Am 11.11.2003 12:52 schrieb Artem Chuprina:
YR> Надеюсь что все ясности я смог устранить :)
Да, успешно. То, что "сообщество дебианцев" за подсаженного тебе мейнтейнером
трояна твоей фирме ущерба не выплатит, ты почему-то считаешь поводом не
доверять ключу Debian, а то, что точно так же тебе ничего не выплатит
VeriSign - почему-то не считаешь поводом не доверять его сертификату...
Абсолютно правильно, я доверяю ключу подписанному VeriSign'ом потому как,
1. VeriSign несёт гражданскую и уголовную ответственность. За промахи
дебиановцев я отвечаю сам!
2. Качество работы VeriSign'а проверяется и контролируется государством
и специальными организациями. Дебиановцев никто не контролирует, кроме
себя самих.
3. Основная цель VeriSign'а "обеспечивать доверие" в сети и он тратит на
это большую часть своего времени! Дебиановцы же занимаются большую часть
своего времени, логически Дебианом, а не контролем ими подписанных ключей.
4. Дебиан создан на добровольной основе, что приносит с собой
безответственность и в некоторых случаях халатность! Организация за
которой стоят миллионы $ вкладчиков, будет изначала серьёзнее подходить
к своей задаче.
Простое человеческое доверие не может к сожалению конкурировать с
профессиональной уверенностью.
В то
время как я ключу Debian в этом смысле доверюсь гораздо больше - после первой
же такой попытки гражданин загремит из официальных мейнтейнеров, и больше
никогда туда не попадет.
Ох какое страшное наказание, тем более то что Вы пишете глупо, так как
из официальных мейнтейнеров "загремит" кто-то неизвестно кто, только
потому что его ключу кто-то доверил. Этот неизвестный сгенерит себе
новый ключ, попросит его подписать опять кого-нибудь "значительного" и
будет опять официальным мейнтейнером.
YR> 1. Простая переписка не должна быть шифрованной или подписанной, чтобы
YR> не создавать ложной безопасности
Когда я получаю три письма, подписанных одним и тем
же ключом, я могу по меньшей мере быть уверен, что даже если их подписывали
разные люди, то это люди, знающие один и тот же секретный ключ. Если при
этом я имею некоторую дополнительную информацию о владельце ключа, у меня
может появиться дополнительная информация. Например, если я знаю, что таки
да, это ключ этого самого человека, и он за ним аккуратно следит, то шансы,
что я вижу письмо не от него, достаточно малы.
Только идея "Trusted Web" заключается как раз в том что вы *не* знаете
что это ключ того самого человека, вы этого человека впервые видите! И
только кто-то из тех кому Вы доверяете подтверждает Вам подлинность того
ключа! Вот об этом "кто-то" и идёт спор. Для простой коммуникации между
друзьями в общаге или даже внутри одной фирмы PGP очень хорош, но если я
получаю сообщение от делового партнёра, которого я в глаза не видел, мне
нужна третья инстанция на которую я могу положится, сосед Дядя Вася мне
недостаточен.
Например, судя по тому, что
я тут от тебя прочел, твоей подписи я буду доверять очень ограниченно в
любом случае, даже если получу твой ключ непосредственно из твоих рук. И уж
точно не буду доверять твоей подписи на чужих ключах
И правильно, с какого такого счастья Вы должны мне доверять? Неужели Вы
думаете что я Вам доверять могу? Если я лично получу ключ от вас, то я
буду знать что письмо написано действительно Вами, но ни в коем случае я
не смогу доверять ключам подписанными Вами, даже если увижу что мои
данные Вы проверили очень щепетильно. Сегодня Вы всё проверили хорошо, а
завтра вам подделку подсунули левую, а Вы даже номера паспорта проверить
не в состоянии или просто забыли что-то проверить или подписали ключ
знакомому не проверяя данных или ещё что-нибудь. Если я положусь на ключ
подписанный Вами, хоть Вы даже весь такой правильный, и произойдёт
ошибка - моя фирма из-за этого пострадает, что тогда? Вы скажете прости
Женя, но этого Пэдро который все твои винчестеры отформатировал, я не
знаю как найти, разбирайся сам.
- ты явно плохо разбираешься в материале.
Без комментариев.
2. "Незнание закона не освобождает от ответственности. Зато знание -
запросто." Вот как раз упование на денежную или уголовную ответственность -
это и есть ложная безопасность. Предел моего доверия, если оно
обеспечивается денежным или правовым механизмом, всегда будет очень и
очень ограничен.
Вы доверяете "честному слову" больше, чем денежной или уголовной
ответственности за это слово. Для меня честно говоря это странно, как
это странно и для всех больших предприятий и особенно банков. Может Вы
их тоже попробуете переубедить?
Потому что если "он" знает законы лучше
меня, он, скорее всего, найдет способ меня обмануть.
Идея с одной стороны правильная, но только государство контролирует эти
организации, чтобы они Вас не обманули. Так же контролируется постоянно
и работа этих организаций. Чего абсолютно нельзя сказать о Вас как о
"доверчивом лице".
Большее доверие - это только личные или
откровенно бескорыстные отношения.
Как бы я хотел в тот мир попасть в котором Вы витаете.
Женя
