OpenSSL вопросец

[predefined]

Цитата:

Сообщение от p51x

Глупость. Если OpenSSL рассматривать в том виде, о котором разговор, то оно то эе end to end...

Вы не понимаете сути end-to-end шифрования. С PGP работали, знаете что такое открытые и закрытые ключи?

Шифрование происходит между конечными пользователями, никакие промежуточные сервера не имеют доступа к этим ключам. Даже WhatsApp не в состоянии узнать о чём переписываются его пользователи, о чём говорят и какие картинки посылают друг другу. Хотя весь обмен данными идёт через их сервера.

[rpy3uH]

Цитата:

Сообщение от predefined

Вы не понимаете сути end-to-end шифрования. С PGP работали, знаете что такое открытые и закрытые ключи?

Речь идет про клиент и сервер. Использование ssl в данном случае - это и есть end-to-end

[p51x]

Цитата:

Вы не понимаете сути end-to-end шифрования.

Угу, только вы тут гений.

Цитата:

С PGP работали, знаете что такое открытые и закрытые ключи?

Ассиметричная криптография это одна из возможных баз для реализации и сама по себе ничего не делает. Можно и на ксоре устроить. И да, пгп без протокола обмена ключами или реального обмена ключами бесполезен для e2e.

Цитата:

Шифрование происходит между конечными пользователями, никакие промежуточные сервера не имеют доступа к этим ключам.

В опенссл то же. Там сторонний сервер может только подтвердить, что вот этот конкретный отпечаток сертификата принадлежит кому-то.

Цитата:

Даже WhatsApp не в состоянии узнать о чём переписываются его пользователи, о чём говорят и какие картинки посылают друг другу. Хотя весь обмен данными идёт через их сервера.

То же самое с ссл. Кстати, вы видели исходники шифрования вотсаппа или только поверили их пиарщикам?

Еще один услышал где-то что-то и сразу стал экспертом.

[predefined]

Цитата:

Сообщение от rpy3uH

Речь идет про клиент и сервер. Использование ssl в данном случае - это и есть end-to-end

Это если бы там не вмешивались сторонние сервисы подтверждения сертификатов.

Ибо, владея таким сервисом и имея контроль провайдерами, этот "end-to-end" легко превращается в "end-middle-end", а "конечные стороны" об этом даже не догадываются.

"end-to-end" подразумевает не только процесс шифрования данных на соединении, но и безопасный обмен ключами шифрования именно между конечными пользователями.

Цитата:

Сообщение от p51x

И да, пгп без протокола обмена ключами или реального обмена ключами бесполезен для e2e.

И что? Вы не знаете о существовании протоколов безопасного обмена ключами через незащищённое соединение?

Цитата:

Сообщение от p51x

Кстати, вы видели исходники шифрования вотсаппа или только поверили их пиарщикам?

Еще один услышал где-то что-то и сразу стал экспертом.

Вы можете пялиться на исходники сколько угодно. То, что "домохозяйка" посмотрит на исходники, не сделает её экспертом


Мне незачем лезть в исходники, достаточно авторитетных источников:

https://www.eff.org/search/site/whatsapp

https://blog.kaspersky.ru/whatsapp-encryption/11533/

Apple отказалась выполнять выписанный в феврале судебный ордер, который обязывал компанию разработать специальное программное обеспечение для разблокировки телефона.


PS: Если вы сторонник теории "чего я не видел и не трогал - этого не существует" - флаг вам в руки и барабан на шею!
У вас есть выбор - либо добывать самостоятельно кремний, делать транзисторы, собирать процессоры и писать к ним софт, либо доверять другим, кто это делает.

[waleri]

Цитата:

Сообщение от predefined

Это если бы там не вмешивались сторонние сервисы подтверждения сертификатов.

Все правильно. Беда только в том, что для того, чтоб убрать посредника надо заранее иметь публичный ключ другой стороны. Если он у вас есть то вам MitM не страшен. А вот если его нет, тогда вам надо как-то удостоверится, что другая сторона действительно тот за кого себя выдает. Пока никто не придумал как это сделать без доверенного посредника. Если придумаете отпишитесь, я вас миллионером сделаю.

[p51x]

Цитата:

"end-to-end" подразумевает не только процесс шифрования данных на соединении, но и безопасный обмен ключами шифрования именно между конечными пользователями.

Нет. Это отдельный доп. раздел. e2e подразумевает только одно - шифрование происходит на оконечных точках. Все.

Цитата:

И что? Вы не знаете о существовании протоколов безопасного обмена ключами через незащищённое соединение?

1. Знаю, но цитата не о том. Там о том, что если есть "канал" для обмена ключами, то хоть гпг, хоть ксор, хоть что можно применить для e2e.
2. Я так же знаю, что есть способы компрометации этих протоколов.
3. От mitm это не избавляет, так как требуется удостоверение сторон, что пытаются решить центры сертификатов.

Цитата:

Вы можете пялиться на исходники сколько угодно.

Что и делаю каждый день... и?

Цитата:

То, что "домохозяйка" посмотрит на исходники, не сделает её экспертом

По-моему вы ошиблись форумом. Здесь форум программистов...

Цитата:

Мне незачем лезть в исходники, достаточно авторитетных источников

1. У этих источников нет исходников так же
2. Ничего не мешает вотсаппу завтра начать передавать ключ с сообщением.
3. Ссылаться на касперского после их активной деятельности по цензуре, закону яровой и поддержки расшифровки ссл в РФ не камильфо.

Цитата:

Apple отказалась выполнять выписанный в феврале судебный ордер, который обязывал компанию разработать специальное программное обеспечение для разблокировки телефона.

И? Причем тут это? У меня карточка то же зашифрована. Причем тут e2e?

Цитата:

PS: Если вы сторонник теории "чего я не видел и не трогал - этого не существует" - флаг вам в руки и барабан на шею!

Свои осенние фантазии не приписывайте другим.

Цитата:

У вас есть выбор - либо добывать самостоятельно кремний, делать транзисторы, собирать процессоры и писать к ним софт, либо доверять другим, кто это делает.

1. Вы слышали о приемке?
2. Вы слышали как проверяют криптоалгоритмы?
3. Вы слышали как их реализовывают? Сертифицируют?
4. ...
О чем разговор? Повторюсь:

Цитата:

Еще один услышал где-то что-то и сразу стал экспертом.

[predefined]

Цитата:

Сообщение от waleri

вам надо как-то удостоверится, что другая сторона действительно тот за кого себя выдает. Пока никто не придумал как это сделать без доверенного посредника. Если придумаете отпишитесь, я вас миллионером сделаю.

SRP-6 аутентификация, миллионы можете оставить себе.

Конкретно для текущей реализации "end-to end" шифрования в WhatsApp - два пользователя могут сверить ключи шифрования путем сканирования QR кода или сравнения 60-значного числа, что позволит исключить атаки класса man-in-the-middle

Цитата:

Сообщение от p51x

1. Вы слышали о приемке?
2. Вы слышали как проверяют криптоалгоритмы?
3. Вы слышали как их реализовывают? Сертифицируют?
4. ...
О чем разговор?

Михаил, дело в том, что вы сами обо всём этом практически "только слышали". Ну, постояли вы 6 лет назад рядом с Jabber-сервером - полагаете что стали экспертом по интернет-безопасности и криптографии?

А если будете продолжать играть в компьютерные игры - выше "простого программиста" ещё 6 лет не подниметесь.

[p51x]

Цитата:

Михаил, дело в том, что вы сами обо всём этом практически "только слышали".

Я просил свои фантазии от осеннего обострения оставить при себе.

Цитата:

Конкретно для текущей реализации "end-to end" шифрования в WhatsApp - два пользователя могут сверить ключи шифрования путем сканирования QR кода или сравнения 60-значного числа, что позволит исключить атаки класса man-in-the-middle

1. Я могу договориться с другом и ксорить сообщения по опред. книжке и это будет гораздо безопаснее вотсаппа. О чем разговор?
2. Как это защитит от того, что завтра вотсапп решил передавать ключ вместе с сообщением?
3. Где гарантии, что завтра оно вообще будет шифроваться?

Цитата:

Ну, постояли вы 6 лет назад рядом с Jabber-сервером - полагаете что стали экспертом по интернет-безопасности и криптографии?

1. Как связан jabber с текущим вопросом?
2. Как связано мое старое хобби с текущим вопросом?
3. Если уж полезли копаться, то могли б и посвежее найти. Может быть дошло б, что я не просто так о сертификации и проверки шифров говорю... но это пустое.

И вам бы самому не плохо почитать ваши ссылки и комментарии к ним. Узнали б, что это упрощенная замена одного из варианта опенссл авторизации, от mitm защищает не больше, чем остальные варианты. Ну прочтите уже что-то по теме более-менее серьезное, а не поверхностные статейки.

[predefined]

Цитата:

Сообщение от p51x

Я могу договориться с другом и ксорить сообщения по опред. книжке и это будет гораздо безопаснее вотсаппа. О чем разговор?

Вы опасно некомпетентны в криптографии. С вами, действительно, в этом топике разговаривать не о чем.

[p51x]

Т.е. реальных, а не попугайных, аргументов у вас нет. Все ваши знания это заголовки некоторых статей в инете... Вы скучны и неинтересны.