[/b/] [/d/] [/tu/] [/a/] [/ph/] [/wa/] [/cg/] [/t/] [/p/]

[Burichan] [Foliant] [Futaba] [Greenhell] [Gurochan] [Photon] - [Home] [Manage] [Archive]

[Return]
Posting mode: Reply
Leave these fields empty (spam trap):
Name
Link
Subject
Comment
File
Verification
Password (for post and file deletion)
  • Supported file types are: GIF, JPG, PDF, PNG
  • Maximum file size allowed is 20480 KB.
  • Images greater than 200x200 pixels will be thumbnailed.

File: 1565347333247.jpg -(66920 B, 640x343) Thumbnail displayed, click image for full size.
66920 No.167319  

Почему вдруг началась такая агрессивная компания против использования GPG? И ведь толком не поймешь, им нельзя пользоваться из-за того что я тупой и точно не смогу выбрать правильные настройки, или же потому что разработчики - цис-мужчины и насилуют меня своим кодом?

>> No.167320  

>>167319

> агрессивная компания против использования GPG

Первый раз слышу.

>> No.167331  
>такая агрессивная компания

в чём это выражается?

>> No.167359  

Наше все последним постом раздавила членоносцев - https://blog.patternsinthevoid.net/pretty-bad-protocolpeople.html
Да и вообще, достаточно вбить в поисковик причины отказаться от pgp, так повылазят десятки журналов и бложеков, некоторые довольно серьезные.

>> No.167362  

>>167359

> Наше все последним постом раздавила членоно

Для таких, как ты, сделали /p/.

>>167319
Не знаю, что там насчет компании, я лично избегаю GPG, потому что у него совершенно невменяемый интерфейс, даже для консолефанбоев. Мне вот надо зашифровать файлик симметричным/асимметричным шифром и передать его по сети или подписать его своей подписью, а в GPG для этого какие-то сети доверия, какие-то связки ключей - чего несет? Вообще охуеть.

>> No.167365  

>>167362

> Для таких, как ты, сделали /p/.

Каких таких как я? Очевидно что большинство компьютерных задротов на чем-то поехавшие, и это полностью их дело пока не возникает ситуация когда нельзя разобрать поделились ли с тобой профессиональным мнением, или же это просто заскок такой.

> чего несет?

Вот да, причиной номер один всегда пишут что слишком сложный для дебилов. По твоей проблеме, связки и сети нужны для совсем других дел, RTFM, а потом шифруй и подписывай одной простой командой (или используй десятки самых разных гуев, например https://github.com/ryran/pyrite).

>> No.167368  
> Почему вдруг началась такая агрессивная компания против использования GPG

Нет никакого смысла, в общем-то, пересказывать здесь подробности из нынешних докладов руководства американской генпрокуратуры и ФБР, ибо люди на высоких постах меняются, а одни и те же идеи озвучиваются ими на протяжении вот уже четверти века, как минимум. Примерно с тех пор, как к началу 1990-х у народа стали массово появляться персональные компьютеры, интернет-доступ и действительно сильные средства шифрования типа криптопрограммы PGP от Фила Зиммермана.

Для общего же представления о том, в чем здесь суть посыла властей к широкой публике, достаточно процитировать наиболее яркий момент из октябрьской, 2017 года речи Рода Розенштейна:

«Такое шифрование, которое не вскрывается по предписанию суда, подрывает конституционный баланс – ставя приватность граждан выше общественной безопасности. Те зашифрованные коммуникации, которые нельзя перехватить, и те запертые криптографией устройства, которые нельзя открыть, – всё это зоны беззакония, позволяющие преступникам и террористам действовать без их выявления полицией, без обязанности отвечать перед судьями и судами присяжных.»
https://kiwibyrd.org/2017/11/18/1711/

Они просто продолжают давить и не собираются останавливаться. Лезут не в дверь так в окно.
Бэкдоры в процессоры, подозрительные шифры (ChaCha/Poly) в https.
Предлагаю еще вспомнить что случилось с программой Truecrypt, которая собрала лучшие практики для своего времени.

PGP конечно говеный, но альтернатив сравнимых по массовости и надежности ему просто нет.
Особенно радует, когда предлагают всем сесть на бутылку в виде мессенджеров.

>> No.167375  

А можно я тут полыхну от социолухов, кукарекающих про отказ от прайваси и подающих это как ВЫБОР?

Бабах.

>> No.167377  

>>167375
Кто такая прайвася, чтобы с ней соглашаться или отказываться?

>> No.167379  

>>167365

> Каких таких как я?

SJW-шных политухов.

> По твоей проблеме, связки и сети нужны для совсем других дел

Ну так раз мне эти другие дела не нужны, то можно я не буду ебаться с ними? Можно я зашифрую и подпишу одной командой, как в OpenSSH?

>>167368
И ты тоже иди политушись в /p/.

>> No.167381  

>>167379
А может тебе куда-то сходить, таблеточку принять? Тема скорее для выживача, чем для политики.

> SJW-шных политухов.

Самка посмела разбираться в чем-то лучше тебя, что ты ищешь оправдания чтобы не прислушиваться к ней?

> OpenSSH

Который вообще набор программ с кучей фич, но две команды в нем ты осилил, а для двух в PGP тебя уже не хватило. Алсо, не рекомендуется для шифрования файлов, для этого и есть PGP.

> политухов

Ты вообще какой-то не местный. Иди туда где тебя потушат.

>> No.167386  

Вот еще: "Хватит использовать RSA" https://habr.com/ru/company/virgilsecurity/blog/459370/
RSA это единственный надежный асимметричный алгоритм (до создания квантовых компьютеров).
Переходить-то предлагают не на постквантовую криптографию, которой пока нет, а на эллиптические кривые.
Кому интересно текущее состояние постквантовой криптографии https://ctcrypt.ru/files/files/2019/materials/31_Grebnev.pdf .

Из комментариев на хабре:
"В основе RSA лежит настолько простые математические принципы, что их беглое изложение здесь заняло абзац. Все уязвимости алгоритма строятся на слабости выбора параметров. А в основе ECC лежит дикая магия с полями чисел, в которых over-дофига слабостей которые без вдумчивого выкуривания всего поля можно и не найти. RSA понятен и поэтому безопасен. Если в основе механизма безопасности лежит большой непонятный кусок магии, о котором можно судить только по заявлениям некоторых о его безопасности, то система не безопасна ни разу, а мы находимся во власти этих очень умных людей."

>> No.167387  
File: 1565628706313.jpg -(64280 B, 700x426) Thumbnail displayed, click image for full size.
64280

внимательно ознакомившись с привёденными материалами, я так и не въехал, кого занимают пространные измышления какой-то noname-пизды с неработающим сертификатом и глайдером в фавиконе (лол серьёзно?), страдания неосиляторов и вызванная ими фрустрация, или какие-то беспомощные высеры про гадких преступников (поголовно наркоманов, террористов и педофилов) и подрывы "конституционного баланса" (которые даже на софистику не тянут)

и совсем уж непонятно, как pgp/gpg/aes/42 должно от этого стать жарко или холодно

>> No.167389  

>>167387

> или какие-то беспомощные высеры про гадких преступников и подрывы "конституционного баланса"

Ты не понял, цитата про "конституционный баланс" - показательный пример отношения властей США (и государственных властей вообще) к приватности граждан. Это последовательная позиция, которую периодически озвучивают, меняя формулировки.
Власти США настойчиво заинтересованы, чтобы у граждан не было возможности хранить от них какие-то секреты.
Поэтому очередная компания в СМИ по дискредитации надежных программ шифрования это одно из ожидаемых действий наравне с внедрением бэкдоров, телеметрии, ослаблением стандартов https, внедрением mitm google/cloudflare итд.

> и совсем уж непонятно, как pgp/gpg/aes/42 должно от этого стать жарко или холодно

Дело не только в самих программах, но и в их массовости.
К примеру, ты не сможешь приватно связаться с человеком, если у него только смартфон или компьютер с windows.
Информация будет перехвачена на его стороне, сколько не шифруй.
Это становится очевидно, когда понимаешь, что абсолютно защищенная связь через интернет возможна. Вопрос только в массовости.

Можно выстроить системы связи по защищенности:
0% - программы без шифрования
10% - мессенджеры (whatsapp, telegram, signal)
50% - email/jabber с PGP
70% - email/jabber с PGP и другими ухищрениями (TOR, виртуалки)
100% - аппаратное end-to-end, data diode

Сначала они пытались привести к 0%, запретив шифрование законодательно. Теперь поняли, что достаточно продавить 10%, а дальше небольшой административный ресурс и дело в шляпе.
Обсуждать это имеет смысл, как и другую политоту или конспирологию - жопа горит, не могу молчать.

>> No.167390  
File: 1565635096523.jpg -(179603 B, 750x470) Thumbnail displayed, click image for full size.
179603

>>167389
ну хорошо, а в чём трагедия-то?

>Власти США настойчиво заинтересованы

равно как и все остальные власти, на протяжении внушительного отрезка времени. просто с ростом мощностей технические средства совершенствуются и становится легче расшифровывать чего-нибудь на лету, ну или учинить всеобъемлющий трекинг&мониторинг всего живого и не очень
в остальном с тех времён, как первую пачку бит отправили по проводам, — ничего особо не изменилось. это кагбе краеугольный принцип информационной безопасности, противостояние уровней атаки и защиты данных (с поправкой на целесообразность). для наглядности может быть проиллюстрировано поговоркой про хитрую жопу, на которую находится хуй с винтом. мало кто знает, но в дальнейшем жопа дополняет собственную архитектуру закоулками, хуй-с-винтом оснащают пробойником ну итд

> если у него только смартфон или компьютер с windows.

— доктор, когда я делаю вот так, у меня тут вот болит
— дык не делайте так©

в свете вышеизложенного куда большие опасения вызывает трекинг бренной биологической оболочки в публичных пространствах, но это тема отдельной дискуссии. gpg же как-нибудь весь этот анальный карнавал переживёт, иншалла

>> No.167392  

>>167387

> и совсем уж непонятно, как pgp/gpg/aes/42 должно от этого стать жарко или холодно
> gpg же как-нибудь весь этот анальный карнавал переживёт, иншалла

Запретят использование и будут вылавливать из траффика. Будете потом стенать сидя на бутылке что ключ не ваш и вам его подбросили в картинке с голой суккубой.

>> No.167393  
File: 1565639392953.jpg -(148073 B, 750x562) Thumbnail displayed, click image for full size.
148073

>>167392
с учётом демонстрации впечатляющего знания матчасти, выбора лексики и апломба, с которым делается заявление

>Будете потом стенать сидя на бутылке

рискну предположить, что это твоя вечная и безусловная прерогатива

>> No.167394  

>>167393
Когда нечем опровергнуть.

>> No.167413  

>>167319
Для того чтобы массово внедрить новые средства шифрования с бекдорами и уязвимостями, нужно чтобы люди отказались от старых и проверенных.

>> No.167417  

>>167386

> https://ctcrypt.ru/files/files/2019/materials/31_Grebnev.pdf
> в пост-сноуденовскую эру

Дожили. Капитана Очевидность уже приравнивают к Иисусу Христу. Идиократия победила?

>> No.167420  

>>167417
Человек рискуя шкурой принес пруфсы тем кто отрицал очевидное, но просчитался потому что всем плевать и за минимальные удобства готовы напихать полный зад зондов. Это твой бро, он заслуживает уважения.

>> No.167421  
File: 1565806035756.jpg -(162340 B, 633x744) Thumbnail displayed, click image for full size.
162340

>>167381
Про самок нихуя не понял, да и похуй, персоналии мне не интересны.

GPG помимо собственно шифрования хранит в системе какую-то базу данных, задает дебильные вопросы и оформляет шифры в припизднутом формате. OpenSSH просто шифрует.

>> No.167425  

>>167421

> хранит в системе какую-то базу данных

Делает папку с кейрингами, если пользуешься симметричным шифрованием то можешь вообще снести.

> задает дебильные вопросы

Например?

> оформляет шифры

Добавь аскии-армор? Убери? Чего ты вообще ожидаешь?
Проблемы на стороне пользователя.

>> No.167428  

https://blog.patternsinthevoid.net/pretty-bad-protocolpeople.html это блог (бывшей?) разработчицы Signal. Вот от создателя Signal мнение по поводу usability GPG: https://moxie.org/blog/gpg-and-me/

Основная проблема GPG в том, что система web of trust не взлетела, но интерфейс GPG построен полностью вокруг keyring : https://nullprogram.com/blog/2019/08/09/

Поэтому там где можно, gpg заменяется на простые утилиты, например https://flak.tedunangst.com/post/signify в OpenBSD (https://www.openbsd.org/papers/bsdcan-signify.html) и https://openwrt.org/docs/guide-user/security/release_signatures

Где нельзя, например в почте, разрабатываются альтернативные реализации, не завязанные на web of trust: https://sequoia-pgp.org/ и https://openpgpjs.org/

На замену web of trust сейчас продвигается autocrypt (пока что в режиме opportunistic security), поверх которого с помощью ClaimChains (https://countermitm.readthedocs.io/en/latest/) строится key gossip протокол. Суть его в том, что пользователи автоматически во время обмена сообщениями обмениваются также своим мнением о том, какие ключи у других пользователей в группе, и в случае расхождения или недостаточной уверенности проверяют по сторонним каналам (в том числе возможно и key signing party, как задумывалось для web of trust).

В добавок ко всему сервера SKS больше никем не поддерживаются и никто не собирается исправлять проблему с недавней DoS-атакой на них: https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f
Вместо этого все (Engimail по умолчанию) переезжают на новый сервер, который не хранит подписи ключей: https://keys.openpgp.org/about/news#2019-06-12-launch Фактически это значит закат web of trust.

>> No.167435  

>>167428
Резюмируя, GPG устарел потому что часть его функционала, а именно web of trust, пользуется малой популярностью из-за того что пользователям приходятся подписывать ключи руками и инфраструктура до сих пор слабо развита. Поэтому все должны отказаться от имплементации в которой баги фиксят 20 лет и которая прошла все возможные аудиты до того уровня доверия который не оспаривается (за редким безпруфным исключением) даже теми кто хочет ее похоронить. И все ради того чтобы взять на вооружение новые модные дырявые поделки с закладками, потому что в них тот же самый web of trust строится автоматически, а дегенератам не способным прочитать страницу мануала не придется больше отправлять свой приватный ключ, лучше вообще отобрать у них все ключи, настройки и управление. С такой логикой, почему бы не использовать сразу гмейл или телеграм? Делегировать свою безопасность тем кто в ней разбирается и тогда вообще не надо будет никак напрягаться.
Про проблемы с апи питона это неправда.
Если код GPG настолько плохой что в нем в любом месте можно найти уязвимость, то покажите мне эти самые уязвимости, хоть какие-то подозрительные сливы и намеки. Единственной известной мне свежей проблемой была паника по поводу того что почтовый клиент во время автоматической расшифровки может начать исполнять вредоносные скрипты, подгружать ресурсы с закладками и подобное, но это никак не проблема GPG. И enigmail может отвалиться от thunderbird, что опять-таки проблема других инструментов.

>> No.167437  

>>167362
gpg -[a]er komu@komu -su aswho@aswho [<infile >outfile]
Джва года так делаю, брат жив, зависимость есть, варнинги про доверие пропускаю мимо ушей, потому что нет достаточного количества респондентов для постройки соцсети web of trust и, что самое главное, нет уверенности в том, что это не товарищ майор. Как там подписывать симметрично, не помню, просто шлёпаю вместо -er komu@komu флаг --symmetric и вбиваю пароль. Всего за свою жизнь научил трёх человек пользоваться фронтэндами к gpg, но с ними больше связь не поддерживаю из-за разных причин.
По хорошему, надо либо пропатчить фронт к gtk, либо написать заново, потому что он заброшен.

>> No.167438  

>>167428

>мнение от создателя Signal

Когда от тебя вместо решения проблемы просят перейти на приложение к сим-карте, читать сразу начинает не хотеться. По сравнению с *этим* старый pgp всё ещё pretty good.
Да, легаси. Signal за это же время станет либо тем же легаси, либо подохнет.

>> No.167439  

>>167428
Последняя ссылка, а точнее, вид того, что там внутри, вызывает у меня омерзение. Почему?

>> No.167440  

>>167439
Ставлю на мерзкие смайлики и подачу для *клиента, простого пользователя*.

>> No.167486  

>>167437
Там же еще где-то файл с ключом указать надо было.

>> No.167494  

>>167486
Не надо, вытаскивается из дефолтного кейринга по адресу кому.

>> No.167505  

>>167440
Удваиваю смайлики и восклицательных знаков многовато.

>> No.167514  

>>167494
Из какого кеери... Из чего, блядь? Нихуя не понял. Вот смотри, у меня файлик. С ключом. Знаешь, что такое файл? Вот файл, у меня там ключ лежит. Файл, понимаешь? С ключом. Вот я хочу вот этим ключом, вот в этом вот файле зашифровать вот это вот письмо. Ключом зашифровать. Который в файле лежит. По такому вот пути. «/mnt/trucrypted/truectrypted-more/klyuch», например. Ключом, в файле, понимаешь?

>> No.167515  

>>167514
gpg --import < /mnt/trucrypted/truectrypted-more/klyuch

>> No.167517  

>>167515
Нахуя?

>> No.167520  

>>167517
Такнада.

>> No.167556  

>>167515
Братюнь, ты не понял. Мне не нужно никуда копировать мой ключик (тем более в непонятно куда). Мне нужно просто зашифровать им мой пост. Вот конкретно в моем случае мне даже нужно ключик не копировать - он не должен выходить за пределы криптоконтейнера и RAM.

>> No.167558  

>>167556

> он не должен выходить за пределы криптоконтейнера и RAM

https://ru.wikipedia.org/wiki/Криптосистема_с_открытым_ключом

>> No.167561  

>>167558

> А зачем тебе нужно его держать внутри контейнера и RAM?

Заметил, что когда начинают спрашивать "зачем", задача указанными средствами трудно выполнима. Причем спрашивать начинают в ситуации, когда другие средства задачу выполнить позволяют с легкостью (но могут не подходить по другим причинам).

Надо мне.

P. S. И это я еще не спрашивал про симметричный ключ.

>> No.167562  

>>167561
Помоему ты сейчас с голосами в своей голове обсуждаешь проблемы промышленного выпуска троллейбусов из буханок.

Но вообще можешь пускать с --homedir на свой криптоконтейнер в ram и ничего его не покинет.



Delete Post []
Password

[/b/] [/d/] [/tu/] [/a/] [/ph/] [/wa/] [/cg/] [/t/] [/p/]