нибудь пробовал использоват OpenPGP_card с GnuPG https://en.wikipedia.org/wiki/OpenPGP_card ?
Столько жалоб при этом в комментах к новостям альтернативных реализаций пишут "НИНУЖНО".Как же не нужно, если для использования этой реализации нужно сначала получить степень в Computer Science? И то не факт, что поможет.
Новая кривая)) А люди, до сих пор юзают говно-RSA
Блин, вот бы Bitwarden умел в публичные ключи GPG и шифрование оными
Что разработчики думают о проблеме 2038 года? В стандарте RFC4880 для таймштампов 4 байта.
Слава PGP! PGP слава!