"Vizvary II Istvan" <v...@p...onet.pl> writes:

> Chociaż i tak caly atak kuleje.
> Potencjalny intruz od samego początku musiałby kontrolować i to w czasie
> rzeczywistym korespondencje elektroniczną klienta z centrum certyfikacji.
> Nie jest to łatwe, a nawet jesli sie uda, to atak padnie w momencie
> osobistej wizyty klienta w celu kontroli tozsamości. Trzeba by wybudować
> lipny oddział banku lub lipny punk rejestracji CA.

Mówiłem tu o bezpieczeństwie od strony czysto informatycznej. MITM
może wymaga sporych środków ze strony atakującego (możliwość
filtrowania połączeń na jednym z routerów po drodze albo IP
spoofing/hijacking), ale nie jest niemożliwe.

> zas dalej .... wybacz od tego jest grupa pl.comp.os.advocacy by podyskutowac
> sobie w kregu ekspertów (przepraszam za wyrazenie) nad wyzszoscia Linuxa nad
> Windowsami i odwrotnie.

Nie ja zacząłem. :p

> Ja po prostu twierdze, że jesli system operacyjny nie rozwiązał sprawę
> sprzętowego wspomagania kryptografii, tylko odpuszcza sprawe aplikacjom, to
> po prostu jest mało ambitny. Dobrze robi programistom. Czy klientom
> też...nie wiem.

Grr... czy fakt, że do sprzętowej kryptografii *jeszcze* nie ma
sterowników pod Linuksa (w co mi się nie chce wierzyć) znaczy, że
system jest gorszy? Kto Ci broni te sterowniki napisać? To jest
najwyżej kwestia czasu.


>> Wybacz, ale o ile rozumiem, sugerujesz
>> oddanie kontroli nad podpisami cyfrowymi jednej firmie prywatnej. Nie
>> bałbyś się?
>
> SUNowi bym się bal.
> AOLowi ? sprzedałbym szybciej komputer.
> MS - tu bym się zastanawiał. Przynajmniej pozwala klucze trzymac na kartach
> i nie narzuca własnej kryptografii. Zreszta żaden system nie narzuca.

Akurat MS jest znany jako firma, która nie narzuca własnych
rozwiązań. No comment. I EOT z mojej strony.


>> > zauwaz ile firm na tym zarobi (od TP S.A poczawszy)!
>>
>> Na tym -- czyli czym i w jaki sposób?
>
> O to chodzi, że jak sam zauważyłesz SSL jako zabezpieczenie (szczególnie
> jesli każdy może zmienić wygląd swojej przegladarki) to iluzja. Obrazek
> kłodki, napis https i wiara, że to działa.

Ale to działa. To znaczy, protokół od strony technicznej działa,
tylko trzeba stosować go z pewną świadomością tego, co się dzieje w środku.


> Jesli zakładamy , że użytkownik potrafi sie podpisać, to również może
> szyfrować dane. SAME DANE i bezpieczniej niż robi to SSL. Tak do banku jak
> do klienta.

Tu się zgodzę. Ale SSL nie jest fikcją polegającą na dodaniu przez
przeglądarkę literki ,,s'' do ,,http'' i kłódki w pasku stanu, bo jej
się tak uwidziało. SSL też daje silną kryptografię.


> A tak to obrazki i cała reszta idzie szyfrowany, złotówki leca, bo zegar
> tyka. Chociaż może i to nie jest taka istotna sprawa...

Hihi... akurat razem z włączeniem szyfrowania można AFAIK włączyć
dodatkową kompresję... jedno, co się traci, to cykle procesora,
których większość użytkowników posiada spory nadmiar.

Ale EOT.

--dżaf.

--
__ Maciek Pasternacki <m...@j...fnord.org> [ http://japhy.fnord.org/ ]
`| _ |_\ / { ...so I talked about conscience, and I talked about pain,
,|{-}|}| }\/ and he looked out of window, and it started to rain, and
\/ |____/ I thought, maybe - I've already gone crazy... } ( Fish ) -><-