PGP的问题

马修·格林好帖子关于PGP的问题以及应该做些什么

编辑后添加(9/12):相关的的帖子

8月25日发布,2014年下午12:04•89条评论

评论

亚历克斯8月25日,2014年一14点

在过去的几周里,似乎有人齐心协力攻击PGP,首先是这个:
http://thehackernews.com/2014/08/cryptography-expert-pgp-encryption-is_19.html
然后是:
http://www.cs.tau.ac.il/~tromer/握手/
现在是布鲁斯的帖子。

当然,PGP密钥管理很糟糕,所以让我们制定一个标准,这样国家安全局可以使用标准工具来检索它们。要找到每个笨蛋把钥匙放在哪里太麻烦了。
(PS如果您可以通过触摸计算机的外部设备访问PGP密钥,窃取整个数据怎么样?为什么只有PGP密钥?)

stbenjam8月25日,2014年下午1:26

它可能并不完美,但是作者描述事物的方式,我们要找到一个完全替代电子邮件的方法,并在上面添加各种酷的功能。有很多雄心勃勃的加密通信服务都试图做到这一点,他们没有成功,因为他们没有被收养。电子邮件不性感,PGP也不是,但它们确实有效,而且无处不在。

我想我们应该很高兴谷歌和雅虎采用了现有的开放标准,他们没有发明自己的,使一些更有趣的比特,比如Gmail背后的密钥交换成为专有的,厌倦了,几年后就变成了废弃品。

Gweihir8月25日,2014年34点

我认为这是一个没有根据的帖子,由另一个用户没有得到它,想要完美的安全免费。这是不可能发生的,永远。PGP工作得很好。如果你想找出一些东西,整合电子邮件是可以的。不,不,这不是“错误的用户界面”,它是一个用户界面,需要您学习一些您无论如何都非常需要安全的东西。您可以是(l)用户,也可以拥有安全性。你不可能两者兼得。

像这样的,这篇文章弊大于利,因为它与现实没有关系,需要的是此时不可能发生的事情。

广告8月25日,2014年下午2:58

讨论的大多数问题都是关于使用PGP进行*加密*的。在那里,我觉得还有很多事情要做,由于元数据的泄露,等。

但是,pgp最普遍和最重要的用途是*验证*下载的包。这个世界充满了钓鱼,DNS重定向,以及其他形式的冒充和欺诈。如果您下载最新版本的AwesomeSoftware.zip(可能是Tor或tail或Linux内核?)

大多数下载页面提供一个SHA1和的MD5来验证下载,但是“谁”声称下载的文件是正确的呢?

我知道linux.tar.gz是正确的,因为它与多年前的版本使用相同的密钥进行签名。这个密钥是否真的来自“LinuxTorvalds”,并不重要。或“Greg K-H”或者护照上的人,只是和之前签过字的是同一个人,这是我根据经验所信任的。

PGP签名告诉我两件事:
1)这个包是位正确的,签署。
2)声明正确的人是

广告8月25日,2014年下午3:00

还要注意,验证与电子邮件无关,真的,所以专注于MUA的问题是愚蠢的。

相反,看看Git中的实现,变幻无常,等。

检查签名的浏览器扩展,如果可用,下载将是整齐!

费利克斯8月25日,2014年下午3:07

很有趣的是,有多少人并不真正了解转发保密对于一个协议来说有多重要,在这个协议中,加密消息可以被中间的几个服务器看到。如果您不使用转发保密传输加密的电子邮件(发送方和接收方之间的保密,而不是在各个转移点之间,为什么要在任何情况下使用前向保密呢?

仅仅因为没有更好的开放电子邮件加密标准,并不意味着我们必须捍卫现有的显然不够理想的加密标准,直到痛苦的结局。

大卫·科维斯8月25日,2014年4:03点

本文高度评价椭圆曲线密码,但如果我记错了,这是一个布鲁斯说过我们不能真正信任的算法,因为它是由国家安全局推动的。我们该怎么做呢?本文中的许多论点都取决于ECC键的大小。

费利克斯8月25日,2014年下午4:37

@David Kowis:ECC的主要问题是(通常)经常使用的曲线是由NSA生成的绝对不透明的。人们根本不知道它们是真的随机选择的(正如美国国家安全局声称的那样),还是特别设计的,使解决DLP的创作者更容易。

如果一个人以透明的方式选择椭圆曲线,并采取一定的安全预防措施(如下面列出的那些:http://safecurves.cr.yp.to/),ECC似乎是安全的。

安东尼8月25日,2014年下午4:55

尽管马特在谈论今天存在的问题方面做得很好,我们来谈谈潜在的解决方案以及如何部署它。

人们的想法很小。PGP存在可用性缺陷,应因各种原因减少密钥。SSL有致命的缺陷。电子邮件是小;让我们抽象一些,想出一些更好的……让我们不要只关注基于电子邮件的解决方案-让我们取代大多数加密系统。值得信任的东西。简单的东西,几乎不需要人与人之间的互动。开发人员容易使用的东西。研究存在,让我们将这些吸管实现改进为一个可以工作的系统。通过加密数学来完成系统。

Gweihir8月25日,2014年下午5:00

@QNJ1Y2U:

我知道格林是谁。但他确实把自己塑造成一个“不懂的无知用户”在他的文章中。例如,在电子邮件中要求完全的前向保密是只有某人才能做到的事情,而这些人不(或假装不)理解电子邮件,因为在电子邮件中不能有关键的协商。事实上,电子邮件不需要端到端连接是其主要优势之一。同时,电子邮件非常重要,不会很快被替换,如果。

我认为他的文章没有经过深思熟虑,基本上是在咆哮,要求一些不切实际的东西,我会打电话给做这个的人一个(l)用户,即使是像格林这样的人也应该知道得更好。

阿龙·托彭斯8月25日,2014年下午5:45

作为一个拥有博士学位的人。在cryptogrpahy,我的期望会好很多。这篇文章似乎没有经过深思熟虑,写在充满感情的咆哮下。他混合条件,把责任放在错误的地方,提出不适合使用的建议,把所有的东西都和miniLock做比较(巧妙地和间接地)。我对这篇文章的整体印象不深。

他的一些担忧是合理的,例如,通过纯http/hkp传输关键数据,以及openpgp实现没有正确地验证请求的密钥是否被实际下载。其他,例如在名片上打印公钥,(离线传输密钥数据不切实际,国际海事组织)。

在我看来,有更重要的事情要做,他错过了,例如,在SMTP头中泄漏信息,即使消息体是端到端加密的。他的帖子是指责A & B的完美例子,他应该关心X&Y的时候。

无尾目动物8月25日,2014年12点

我对PGP最大的问题是它试图做太多:

http://tools.ietf.org/html/rfc4880

想要对90页标准有足够的了解来验证实现是否正确吗?我当然不会。

而不是有一个东西可以在阳光下做任何事情(有10个其他的标准重叠)。我们应该有一些模块化的东西,可重复使用,和可核查的组件。文件格式应该只关心数据和元数据是如何编码的,而不是底层算法本身。文件格式不应该关心如何交换密钥,这是别人的问题,等等等等。

这个想法是,与其有一个标准,您有一个简单的和模块化的标准集合,每个标准都完成一个狭义定义的标准,具体的目标。为接口创建一系列标准,然后你有更高级别的标准参考接口,而较低层次的标准则符合接口。你有一个用于密钥交换和验证的接口,你有一个加密接口,您有身份验证和签名的接口,等等等等。

蜻蜓8月25日,2014年下午6:21

@ads——“但是,PGP最普遍和最重要的用途是‘验证’下载的包。”

这是有原因的,即PGP被证明未能达到其最初的预期目的,这就是电子邮件的保密性和不可抵赖性。它恰巧有一个利基的用途,我们也可以把它放在身边,但我们仍然需要一些适用于电子邮件的东西。

不轻信的8月25日,2014年7:09 PM

我也觉得这篇文章不起眼。PGP是最好的工具之一。为什么不鼓励人们使用它而不是改进它?

我刚刚抹去了一个很长时间的讽刺回复。我想马特·格林的意思是好的。但我不会用PGP换谷歌,雅虎,苹果或微软产品。椭圆密钥密码术获得较短的密钥(谁在乎,它们在计算机上,可以作为哈希进行比较?)通过使用国家安全局可能已经破坏的协议。从应用商店获取安全性?光泽。

秘密警察8月25日,2014年7:09 PM

DJ伯恩斯坦的《曲线25519》很好,这是专利/专利的东西和NIST sh曲线的问题。OpenSSH使用它,Tor,其他的很多问题。

像Textsecure这样的东西会比电子邮件更好,它不仅不像古老的电子邮件协议那样在世界各地反弹,而且还具有向前的安全性。2014年我们应该有PM系统,而不是垃圾邮件。

明显上尉8月25日,2014年13点

人们将使用电子邮件。他们中的大多数人将使用网络邮件。任何允许他们加密电子邮件的东西,而不是发送明文,是解决部分批量监控问题的现实方案。一个要求人们集体从电子邮件迁移到新协议的解决方案不是。对于一群痴迷于密码的技术精英来说,这是一个解决方案。

大卫·亨德森8月25日,2014年36点

PGP的信任网络是为小群体设计的,可能是与偏远地区的其他群体进行交流,而这些群体之间的联系有限。

它的威胁模式是为了保护反战活动分子免受FBI/DIA间谍的攻击。

该实现完全不适合于全球电子邮件。

尼克·P8月25日,2014年远点

我在手机上,所以这里有几个要点。以后可能会扩展它。

1.格林似乎讨厌电子邮件,哪个PGP与之相连。电子邮件不会去任何地方,因为它在每个平台上都有效,它是分散的,它不受专利的阻碍,支持许多实施权衡,它也是最普遍的跨平台文件共享工具。

2.格林认为电子邮件需要完全保密。作为一种选择,如果已经交换了公钥,就可以这样做。然而,大多数公司将电子邮件放在不安全的端点上,许多公司希望能够出于安全/遵从性的原因检查流量。PFS在一个方面没有优势,在另一个方面又增加了问题。

3.密钥管理是一个信任决策。它是复杂的,因为它所代表的社会过程是复杂的。通过改进密钥管理,可以显著改进PGP解决方案。可以支持客户机标签的几种样式,例如“个人审查”,机构审查,或“unvetted”。同样的,审查的级别可能是最低的,平均水平,超过平均努力,或者被高度审查。

4.他表现得好像大部分问题都很难处理。然而,有许多工具(esp代理和插件)在PGP或SMIME之上创建了易于使用的电子邮件保护。

5.他没有提到警卫或代理人。下一个,例如,实现两者都允许遗留电子邮件功能,应用所需的任何安全分析,并透明地支持加密。Zimbra也有很多有趣的功能使事情变得更简单,尽管不那么有把握。忽略当前的最佳解决方案,在强调最坏的失败时,是一种选择偏差。

6.他将PGP协议和格式问题合并在一起。你可以保留或打破每个人的传统。一个人的问题更容易解决,了。

第七章。他混合了协议和实现问题。协议可能很难实现。然而,已经存在许多好的实现。然而,他将PGP协议的问题建立在一个糟糕的实现上。我补充说,安全协议的实现比许多协议更容易出错,因为它们更容易出错。

8.他力推ECC,却忽视了美国国家安全局为其申请专利,并对其商业用途有私人要求的事实。谁知道这些要求是什么。同时,RSA专利过期,数学更成熟,它有很多实现,而且在许多廉价的电路板上都有硬件加速器。除非是在美国以外的地方,或者你想要完全是非商业性的使用,否则我就会推广它。

9.加分:他仍然使用PGP而不是其他东西,这意味着在实践中,PGP仍然比其他任何东西都好。*最后一部分在纸上比任何一天都好。,)

jdgalt8月25日,2014年10点43分

除了我们中的一些人需要升级旧版本的GnuPG(谢谢,我想——我发现这篇文章毫无价值。

主要“问题”作者似乎对PGP/GnuPG有不便之处,许多人在建立“信任网”时采取了不安全的捷径能够使用PGP。但他的解决方法是放弃电子邮件,转而使用一些新的替代品,可能是即时消息或网络邮件(两者都是,根据我的经验,更不方便);以及他对“信任之网”安全问题的治疗而是简单地信任X.509 (SSL)证书颁发机构。(任何认为这是一个好主意甚至是理智想法的读者都应该从键入“证书颁发机构”开始在本页右上角的搜索框中,读前10首。需要改变SSL来使用PGP的信任模型,不是亦然。)

如果我错过了什么重要的东西布鲁斯,请这么说。

冬季8月26日2014年12:36 AM

@Gweihir
“例如,要求电子邮件中完美的转发保密,只有某些人不懂(或假装不懂)电子邮件,因为在电子邮件中不能有关键的协商。事实上,电子邮件不需要端到端连接是其主要优势之一。同时,电子邮件非常重要,不会很快被替换,如果。”

如果你需要什么,即。,完全保密,而通信通道无法提供,也就是说,电子邮件,那你应该换掉频道。

对,电子邮件非常重要。但正如每个不可替代的人都可以被取代,电子邮件可以被电子邮件所代替,但同时有更好的安全性和更好的密钥管理。

冬季8月26日2014年3:59 AM

@Dave
reop—合理的隐私预期
我喜欢用这个来替代PGP。”

我喜欢reop的以下特性:

文档中没有真正明确的是用于加密的密钥集与用于解密的密钥集是相同的(即,它不是不对称的)。例如,如果爱丽丝,给鲍勃发信息,用secAlice和pubBob加密,这通常会被Bob用pubAlice和secBob解密。但是secalice和pubbob也可以解密。如果您希望用公钥加密某些机密,然后让该计算机“忘记”如何获取秘密,那不行。

我必须承认,我不完全理解为什么非对称加密会是一个好主意,在这种情况下,公钥可以解密由同一公钥加密的消息?

也许我误解了什么?

亚历克西斯8月26日2014年4:21 AM

也许GPG/PGP——像其他东西一样——可能有更好的设计,编码,实施,可用性和更多。和先生。格林似乎对此有很多技术上的想法。

但先生。格林似乎忘记了(如果不是故意这样做的话),安全性/加密本质上并不是(仅仅)一个技术问题。

事实上安全/加密,基本上,主要,涉及*信任*相关问题:安全意味着需要*直接人工干预和相互关系的信任。永远。不可能有技术上的漏洞。没有完全自动化的信任是安全的。

我们有史以来最好的加密软件,但我们仍然需要人们“直接”相互信任,以实现安全的通信。

更多,安全通信困扰着任何形式的“权威”根本不可能存在,不管他们使用的是哪种加密技术。

克莱夫·罗宾逊8月26日4 2014年28点

@冬天,

在通信方面,有两种基本模式:单工模式和双工模式。它们还具有其他特性,例如是否可以在“脱机”中使用或“在线”模式。虽然单工可以用在任何一种模式双工不能,这对易用性和交付内容的安全性都有重大影响。

电子邮件是一种有效的简单协议,它是内容的一个非常重要的安全优势,如果做得正确,匿名性也一样。双工模式有很多缺点,特别是在内容安全性方面,而且匿名性方面。

从一系列很难吸取的经验教训来看,大多数军事和国防部政府通信在本质上部分或完全是简单的。

任何“需要”的安全方法应对双工模式进行相当大的怀疑,并且应自动将替代单纯形方法视为首选方法,除非可以为双工单纯形模式操作提供重要的案例。

像是完全保密,听起来很诱人,但实际上,这充其量只是一个利基理想,它拖拽着一条巨大的限制和问题的尾巴,而这些限制和问题往往在早期被证明是不可承受和严重限制的。

例如,我们最强的安全工具之一“隔离/分离”在双面打印模式下不工作。在无线电和几乎所有的“广播网络”中一个主要优势是“秘密RX分站”它只在单工传输系统中保持隐蔽。这只是为什么在正向纠错系统中投入如此多的精力的原因之一,该系统编码数据,这样传输错误就可以在RX站请求重复等情况下得到纠正,并给出它的位置。

Tor和其他混合网络系统崩溃的一种方式是当单工模式操作被迫进入双工模式操作时,它提供各种形式的流量分析,这些分析通常提供更重要的“元数据”信息比信息本体的公开更能说明问题。

因此,我非常不愿意放弃电子邮件的简单优势,理由是在潜在攻击表面的一个小区域提供一个小优势,在这种情况下,所假定的优势实际上是由于需要双重模式操作而被削弱的。

冬季8月26日2014年4:44 AM

@Clive
“因此,我非常不愿意放弃电子邮件的简单优势,理由是它在潜在攻击面一个很小的区域提供了一个小优势,所谓的优势实际上是通过要求双工模式操作而丧失的。”

我理解格林的观点,他声称,密钥验证和签名已经打破了单纯形模型。GPG已经需要验证密钥,而且信任网络对于全球电子邮件来说既不透明又破碎,至少他是这么说的。

您的simplex系统需要类似bitmessage的东西,它有自己的(伸缩性?)问题。

我能想到很多人会很好地利用他们的电子邮件中完美的转发安全性。

Tualha8月26日2014年5:00 AM

布鲁斯,鉴于这里提出的许多批评,尤其是Aaron Toponce被撤下,你为什么称之为“好职位”?在我看来,这是一些有效的批评和大量错误信息的草率混合。

伊沃泽尔8月26日2014早上5:15

由于公众愿意接受Windows的每一个版本,为他们安装的OSX或Android以及它的膨胀软件,用更可靠、更安全的系统替换当前的电子邮件系统应该比让人们从Win XP中脱离要容易得多。如果微软和其他公司能够被鼓励与sucrity社区合作,那么一个新的系统可能会推出Windows 9或10以及未来的Android和苹果更新

一个更安全的电子邮件系统的实现将是一个巨大的吸引人的卡片,因为大众正在慢慢意识到,他们的电子通信系统不断泄露信息,并被许多国家的不安全机构蒙骗,企业数据市场和犯罪组织。

不过,易用性是批评软件的一个很糟糕的借口。你需要学习如何驾驶汽车,并获得驾驶执照,一台电脑/智能手机/平板电脑不需要资格或经验。Windows等操作系统的简单性使得“易用性”成为许多人的预期需求。与其经常购买更强大的设备,例如,应该鼓励消费者尝试安装Linux发行版,并编译自定义内核,以利用其老化硬件的真正潜力。那些不愿意学习的人应该被迫采取新的安全措施,在未来的操作系统版本中实现。

然而,试图与公众谈论安全问题就像试图与一只智力有问题的蜗牛谈论量子力学。例如,我的妻子不喜欢她的借记卡被一个流氓网店滥用,但是,试着建议她放弃一点安全措施,不要把她的智能手机用于网上银行业务,她完全忽略了这件事,而且有点轻蔑。公众对任何电子保安事宜,即使在遭抢劫后,仍然不甚感兴趣,被骗和inpersonated。

安全问题是许多人需要吞下的苦口良药。银行诈骗小组今年的工作量又翻了一番,而且只会增加很多,更糟的是,在公众意识到他们醉驾之前,又瞎又笨,所有的门都没锁,也没有安全带。也许一些与当地银行的欺诈部门打交道的经验会鼓励人们对安全采取更好的态度。

顺便说一句,虽然我们经常喜欢,像我这样的安全专家不能总是免费工作,许多人和企业需要意识到这一点。我很高兴为开源项目做出贡献,但如果你的网络或笔记本电脑被恶意软件感染,你可能需要支付一小笔钱,以换取你花上几个小时来清除所有垃圾,同时还能检索和清理被病毒删除的个人文件,因为您可能没有任何类型的备份策略,而且可能仍然需要那20年的客户记录。

evilProxy8月26日2014年6:20 AM

马修·格林的职位不错。他说这篇文章写起来很难,让他觉得不舒服。他的文章中有许多好观点。

PGP和通用加密密码大多是在1990年代编写的,当时CPU非常有限,数据连接非常慢。通读密码学论文,可以发现当时的许多问题,而这些问题现在已经无关紧要了。
需要新的标准,否则我们将继续使用越来越大的密钥,使4096位看起来很小,“分布式破解计算系统”甚至不会闪烁。WEP cap文件解密云服务嘲笑WEP无线密钥,而它是由一个资源有限的人构建的(没错,WEP当然是垃圾)。NSA拥有计算能力和窃听网络设备,可以通过HTTPS代理路由毫无戒心的公众,为您提供他们喜欢的服务,并模仿任何人。

有多少人会费心检查SSL服务器证书或知道如何检查它的指纹?乔·普洛斯对这一切都很感兴趣。Joe Public在他的路由器供应商的论坛上发布了他的路由器的完整细节,并要求管理员推送固件更新,因为他自己不能这么做。Joe Public使用WEP,并且没有更改路由器的密码或IP地址。Joe Public还喜欢安装免费游戏和毫无价值的可疑应用程序。JoePublic为许多Cracker提供免费的无线互联网接入和一个机器人主机,但完全没有意识到这一点。

现在,甚至连警察都在购买UFED Physical Pro这样的设备,它可以克隆你的智能手机密码和其他一切。警察部门越来越多地使用同样的软件来追踪阿富汗的恐怖分子,然后用这个软件来分析当地居民。他们越来越多地要求进行无证搜查,并通过法律强制披露密码和钥匙,即使你没有被怀疑犯罪。

需要改变。一个机构变得制度化,它的主要任务就是自我保护,而不是像最初设想的那样为公众服务。国家安全机构甚至试图改写宪法或完全无视宪法,不完全是“为公众服务”。现在犯罪分子正在研究USB固件植入和利用物联网的无线网状恶意软件,NSA/GCHQ为他们提供了成功的完美环境。曾经尝试过从硬件中卸载固件并检查其是否存在恶意代码,玩得开心吗?注意:{

桑乔·普8月26日2014年6:26 AM

克莱夫关于基础知识的优秀文章,谢谢你!

不幸的是,我们可以跳过任何进一步的讨论,当每个“许可证”的细则(支付或“免费”,例如从所谓的“OS”)可以合法地说“我们不对任何事情负责,你是自己的”我们的“政府”乐意起诉消费者。

赛贝罗斯8月26日2014年6:51我

“好职位?”门槛设得很低。我认为,重复Whitten & Tygar和Garfinkle & Miller的研究结果并不好。这些问题我们已经知道几十年了,他没有在讨论中添加任何新内容。

克祖8月26日2014年7:10 AM

我绝对不是安全专家,但就我所读到的这些评论而言:

先生。绿色环保的建议并不适用于电子邮件,忽视了他提出的完全摆脱电子邮件的建议。

b)人们会使用电子邮件,这永远不会改变,所以我们不需要跟进。

c)电子邮件和PGP很好,也很好用。

d)可用性是愚蠢的,不使用现有产品是人们的过错。

e) ECC被设计破坏,因为美国国家安全局,除了ECC和RSA,永远不会有什么实用的东西。

人们确实改变了他们的习惯。从MySpace到Facebook,从信件到电子邮件,从打电话到添加短信息或即时消息。而且,当周围有可接受的方法时,人们不愿意为看似小的任务学习很多东西,而没有安全或坏的影响。不能开车会对你的生活产生严重的影响(不一定),如果你不开车的话,它能杀人。不能使用邮件安全基本上是无害的,在社会上是可以接受的,而且容易得多。
忽视可用性,因此用户接受会破坏很多东西,因为人们会研究一些不愉快的机制。他们通常甚至不喜欢密码,因为大多数密码策略都是愚蠢的,而且它们经常输入会让人恼火。

这是一个“让我们继续努力吧”,因为如果从来没有接近它,它不会变得更好。

作记号8月26日2014车我

我个人认为马修提出了一些非常好的观点。人们也容易忘记它只是一个博客;这并不是他最好的作品,只是他写在纸上的一些想法。这不是一个论题或提议。

最终,我认为PGP失败是因为没有人能够提供端到端服务。有一个协议,不同的软件和不同的实现。没有人对整件事负责这是一个非常老的解决方案,不能解决今天的复杂威胁。

这也是可用性的噩梦。我试着解释我的一个朋友在我的电子邮件签名中看到我的PGP指纹后,她如何给我发送加密邮件。

你运行什么浏览器?什么操作系统?你从哪里进入你的Hotmail帐户?你的iPad吗?大学吗?我放弃了…说真的,我甚至没有讲到生成键的部分。

我从事IT安全专业工作已经10年了,我也不会向我们的最终用户推荐这样的解决方案。它将被彻底拒绝。密钥管理?核实我在和谁说话?你在开玩笑吧。它们只是超越大多数人的概念。没错。

像Threema和hope Moxie的Signal/TextSecure这样的软件非常有前途。不同层次的信任。从一个供应商跨平台实现。内置的安全。我的朋友可以使用它们;我觉得这就是一切。

温迪·M。格罗斯曼8月26日2014年九11点

3-4年前,我写了一篇关于PGP的(相当不同的)抱怨,基本上说,让避孕起作用的方法太多了,如果避孕的效果和我们看到绝望的父母在街角送孩子的方式一样:http://www.pelicancrossing.net/netwars/2011/10/crypto_the_revenge.html

也就是说,让我担心的是,在发布布鲁斯链接的内容时,可能会使用安全作为借口电子邮件-打开,任何人都可以执行,适用于每个平台,等。-将变成一系列商业控制的专有系统,这些系统只能彼此互操作,让那些想在自己的域上通过自己的服务器发送自己的电子邮件的人无法这样做。

工作组

威廉•李8月26日2014年上午9:15

@David亨德森
该实现完全不适合于全球电子邮件。

确实是这样。它只需要一个而不是一个,交换两条信息:电子邮件地址和公钥。我把我的公钥和我的电子邮件地址发布在我的网站上。任何想和我联系的人可以。这一点也不难。

有人利用过这个吗?不。

这比任何事情都更令我沮丧——甚至是那些对需要安全性大喊大叫的可认证的极客们——当我提到我已经完全准备好将它与email&xmpp/jabber一起使用时——他们立即停止谈论加密,到目前为止,他们都拒绝考虑设置它。

他们似乎也非常喜欢Skype和Outlook。像这样的人要么走人要么停止说话。

回到你的评论,PGP在全球范围内运行良好。完全适用于一对一的交流,事实上,我想说的是,无论大小。这可能是它最薄弱的地方,因为它需要对每一次通勤进行端到端验证——而且它很强大。

温迪·M。格罗斯曼8月26日2014年24点

Iwozere:银行的公共工作,了。最近,我在巴克莱银行(Barclay’s bank)的当地分行用现金付账(为什么不呢?低于20英镑)。出纳员开始强迫我使用手机银行。我说这是不安全的,她还邀请我去参加银行挤兑的辅导课,这样我就能看到它有多安全。(我的意思是*电话*不安全,不是他们的服务,当然。)而且一天又一天,直到我最后看着她的眼睛说,“你不喜欢在这里工作吗?”

她慌乱得忘了在帐单上盖“已付”的戳记。

我认为,如果银行认为认证是一个双向的过程,在这个过程中,银行需要向我们证明自己的身份,并要求我们向他们证明我们的身份,那么许多网络钓鱼问题一开始就可以解决。你“仍然”会听到银行给英国人打电话说“让我带你通过安检”,这应该是神圣的行为。如果他们在20年前开始教导人们期待一个握手过程,在这个过程中双方都交换信息,直到双方都满意为止,我们现在的状况会好很多。我不是安全专家但我第一次接到这样的电话时,早在1991年,我的直接反应是,“你在开玩笑吧。如果你有什么要说的,给我寄封信。”然后挂断了电话。如果我能做到,为什么那些为银行工作的领薪人员不能?

工作组

大规模杀伤性武器8月26日2014年上午9:39

这个站点在创建一个易于设置的PGP客户机方面做得很好,自动生成密钥并易于使用。该网站甚至还有一个YouTube指令网站:
http://gentlegpg.sourceforge.net/

本文中提到的一个问题是加密和向某人发送错误消息的可能性。这个程序有一个与之相对应的检查系统,要求消息文本中包含名称或其他单词。否则,它不会继续加密。

Gweihir8月26日2014年远点

@冬季:

任何关于替换(RFC2822-)电子邮件的建议都是愚蠢的。这实际上是不可行的,其结果很可能比它所取代的严重得多。电子邮件如此普及和成功,而所有竞争对手都失败了,这是有原因的。请回到现实世界中来,不要再提那些貌似实际的理论建议了。

透特8月26日2014晚10点

这里有一个针对每个人的快速调查。

你们当中有多少人每个月至少收到一条PGP/GPG消息(不是来自你自己)?

For me:不For me: S,不。

无尾目动物8月26日2014年41点

@Winter

“你的单工系统需要像比特信息这样的东西,这也有它自己的问题。”

这就是为什么我需要实现我设计的离线消息传递协议。它被设计成在双方之间发送消息的一种方式,除了发送方和接收方之外,没有人能够确定发送方或接收方是谁(匿名连接需要Tor/I2P)。它是有限的,不是用来替代电子邮件的,但它没有“您必须下载并尝试解密所有发送的消息”问题。这不是一个完整的协议,它只是一种文件格式,但是您实际上不需要开发一个特殊的协议,因为您可以在任何地方删除由谷歌索引的消息,并且收件人可以在线搜索它们。它也不允许未经请求的消息(这是功能还是限制?).

它不提供PFS,但它确实有点接近。消息是链的一部分,需要最后一条消息来标识和解密下一条消息。

Anon公司8月26日2014年十一27是

我正在看那篇文章,它使我反胃。
由于“优势”,国家安全局大力宣传推动幼儿保育和教育超过了PGP。在短钥匙中,只有尖叫声:“PGP钥匙太长了,我们无法破解,使用这些更短的键,我们已经知道该怎么做。长期以来,国家安全局一直建议ECC使用短钥匙,鉴于最近的历史,我说:“缓慢而稳定,而且越大越好。”

还是只有我一个人在读这篇文章的时候听到了?

无尾目动物8月26日2014年上午11:43

@Anon

我不相信SEC的曲线,特别是质数曲线有神奇的数字,而它们的选择没有任何理由,而且,在没有解释的情况下,他们使用521位素数曲线而不是512位,这是非常可疑的。就我而言,SEC不应该被信任。我对曲线25519没有同样的感觉,然而,ECC也坚持公开密码分析。

如果国家安全局影响曲线的选择,这样他们就可以打破它,我认为这是他们只能打破特定曲线的原因。如果它们不影响曲线的选择,不影响曲线的断裂,选择无法验证的种子和使用521位素数曲线而不作任何解释是没有任何意义的。

无尾目动物8月26日2014年上午11:54

也就是说,我宁愿他们用曲线511187而不是曲线25519(假设这也行)。

阿龙·托彭斯8月26日2014年12:43下午

@每天几次怎么样?我在mutt配置中设置了规则,当收件人中存在地址时自动加密:,答:,或Bcc:行。假设这包括员工,由于内部基础设施的需要,几乎所有这些都有PGP密钥,我一直在加密和解密邮件。

此外,由于我的PGP钥匙点火政策,我和卡塞特的活动,我每月至少看到2个签署PGP密钥的请求。我用pgp进一步加密我的网站用户名和密码,这需要日常访问。我发送的每封邮件都用我的密钥加密签名,我在几个邮件列表上,和很多人一样。

换句话说,对,PGP用户是一个利基群体。那里没有争论。但是社区中有很多非常活跃的PGP用户。不仅是用户,但是开发人员和其他贡献者。OTR也是如此,或任何其他加密实用程序。

Gweihir8月26日2014年12:57点

@Thoth:目前,我老板在度假,所以我减少到每月15美元,其中大约一半来自恶魔,与工作无关。正常情况是每天好几次。

我还验证了kernel,Tor和GnupG的其他签名。是的,我有完整的邮件集成GNUPG与MUTT。

Anon公司8月26日2014年一下午

@Anura:
我很感谢你的回复但幼儿保育和教育并不能完全缓解我的担忧。正如你所指出的,任意选择的常量似乎意味着NSA有某种选择这些常量的方法,从而使它们具有优势。阿法克,我们不知道这个方法是什么,以及如何/如果可以扩展。据我们所知,如果他们能设计出一条曲线,该方法也可以应用于其他曲线(尽管可能不太方便)。作为一个结果,我个人不愿意推荐ECC,因为一些曲线中存在可疑的后门,而NSA密码实验室以外的人对此并不完全了解。很有可能他们将所有ECC都简化为某个多阶段的问题,其中没有哪个部分比分解键长度更困难——我们完全不知道。

RSA OTOH背后的数学,很简单,很好理解,从美国国家安全局不断(公开和私下)的抱怨来看,相当安全。当然,它需要更长的键长,而且速度较慢,但它没有任何神奇的“相信我们”我们不懂数字。我喜欢那样。

无尾目动物8月26日2014年下午2:54

@Anon

我个人更喜欢diffie-hellman算法而不是rsa。主要原因是临时密钥的性能(RSA不适合大规模使用),密钥确认和消息身份验证也隐式地验证了发送者的身份,因为双方的密钥对都在密钥交换中使用(mac的密钥对比RSA签名短得多)。

同时,向上看,曲线511187是一个东西,但它被称为M-511并被列为安全曲线。我会用它来做我的小项目,除了我只能找到一个实现(RELIC),我不知道它有多好——它也是最近的,2013年10月增加。请注意,这就是为什么我在我的小项目上犹豫不决的原因:RSA不适合我的目的,不想用NIST曲线,可以使用普通的Diffie-Hellman,但它确实占用了更多的空间,因为我需要一个临时密钥,而对于其他算法,则缺少影响——这就是我倾向于使用Curve25519的原因——它是可用的,NaCl做了我需要的一切,但是我不太适应大曲线。

透特8月26日2014年9:17点

很高兴知道有一些活跃的GPG/PGP用户。

关于加密算法,假设国安局参与了大量的算法,我们差不多做完了。Desipte,有些算法是由个人或团体创建的,美国国家安全局可能不会插手(保险箱)。

如果我记错了,2048位的非对称密钥大约是112位的对称密钥大小,为了实现128位的对称密钥强度,您需要一个3072位的非对称密钥。重要的部分是键的强度,根据它的大小和2048位非对称键我们使用的并不像我们想象的那么强(除非我们都使用8192位非对称键),但它仍然足够好。

如果攻击者攻击,他最不想做的事情就是直接对抗密码,而他想做的第一件事就是更简单的事情……TLA。

大多数GPG/PGP程序都有一个固定的存储密钥的位置,其中一些是用低熵密码加密的,另一些仅仅是在原始密钥中加密的。不同的gpg/pgp可能在不同的位置存储密钥,不同的密钥处理方法具有不同的保证程度(通常是低保证)。

一些常见的方法包括引导GPG/PGP程序从特定位置读取密钥(比如Truecrypt卷),但是对于那些不熟悉安全性的人来说,全面的密钥管理是一个令人头痛的问题。

GPG/PGP并不完美,在面对更高级的威胁模型时也没有看到太多的更新,而Matt试图在他的休闲博客上以一种随意的方式以一种咆哮的风格呈现这些模型(尽管他不会把所有的话都当真)。主要观点是GPG/PGP应该随着时间的变化而发展,以处理当前时代更先进的威胁模型。

尼克·P8月26日2014年31点

@托思

我们也知道国安局讨厌PGP虽然他们喜欢绿色喜欢的现代东西。一些人怀疑这是一场虚假信息运动。然而,他们的内部文档显示,基本的和旧的协议对他们来说足够严格,以至于他们总是试图终止它们。良好的PGP配置和实施,(尤指有保证的代理人/警卫)是处理这些问题的较好方法之一。这也类似于国防部和北约的信息系统的运作方式。我总是说他们信任什么来保护他们最私密的东西不受其他TLA的影响,这可以教我们如何保护我们的东西不受他们的影响。好消息是他们发表了很多关于这方面的信息。

戈皮巴拉瓦8月26日2014年10:10点

所有这些关于各种密码系统可用性的讨论都让我想起了一个令人难以置信的神经紧张的电子邮件客户端和加密插件。

那是在20世纪90年代中期的一台Mac电脑上;我不记得是哪个客户。我有一个第三方加密插件。它的工作方式是,点击“发送”然后出现了加密对话框。

当然,如果出于某种原因加密插件不工作或被关闭,您的电子邮件将被发送未经加密。我从没遇到过这种事但打send真的很不舒服。

透特8月26日2014年52点

@Gopiballava
我通常倾向于信任一个独立的gpg/pgp加密程序来完成这项工作,而不是像您描述的那样在邮件客户机中完成。这有点乏味,但这意味着你不去触发快乐点击发送按钮,它也确保邮件客户端的弱点不会影响你的独立加密机。

有一个有趣的基于Java的独立GPG/PGP客户端,称为便携式PGP(HTTP://PPGP.SooCurfGe.NET/),但多年来没有更新。这是一个易于使用GUI的独立加密器的理想概念。左侧只有5个按钮菜单-加密,解密,验证,符号,钥匙圈…没有混乱。遗憾的是,它已经过时很长时间了(内部支持1024个密钥大小),而且它依赖于笨拙的Java unlimited Strength文件进行加密。Java不是最安全的应用程序语言,但是使用简单的想法和GUI是它所做的很好的事情。除了增加密钥和密码支持,这种功能和所有其他GPG/PGP实用程序都可以通过文本编辑模式手动输入密钥。

大卫·亨德森8月27日2014年12:34 AM

@William李,上午9点15分:

我指的是信任网络,还有一种设计,它是在一个密钥签名派对上,从面对面的密钥交换中启动的。

您可以在密钥服务器中发布您的pgp公钥;的确,我的帖子已经贴出来了。除非有用于验证身份的侧通道,很难分配任何程度的信任。

我工作的地方,规定的政策是,安全官员根据内部电话号码签署密钥,到来,和钥匙指纹独奏会。

我认为这在全世界都很难做到。

戴夫·豪8月27日2014年27是

PGP和备选方案的问题是关键验证。

S / Mime吗?X509基础,中情局真的不可信

PGP吗?“知道”的基础,在现实世界中,这意味着你想要信任的钥匙是由一些你从未听说过的人签署的,他们的钥匙是由一些你从未听说过的人签的。在Debian强连接集之外,只有当你能确认带外的钥匙时才有效,一方面,我可以指望有多少人愿意和我一起做这件事(这很奇怪,毕竟)

一些其他的解决方案吗?好吧,还没有人想出一个。有人建议可以使用基于dns的东西,但没人会真的去做DNSSEC,即使其他人可以被诱导去检查它(xkcd有一个意见在这里-http://xkcd.com/1181/)

谷歌和雅虎可以运行他们自己的密钥服务器,为不提供自己密钥的用户动态生成密钥,在他们持有的电子邮件账户上签上自己的钥匙——这太好了,直到国家安全局出现并坚持允许他们“稍微”编辑数据库。-如果您打算依赖于谷歌来判断密钥是否有效,那么使用S/Mime(给定谷歌有它们自己的发出证书)也可以很容易地完成。

我对PGP(或S/MIME)没有任何技术上的问题。你可以很高兴地坚持你的钥匙只支持一个体面的藻类,并坚持任何人你发送加密邮件至少支持(如果不坚持)一个体面的算法。找到一些更好的方法来共享和验证密钥,我不认为有必要重新发明轮子——你可以坚持使用我们现有的系统,而不是试图从头开始建立一个全新的系统。

山羊麦克(配角)8月27日2014年8:57 AM

Nick P:嘿,伙计,好久不说话了!你看!(你相信我在医院里度过了几周前从亚洲旅行中感染的流感吗…)家里有人去世了……我才刚刚开始。我一定是从梯子下走过的,或者杀了一只猫,或者做任何可能会让你倒霉的事情)。

Re PGP:我认为,尽管有缺陷,但它经受住了时间的考验,它的设计必须有一些内在的灵活性和天才,才能做到这一点,并允许其扩张。齐默尔曼的工作做得很合理很好。世界,大多数人认为它的主要弱点可以被视为一个特征,因为它至少是分散的。对,这是可以改进的,我想我们已经讨论过如何在过去做到这一点。问题是-关于PGP(规范或实现包括gnupg)没有什么是不可修复的,我预计它将在未来许多年继续让TLAs头疼,除非量子进步打破了非对称加密。

尼克·P8月27日2014年10:54我

@麦克山羊

很高兴看到你的帖子。我正要给你发邮件但不确定在困难的情况下你是否可以(或将)访问这个帐户。我也想过在某个时候设置一些实时的东西来运行你的一些想法。

他说:“你相信吗,我几个星期前去亚洲旅行时染上流感,住在医院里。”

我以为你说你被困住了,不能去美国但是你能去亚洲吗?嗯?

“家里死了……我才刚刚开始。我一定是从梯子下走过的,或者杀了一只猫,或者做任何你应该做的事情来获得坏运气

听到这个消息我很难过。我的处境也同样艰难,以至于我认真地考虑过,我不能再活一个月了。平静下来,大多数迫在眉睫的问题都解决了,但在任何时候都有相当一部分可能会变成那样。仍在。所以,我感觉你。

再PGP

对,它的灵活性很好。它具有电子邮件的灵活性,这是目前最常用的协议之一。关于你可以用电子邮件做的任何事情,你可以用pgp。大多数问题都是可以解决的。正如上面的评论所指出的,信任网是一种胡说八道的模式,但是PGP很容易支持一对一或小组信任。无论如何,安全性最强的组织和组织都是这样使用它的。然后,如果你只信任来自你认识的团体的关键签约,那么信任网就可以从那里开始,采取强有力的身份识别方法。例如,他们只签下自己认识的人,面对面交流。你仍然对他们发送给你的任何东西进行输入验证,因为他们可能使用Windows,Mac,或Ubuntu。哈哈。

"阻止一些打破非对称密码的量子进步"

这就是为什么我一直在想出一个利用对称加密的方案。更棘手的是,但更强,性能更好。

海豚8月27日2014年12:55 PM

我同意之前关于密钥管理的海报是PGP和PKI最根本的问题。要么必须信任第三方(CA等),要么依赖半安全通道来确定密钥的真实性。这不能怪PGP——一天之内没有比这更好的了。
作者要求进步是对的,为了更好的,更方便和安全的密钥交付机制。不幸的是,人们很少提到NameCoin——这是十多年来最有希望的发展。

Namecoin支持真正分散的密钥分发机制,允许在没有中介或第三方服务器的情况下交换公钥。它依赖于比特币,比如不可变分类账(区块链)来将身份映射到证书或其他加密数据。我鼓励每个人都去看一看——它今天能做的事情令人惊讶,它在网络上得到的关注是如此之少。

相当多的产品已经使用了NameCoin。那个,与主题最密切相关的是,是SecureDolphin-Google Chrome端到端加密扩展,可与雅虎和Gmail一起使用。它使用Namecoin存储和分发X509证书。进去看看Chrome商店

观察者8月27日2014年下午4:12

@ ads(8月25日,2014年2:58 PM):

“大多数下载页面提供[sic*]sha1 sum的MD5来验证下载,但是*谁*声称它是正确的下载文件?“

(*看起来"of"是个打字错误,拟为“或”)

我继续感到惊讶的是,有多少人——包括那些我们认为更了解的人——似乎没有得到这样的结果:一个密码散列/单独一个。不管多强壮,对/authenticate/a文件绝对不执行任何操作。

据我观察,最多,如果不是压倒性多数,在DistroWatch上发布的GNU+Linux版本中,只提供了一个散列(通常只有MD5,有时是SHA1,相对较少的是SHA256),甚至不在HTTPS页面上(它至少提供/some/ degree,即使软弱,验证哈希值实际上是合法文件的正确哈希值),但在一般情况下,未经身份验证的HTTP页面。

五月份在这个博客上发表的一条评论让人想起了一个明显的例子,这个明显的错误是由一个我们认为更了解的人所犯的。

说到需要对软件进行认证,作者写道,

“Authenticode”在Linux世界中,在为新操作系统烧录ISO映像之前,我们可以验证MD5散列。
( //www.vbispy.com/blog/archives/2014/05/forged_ssl_cert.html#c6106038)

我的回答是指出,首先,MD5多年来一直被认为是不受欢迎的,正如我在这篇文章开头所说,即,

即使是最健壮的密码散列,/独自一人/不能超过验证文件的*完整性/完整性*,而不是/authority/。为此,必须以某种方式在散列的/源/中建立信任。

(//www.vbispy.com/blog/archives/2014/05/forged_ssl_cert.html#c6143599)

然后,有问题的海报以一个帖子回应,在承认MD5已被弃用多年后,他立即声称,

但仅仅因为它可以破解并不意味着它是无用的:它使得发布一个损坏的发行版的过程更加昂贵,并且--通过提供身份验证帮助进一步保护软件的实践

在讨论保护数据之前,必须首先保护软件。

这就是全部的答复。正如我们所看到的,我所说的第二点——显然是两个问题中更为关键和更为直接的一个——被完全忽略了。看到这个,我于是回答说,我想详细说明一下,通过举例说明,验证给定文件的完整性或(技术)完整性之间的关键区别,一方面,/验证/,另一方面。(//www.vbispy.com/blog/archives/2014/05/forged_ssl_cert.html_c307745有人可能会说,我提出了与“广告”基本相同的观点我在这篇文章开头引用了他的话,只有更多的话。)

不仅我回复的海报没有回复,而且我似乎是唯一一个注意到了已经做出的令人不安的断言的人,基于文件技术完整性验证过程与认证过程的明显融合。

这一点,鉴于本博客评论者的知识水平,会显得很沮丧。

或者我是不知何故错过了什么?

克莱夫·罗宾逊8月27日2014年下午5:56

@观察者,

我注意到“软件签名”仅仅证明内容而不是代码的质量或安全性已经有几年了(如果你回头看看这个和其他博客就会发现)。

问题是没有办法证明代码没有被“上游”篡改。的代码,签名密钥或流程的持有者也没有足够小心,以至于第三方不能“使用它们”对实际上从未在“官方代码路径”中出现过的恶意代码进行签名。

但是还有一个问题我们必须接受,假设哈希值和证书为了他们的目的而安全。然而,正如布鲁斯在许多场合所指出的,“攻击只会变得更好”正如我们所看到的,尽管针对特定算法开发了许多攻击(FEAL是最不明智的),但可以推广到其他算法。这样就发现了哈希冲突,证书不能改进保理等。这是一个安全的假设,像国家安全局这样的人在许多事情上都落后于曲线,在这方面的研究很可能走在开放社区的前面。

所以是的,代码签名不能证明代码的质量或安全性,但nore目前还在做其他事情……

真正的问题是,有一种方法可以证明给定制造商/供应商的代码生成过程是“它在包上说的是什么”。简单的答案是不,你必须依靠外部过程审计,在最好的情况下,这一点远不是绝对正确的。

角色,由于缺乏一个可靠的过程,我已经不再关心别人怎么想了,我只需陈述观察结果,让他们自己决定。

观察者8月27日2014年36点

@克莱夫。罗宾逊:

我很欣赏你的观点。我想回答一些细节,但我不知道多久我将有必要的时间和心态这样做。因此,我现在将此回复寄出,为了确保不耽误您的回信,并感谢您不厌其烦地写信给我。请接受我的道歉,因为没有这样做,我相信现在是两个例子,你已经书面详细答复我。

山羊麦克(配角)8月28日2014年1点38分到来

尼克:这次亚洲之行与家庭紧急情况有关(没有,我的家人都是白人,但在那边度假)。我们的处境——唯一阻止我的事情(据我所知,我已经提出了相关的信息自由要求,但是谁知道我做了什么秘密清单,或者我的询问是否把我列入了一个清单——那将是讽刺的)目前从西海岸过来的工作。如果我能组织一个稳定的工作,最好是在湾区的某个地方,我会坐下一班飞机。我可能没有必要为之前的一个有点糟糕的项目而担心,我要是在公共论坛上再详细说明就太傻了。没有人受伤,我也没有逃跑,也没有做任何疯狂的事情,但是你知道这些事情是怎么被夸大的。

我知道-是的,这是一个公牛T型的模型,但我猜当你把它和过时的比较时,分层和明显打破X509它开始看起来有点好。我怀疑,考虑到它的通用性,这些问题可以被克服,而不需要把整个东西扔掉。

克莱夫·罗宾逊8月28日2014们全部是

关于WoT和CA,

他们都是三分之一个世纪前那个时代的孩子。一个被认为是无法接受的独裁主义者,另一种方法是提供一种更人性化和更安全的方法——从权威角度——提供认证的方法。

在这两种情况下,基本模型都是错误的,无论是权威机构还是Geekdom,都没有人想改变一些事情,这样用户就可以明智地控制信任。

最主要的错误是人类的行为(角色)和他们是什么(生物个体)之间的关系。一个有权威的组织想要确定的是主体,而不是行动,因为这是一种历史性的方式,权威通过惩罚性的惩罚来控制许多人,为什么公司很少因犯罪而受到惩罚,而这些犯罪对个人来说可能是死刑或无期徒刑或类似的刑罚,为什么像银行家这样的人没有进监狱(集体行动挫败了控制思想的要求)。另一方面,人类知道他们在生活中有很多角色,就像“我会用我的生命相信他”这句古老的军队表达的那样,不是我的钱包”表示人类可以而且通常会基于角色信任他人。布鲁斯在他的故事中提到了这一点。

由于cas和wot都无法区分信任是什么,因为它是一个由用户进行的全无判断调用…

但是,在三分之一个世纪以前,互联网还是一个“极客的玩物”不是一个商业工具,还没有被公认为是人类活动的替代品或补充品。结果,无论是CAs还是WoT都没有让它接近合适。

不幸的是,我们已经迅速发展了这些模型,不是基于我们作为社会中的人类所重要的东西,而是基于那些不正常或严酷的实体想要的东西,这些东西使我们的生活变得不容易。

举个例子,试着让网页浏览器设计人员为转变角色打下基础,而不是基于生物学的信任……你要么被忽视,或者说没人想要,或者NIH / NPII的一大堆理由归结为“我们有不承认不改变的理由,因为奴隶/冲浪者和其他商品人类没有任何权利,我们不会以任何方式给予他们任何权利。”

Wot认为人们仍然是“本地人”也可用于商业或贸易等方面。这显然是错误的,因此,“信任”变得模糊,并受到虚假夸大(eBay声誉等)。

中科院不仅没有像那些认为世界卫生组织的人所预期的那样成功,但在很多方面,他们并没有预测到。最糟糕的是,传统的CA模型没有包含对证书颁发者的任何责任,因此,除了以尽可能低的成本发行certs以外,没有什么动机去做其他事情。这也有一个反常的动机,即尽可能多地使用CAs,从而彻底打破了传统的模式。

我们需要的是有坚实可靠基础的新事物,就像关于微软产品的一个老笑话“如果问题的答案是CA / WoT,那么你可能问错了问题”……

山羊麦克(配角)8月28日2014年19点

克莱夫:我通常不会回复说我同意,但你的帖子雄辩地总结了我要评论的所有内容。;-)

我要补充的唯一一件事是,令人惊讶的是,这是非常基本的,2014年仍然存在。没有可靠的解决“信任”的方法问题密码系统很容易受到我们以前在PGP密钥服务器和恶意密钥等方面遇到的所有问题的影响。我不是说这是一个容易解决的问题,但有人会认为,密码客和一般的加密爱好者,更不用说商业利益,将有足够的动机来解决它。当然,你也可以辩称,政府在确保这一点上有既得利益。

尼克·P8月28日2014年上午11:31

@麦克山羊

我想我们可以想出更好的解决办法。事实上,*商业利益和政府都有既得利益来确保它被破坏。商业化的原因是他们想要便宜的东西,整合,和集中。他们的典型用例需要在网络和端点中使用大量高度可靠的组件,这意味着他们的权衡是无法满足的。他们采用的是低保证方法,破坏大多数信任协议。政府有自己的动机,尽管狮子座的人(如联邦调查局)确实需要强有力的认证。只是国家安全局更强大,更聪明的,并负责COMSEC/评估。

比特币和P2P模型(esp darknet/f2f)的成功表明分散模型可能有效。问题是什么模型。我将包括一种方法,让用户声明他们对每个节点的信任评级,。来自运行Windows Server的服务的数据比来自Cambrige cherir - bsd机器的数据风险更大。

山羊麦克(配角)8月28日2014年下午5:21

尼克:事实上,我有一些我认为合理的想法,关于如何将加密货币式的工作证明概念与传统的信任网络相结合。我想和你们进一步讨论一下这个问题作为一个想法丰富和时间贫乏的人很难从一个概念甚至是一篇论文得到一个可用的alpha。

我认为通过a)使密钥生成在计算上花费昂贵(显然子密钥是免费的)和b)通过强迫那些为他人担保的人把钱放在他们的口口相传的地方来扩展WoT…一个混合的CA模型,其中身份验证是众包的,也可能是一个潜在的解决方案。

在把我送到太平洋彼岸的家庭危机迫使我暂停所有的项目之前,我写了一个概念密钥服务器的证明,它松散地基于SKS代码,但主要区别是web界面和如何管理钥匙esp老化旧钥匙没有查询的很长一段时间,以避免目前最大的一个问题我们有古老的钥匙,早已失去了(和撤销证书长走得)堆满了旧服务器的关键。这是我思考了一段时间的事情,我相信虽然这个问题不能“解决”您当然可以部分地减轻许多问题。我对运行密钥服务器的主要兴趣是对blogsig工作的辅助,它现在是alpha质量,我有一个有效的firefox扩展以及emacs(为什么不;-)。

巴克8月28日2014年17点

@Clive

拥有透明后端密钥服务器的模型基于这样一个前提,即用户愿意信任集中式服务的安全性,只要它受到公众监督,如果它被破坏了,就很容易被发现
我叫FUD !
基于分散的地方/个人“可信任性”社区,发现伪造/冒充行为更为可行/合理……

尼克·P8月28日2014年34点

单击证书透明链接后,我得到一个SSL连接错误(“协议错误”)。我还是会读这些东西的,但是如果他们不能马上得到SSL的话……鲁兹。

透特8月29日2014年2:40 AM

发布到错误的评论页面的星期五鱿鱼…大声笑。。。所以这是…

@Clive

看来端到端的关键分销模式已经完蛋了。太多的假设。看看评论,也没有很多好的评论。

-
除非真的有可能,它应该模型,但相当好的隐私密钥加密还…

山羊麦克(配角)8月29日2014年12:23下午

尼克:谢谢!这些散列列表的技巧很好。顺便说一句,我很快就会再次写博客,但考虑到有几个人发邮件说我的金丝雀没有更新,我想我最好还是注册一个新文件并发布它在那里。感谢大家的关心,在过去的几个星期里,我们通过电子邮件互相祝福。如果有人想发表评论,我会把讨论转移到星期五的话题上,因为我意识到这已经偏离了主题。

Anon公司8月31日报道,2014年8:53点

布鲁斯,这不是一个好帖子,你知道的。

PGP难以使用的真正原因是几乎没有人真正需要使用它。例如,在我创建PGP密钥后的20多年里,我从来没有一个令人信服的理由用它来实际加密任何消息,除了确认它是有效的*。事实上,我在工作中与之交谈过的每个人都认为他们甚至应该考虑加密他们的电子邮件。我只有一个理由使用它,那就是一个特定的案例,一个客户想把账单数据发送给我以前工作过的公司,但即使这只是一种保护传输中数据的方法——我在端点创建了处理加密和解密过程的自动化程序,所以密钥管理从来就不是问题。

很明显,在更专制的政权中,人们可能会有不同的想法,但是如果你考虑到如果他们处于足够危险的情况下他们觉得他们需要使用加密,他们感到受到威胁的人,很可能对仅仅因为这样做而伤害或监禁他们没有任何愧疚感。)

直到大部分使用电子邮件的人认为他们需要加密邮件,情况总是这样的,PGP基本上是免费的,专用工具,所有随之而来的可用性问题。

*实际上,我将声明我已经使用pgpdisk大约10-15年,以保持个人数据相对安全,但这和我们现在讨论的是两码事。

(不知道,因为我已经介绍了前雇主的一些运营细节)

克里斯9月2日,2014年11:09我

费利克斯:我看过一些关于pgp是个坏主意的帖子,我们的电子邮件加密中应该有fs,但实际上我完全不同意。“加密”是关于多个服务器在其中看到消息的系统。前向保密是指在密钥未来公开的情况下,无法读取过去的消息。问题是,人们想要阅读过去的电子邮件给他们当前的关键。我很难想象在电子邮件类型的系统中,发送方和接收方之间怎么会有FS,即使我们是从一个绿地建立协议。

FS需要同步;电子邮件是一个非常有用的系统,因为它不需要同步(否则人们会使用某种同步消息传递协议,如IM)。为了只加密系统的目的,您可以通过将加密委托给您的电子邮件提供商来实现某种同步,但是你基本上只在传输层上有TLS,这是个好主意,但它不是GPG的替代品。根据定义,如果您真的运行端到端的FS,那么如果电子邮件是昨天发送的,那么您今天就不能阅读电子邮件。(是,我知道,您可以保存临时密钥,以便稍后打开消息,但是,如果您保存的是临时密钥,那么您刚刚创建了一个新的长期密钥,并违反了fs)

你想要去某些地方的原因,但不是电子邮件,有很多协议,你不希望任何人(包括你)能够阅读昨天发生的事情。电子邮件不在其中。

尼克·P9月2日,2014年12:09 PM

@克里斯

”前向保密是指在密钥未来公开的情况下,无法读取过去的消息。问题是,人们想用当前的密钥来读取过去的电子邮件。”

其实很简单。客户机根据需要保留密钥和解密消息。客户端甚至可以在使用主密钥加密密钥之后,用消息存储密钥。电子邮件搜索是事情变得更加棘手的地方。

无尾目动物9月2日,2014年7:41下午

@尼克·P

这并不能真正提供预先保密。如果收件人将来可以解密电子邮件,对手也可以。只有在会话完成后(假设您的pin内存,释放前调零,不要hibernate)。

尼克·P9月2日,2014年10:20 PM

@无尾目动物

这是我能想到的最接近PFS的东西。电子邮件是人们以后保存和使用的东西之一。所以,什么可以用这个要求来近似PFS?这就引出了我的建议。你所说的会疏远绝大多数的电子邮件用户,这是电子邮件安全方法所不能做到的。

无尾目动物9月2日,2014年11点

@尼克·P

是的,这正是问题所在;PFS不适用于电子邮件。设计这样一个系统是很简单的,如果*发送者*受到威胁,电子邮件就无法解密,但不是接收者(RSA根据其自身性质来做前者,发送者可以提供一个临时密钥,因此也可以使用Diffie-Hellman来完成)。在离线系统中,发送方需要能够发送收件人可以解密的内容,而不需要提供单独的密钥。

你能做的最好的事情就是存储用对称密钥加密的电子邮件(在你的机器上解密,不在服务器上!),请可能是密码,可能使用一个关键文件进行哈希(理想情况下存储在USB驱动器上)。但即便如此,你仍然容易受到恶意软件的攻击。

应尽可能使用PFS,也就是发送方和接收方同时在线的任何时间。当不能使用时,你尽你所能,这通常并不多。

克莱夫·罗宾逊9月3日,2014年2:13 AM

@无尾目动物,尼克•P

除了技术上的原因,为什么PFS或其同等产品不能用于电子邮件,是人类和管理的原因。

经理们看待电子邮件就像过去写信件一样,作为应该“归档”的东西…而人类是懒惰的,回复按钮包含了原始信息,因此,双方的收件箱中往往都有完整的电子邮件对话。这是一个没有控制的问题,特别是回复所有按钮和公司邮件列表…

因此,在SMTP和当前的电子邮件实践中,最好假设安全性是“死马”。"停止鞭打它"它不会向新的方向发展。正如曾经被人类和它的特点所困扰的那样,“我们是我们自己最坏的敌人”,或者更神秘地说,“我们遇到了敌人,那就是我们自己”。

另一次9月3日,2014年3:06 AM

他拥有非常有效的PGP点,具有不必要的遗留行李和太多的复杂性,从而导致不安全的实现和使用。

现代PGP客户机支持IDEA或5CAST等算法有何意义?所以90年代的时间旅行者可以给你发送加密的电子邮件?

在研究各种标准和实施时,很容易相信国家安全局故意通过引入不必要的复杂性来破坏这些标准和实施,使安全使用更加困难。以下是一些例子:

-SSLv3于90年代中期发布,它被认为是不安全的。目前,99.3%的web服务器至少支持TLS1.0。为什么没有浏览器,电子邮件客户端和其他软件在3年前放弃了对SSLV3的支持?

-即使是最新的TLS1.2也支持DH-ANON,ECDH-ANON公司,“空加密”,RC4和3 des。这到底是什么意思?如果有人真的想要使用这些选项,当然,他可以使用一个较老的TLS标准吗?

-ZRTP(用于VoIP加密)是从2011年开始的现代标准。但是它需要支持32位HMAC(除了更安全的80位HMAC)。肯定的是,转移这些额外的比特将堵塞现代互联网/讽刺。

-ipsec可能是最著名的例子,所以我不想谈细节

尼克·P9月3日,2014年7:21 AM

@Anon公司

的优点主要是。例外情况是:

“支持IDEA等算法的现代PGP客户端”

主要是为了遗产,但我突然想到了一个主意。这是一个128位密码,在8.5轮版本中发布弱点之前,它已经使用了十多年(针对NSA)。仍然无法破解。发展中的弱点意味着我建议增加轮数,在多层加密中使用它,或者做类似3des的事情。在安全方面,我一直说的一件事是“尝试过,真正胜过小说或新事物”。想法本身证明了足够多,人们有理由把它纳入一个计划。

注:金融系统和微软使用3DES。到目前为止,它还没有破裂。

@杰拉德

谢谢你的链接。

维塞林·邦切夫9月3日,2014年7:48 AM

这里的许多人似乎混淆了PGP和GnuPG——或者至少认为它们是可互换的。他们什么都不是。

如果您正在使用PGP (2.x,真正的物品)然后生成的任何内容都可以被GnuPG理解。

如果你使用GNUPG,您生成的一些东西PGP(甚至GnuPG本身)无法理解,而其他一些东西则非常棘手。

例如:

1)不可能以PGP 2.x可验证的方式用gnupg对二进制文件进行签名。(分离的签名和清晰的签名文本很好。)这是因为gnupg在签名方面不符合rfc1991,pgp 2.x只理解rfc1991。证明:

gpg--sign--rfc1991--armor--output file.asc文件.bin

生成的有符号二进制文件将无法由pgp 2.x甚至gnupg本身验证!原因是GnuPG输出签名包文本包,这与OpenPGP标准是一致的,但是RFC1991标准规定顺序应该完全相反。使用——rfc1991(或——pgp2)选项没有任何帮助。

2)以PGP 2.x可以理解的方式对文件进行签名和加密非常困难,需要5(5!)单独的命令:

gpg—分离符号—本地用户youruserid—输出文件.sig file.txt
gpg--store-z 0--output file.lit file.txt文件
复制/b文件.sig+file.lit file.bin
gpg--no options--no literal--store--compress algo 1--output file.z file.bin
gpg--rfc1991--cipher algo idea--no literal--encrypt--armor--recipientid--output file.asc file.z

留下你的评论

允许HTML:

乔·麦金尼斯(Joe MacInnis)为布鲁斯·施奈尔(Bruce Schneier)拍摄的侧栏照片。