SSL & PGP = ?

Uncategorized — Антон Марчуков @ 15.02.06 15:13

Here I briefly explain my thoughts about using PGP web of trust for building trust to self-signed SSL certificates. I promise, I will also provide more detailed English article soon.

В последнее время меня всё больше и больше заботит проблема безопасности в интернете. Нет, я достаточно открытый человек, всегда стараюсь публиковать всю информацию, которая может быть хоть сколько то полезна не только мне, но вот что меня действительно беспокоит, так это сопутствующие проблемы: кража личности, подмена и т.д. Наше, да и не только наше, государство в последнее время довольно активно развёртывает системы контроля за трафиком в интернете. Как противовес этому, сейчас мы могли бы и уже пользуемся такими технологиями как SSL и PGP, причём, второй может бесплатно использовать любой человек, но не везде (главным образом в электронной почте), а первый, используется повсеместно, но что бы на него полагаться, необходимо преобрести сертификат у центра сертификации, так решается проблема со взаимным доверием в SSL. В последнее время, всё чаще и чаще встречаются сайты с само-подписными SSL сертификатами, это не может не радовать, это значит, что больше людей начинают задумываться о безопасности передаваемых в интернете данных. Но, использование само-подписных сертификатов не решает вопросы взаимного даверия и тем самым открывает возможность ряда атак, таких, как “man in the middle”, т.е. использование само-подписных SSL сертификатов не безопасно. В PGP же, для взаимного доверия используется web of trust, т.е. люди подписывают ключи друг-друга и на основании этих подписей и уровня доверия к отдельным людям устанаваливается общее доверие к ключу (под доверием тут понимается степень уверенности в том, что данный ключ действительно принадлежит тому лицу, которое в этом ключе указано). И, хотя у такого метода есть свои недостатки, система работает и доступна любому желающему. Одна проблема, PGP не так широко распространён как SSL. Идея, что бы это исправить, заключается в том, что бы установить между привязку между SSL и PGP. Т.е. создавая само-подписной SSL сертификат, пользователь подписывает его отпечаток с помощью своего PGP ключа и публикует его в заранее определённом месте и виде, например, это может быть специальное поле в PGP ключе, поле с ID PGP ключа в SSL сертификате и т.д. PGP ключи прекрастно распространяются с помощью серверов ключей, т.е. осталось лишь научить браузер или другой агент проверять PGP подпись само-подписного SSL сертификата и вычислять доверие по схеме существующей в PGP. Уже сейчас можно делать это вручную или можно создать решение для открытых браузеров, например, браузеров Mozilla. Прошу высказаться о потенциальных уязвимостях, необходимости и применимости такой идеи.

cross posted to superidea


Leave a comment


This work is licensed under a Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.
(c) 2017 Anton Martchukov's Weblog | powered by WordPress with Barecity