The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Red Hat и Google представили Sigstore, сервис для криптографической верификации кода

10.03.2021 11:01

Компании Red Hat и Google совместно с Университетом Пердью основали проект Sigstore, нацеленный на создание инструментов и сервисов для верификации программного обеспечения при помощи цифровых подписей и ведения публичного лога для подтверждения подлинности (transparency log). Проект будет развиваться под эгидой некоммерческой организации Linux Foundation.

Предложенный проект позволит повысить безопасность каналов распространения программ и защититься от атак, нацеленных на подмену программных компонентов и зависимостей (supply chain). Одной из ключевых проблем с безопасностью в открытом ПО называется сложность проверки источника получения программы и верификации процесса сборки. Например, для проверки целостности релиза большинство проектов используют хеши, но часто необходимая для проверки подлинности информация хранится на незащищенных системах и в общих репозиториях с кодом, в результате компрометации которых атакующие могут подменить необходимые для верификации файлы и, не вызывая подозрений, внедрить вредоносные изменения.

Лишь незначительная часть проектов использует цифровые подписи при распространении релизов из-за сложностей в управлении ключами, распространении открытых ключей и отзыве скомпрометированных ключей. Для того, чтобы верификация имела смысл, также требуется организовать надёжный и безопасный процесс распространения открытых ключей и контрольных сумм. Даже при наличии цифровой подписи многие пользователи игнорируют проверку, так как необходимо потратить время на изучение процесса верификации и понять, какой ключ заслуживает доверия.

Sigstore преподносится как аналог Let’s Encrypt для кода, предоставляющий сертификаты для заверения кода цифровыми подписями и инструментарий для автоматизации проверки. При помощи Sigstore разработчики смогут формировать цифровые подписи для связанных с приложением артефактов, таких как файлы с релизами, образы контейнеров, манифесты и исполняемые файлы. Особенностью Sigstore является то, что используемый для подписи материал отражается в защищённом от внесения изменений публичном логе, который можно использовать для проверки и аудита.

Вместо постоянных ключей в Sigstore применяются короткоживущие эфемерные ключи, которые генерируются на основе полномочий, подтверждённых провайдерами OpenID Connect (на момент генерации ключей для цифровой подписи разработчик идентифицирует себя через провайдера OpenID с привязкой к email). Подлинность ключей проверяется по публичному централизованному логу, который позволяет убедиться, что автор подписи именно тот, за кого себя выдаёт, и подпись сформирована тем же участником, что отвечал за прошлые релизы.

Sigstore предоставляет как готовый сервис, которым уже можно пользоваться, так и набор инструментов, позволяющих развернуть аналогичные сервисы на своём оборудовании. Сервис бесплатен для всех разработчиков и поставщиков ПО, и развёрнут на нейтральной площадке - Linux Foundation. Все компоненты сервиса являются открытыми, написаны на языке Go и распространяются под лицензией Apache 2.0.

Из развиваемых компонентов можно отметить:

  • Rekor - реализация лога для хранения заверенных цифровыми подписями метаданных, отражающих информацию о проектах. Для обеспечения целостности и защиты от искажения данных задним числом применяется древовидная структура "дерево Меркла" (Merkle Tree), в которой каждая ветка верифицирует все нижележащие ветки и узлы благодаря совместному (древовидному) хешированию. Имея конечный хеш, пользователь может удостовериться в корректности всей истории операций, а также в корректности прошлых состояний БД (корневой проверочный хеш нового состояния базы вычисляется с учётом прошлого состояния). Для верификации и добавления новых записей предоставляется RESTful API, а также интерфейс командной строки.
  • Fulcio (SigStore WebPKI) - система для создания удостоверяющих центров (root CA), выдающих короткоживущие сертификаты на основе email, аутентифицированного через OpenID Connect. Время жизни сертификата составляет 20 минут, за которые разработчик должен успеть сформировать цифровую подпись (если в дальнейшем сертификат попадёт к руки злоумышленника, то он уже будет просрочен).
  • Сosign (Container Signing) - инструментарий для формирования подписей к контейнерам, проверки подписей и размещения подписанных контейнеров в репозиториях, совместимых с OCI (Open Container Initiative).


  1. Главная ссылка к новости (https://www.linuxfoundation.or...)
  2. OpenNews: Mozilla внедряет CRLite для проверки проблемных TLS-сертификатов
  3. OpenNews: Google представил Key Transparency, альтернативу серверам криптографических ключей
  4. OpenNews: Рейтинг библиотек, требующих особой проверки безопасности
  5. OpenNews: Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний
  6. OpenNews: Атаковавшие SolarWinds смогли получить доступ к коду Microsoft (дополняется)
Лицензия: CC-BY
Тип: Интересно / К сведению
Короткая ссылка: https://opennet.ru/54731-sigstore
Ключевые слова: sigstore, cert, sign
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (87) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Леголас (ok), 11:38, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    в том же Git можно подписывать коммит - этого недостаточно?
     
     
  • 2.3, Аноним (3), 11:41, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А артефакты чем будешь подписывать?
     
     
  • 3.4, Леголас (ok), 11:44, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    для них хватит и хеша
     
     
  • 4.7, Аноним (3), 11:46, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Хэш для проверки целостности файла, а не для проверки его подлинности. Цитируя новость, «часто необходимая для проверки подлинности информация хранится на незащищенных системах».
     
     
  • 5.11, Аноним (11), 11:58, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > на незащищенных системах

    Незащищённых - как?

     
     
  • 6.15, Таненбаум (?), 12:07, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    да никак (по мнению Google)
     
     
  • 7.87, Синдарин (?), 13:41, 11/03/2021 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Странное это всё.
    Апщемто те же дистры Ubuntu и другого софта, 100лет в обед, как делают поставляют 2х этапную сверку:

    1) На одном сервере: софт, хэш-чексумма от софта в виде
    textplain файла, и pgp(!) подпись этого checksum файла

    2) Чтобы проверить checksum и аутентичность подписи, надо отдельно скачать публичный сертификат этого автора через любой Keystore server (можно альтернативный)

    Как минимум цепочка доверия строится из 2х независимых источников.

    3) По хорошему, это public cert, должен быть тоже не самоизданным CA, а выданным кем то из известных предустановленных Root CA

    Тогда, даже полная компрометация трафика, и всех шифрованных туннелей и https, не сможет без доступа к машине (или приватникам авторских pgp) изобразить подмену всей цепочки доверия (разве что подклеить код так, чтобы через коллизию sha256 исполнить тот же хэш... а если sha512,1024... это уже цена атаки нереального уровня, иначе бы вся крипта давно б была взломана в лоб.

     
     
  • 8.88, Массаракш (?), 14:18, 11/03/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А еще добрая 99 масса не умеет в правильную настройку Secure Boot, по-прежнему ... текст свёрнут, показать
     
  • 6.16, Аноним (3), 12:07, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Качаешь ты файлец через http. А сверяешь его по хэшу, который получил опять-таки через http. Достаточно вклиниться в трафик, чтобы подменить и файл, и хэш.

    Качаешь ты файлец через https. А сверяешь его по хэшу, который получил опять-таки через https. Достаточно ломануть вордпресс-сайтик, чтобы подменить и файл, и хэш.

    Качаешь ты релизный бинарник из гитхаба. А сверяешь его по хэшу, который лежит прямо там на гитхабе в описании к релизу. Достаточно ломануть гитхаб автора, чтобы подменить и файл, и хэш.

     
     
  • 7.20, Леголас (ok), 12:13, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Достаточно вклиниться/ломануть

    так то против лома нет приема

     
     
  • 8.35, InuYasha (??), 12:32, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ага Переводя на язык предыдущего оратора Качаешь ты файлец через https А свер... текст свёрнут, показать
     
     
  • 9.81, mogwai (ok), 10:43, 11/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ссылку на который ты получаешь с того же вордпресс-сайтика Ну, ок, URL для вери... текст свёрнут, показать
     
     
  • 10.85, да ну нах (?), 11:50, 11/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    100500 Первая мысль была ... текст свёрнут, показать
     
  • 7.67, kissmyass (?), 16:18, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А к CA ты по чем будешь ходить, случайно не через TLS?

    И почему доверие к левому центру у меня должно быть больше, чем автору релиза.

     
  • 7.69, Аноним (69), 16:22, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А что редхат нового предлагает? Теперь вместо одного сайта нужно ломануть два? Ну так я на в pastebin/другом git хостере размещу хэш. То же самое. Let's encrypt то проверяет принадлежность домена, а как редхат будет проверять принадлежность софта? Я соберу свой nginx с вредоносом. Назову его "nginx.", размещу на этом сервере и буду втирать что это настоящий nginx/с патчами для васянского дистрибутива (Ubuntu например).
     
     
  • 8.72, msgod (ok), 16:57, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Напиши авторам что ты их взломал ... текст свёрнут, показать
     
  • 7.91, fuggy (ok), 11:53, 12/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А хэш подписан gpg подписью, ключём лица с которым ты встречался лично, или через через цепочку доверия. Потому что просто хэш недостаточно, и потому же можно безопасно размещать хэш на том же сайте, что и артефакт.
     
  • 2.29, Ан О Ним (?), 12:29, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Как отозвать ключ. Например.
    Как применить к бинарным артефактам.

    В принципе, в принципе GPG есть, но нужна инфраструктура.

    Но, опять же, это не должно быть столь сложно, как создание хорошо работающего реквеста на серт, например. А то, что в широком обиходе - сложно и запутано. Множество параметров, учитывающих абсолютно универсальные возможности - очень всё это непригодно для использования как есть.

     
     
  • 3.63, Аноним (-), 15:20, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В принципе, в принципе GPG есть, но нужна инфраструктура.

    Нет, не нужна. Вместо тупых рюшечек, если на то пошло, жабаскрипт должен был заниматься например шифрованием трафика, ты хоть раз слышал об этом от копрораций ? Нет ? А об централизовации всего и вся хранения на их серверах ? Каждую новость ?

     
  • 2.73, anonymous (??), 17:41, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > в том же Git можно подписывать коммит - этого недостаточно?

    Совершенно. По моему опыты работы с gentoo, большая часть работы мейнтенейра - это написание патчей. И эти патчи ни в какие git не попадают.

     
     
  • 3.74, lockywolf (ok), 18:28, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Патчи же должны быть в git гентушной системы портов, или как у них там это называется.
     

  • 1.2, Аноним (3), 11:39, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Две мои любимые корпорации снова принесли пользу обществу.
     
     
  • 2.5, Таненбаум (?), 11:45, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    в свете недавних событий я не удивлён, что шляпа и гугль теперь за пани брата
     
     
  • 3.8, Аноним (3), 11:47, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В свете избирательно подобранных событий, ...
     
  • 3.24, Sgt. Gram (?), 12:19, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > за пани брата

    Долго думал. Так и не смог понять, юмор это или неграмотность.

     
     
  • 4.31, Ан О Ним (?), 12:29, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Современность.
     
     
  • 5.34, Таненбаум (?), 12:32, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Отстраненность. Неопределенность. Безответственность.
     
  • 2.43, YetAnotherOnanym (ok), 12:45, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Две мои любимые корпорации снова нанесли пользу и причинили добро обществу.

    Не благодари.

     
     
  • 3.58, Аноним (58), 14:49, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А я его плюсанул
    Решил, что сарказм
     

  • 1.6, Аноним (6), 11:45, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Опять в какую-то Пердь ехать за сертификатом?)

    А вообще, штука полезная может получиться.

     
     
  • 2.12, Таненбаум (?), 12:00, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А вообще, штука полезная может получиться.

    на самом деле нет

     
  • 2.64, Аноним (-), 15:23, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >  штука полезная может получиться.

    От копрораций ? Полезного ? Это сарказм ?

     
  • 2.84, Аноним (84), 11:47, 11/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >А вообще, штука полезная может получиться.

    Вместо серьёзной цифровой подписи, которая лежит в сейфе, они предлагают слабые подписи, которые заверены через гугло-почту. Хотя если под "может получиться" ты имеешь ввиду захват гуглом контроля над всеми OpenSource проектами, то действительно может получиться.

     

  • 1.9, Аноним (9), 11:51, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Ждем когда llvm будет отказываться компилировать неподписанный код.
     
     
  • 2.14, Леголас (ok), 12:04, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    компилятору для выполнения своих прямых обязанностей нужна будет сеть, ха
     
     
  • 3.18, Аноним (11), 12:10, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Растаманы именно это и пропихивают.
     
  • 3.40, Аноним (40), 12:39, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В Deno это уже из коробки
     
  • 2.51, Аноним (51), 13:19, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А ещё llvm будет отказываться компилировать при обнаружении неинклюзивных имён в исходном коде.
     
  • 2.59, Аноним (58), 14:51, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Гуглошляпа выберет достойных компиляции
    Ко всеобщему благу
     
  • 2.93, макпыф (ok), 18:59, 02/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    да пускай что хочет делает, нафиг он нужен?
     

  • 1.10, Аноним (11), 11:53, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Разработали ещё один метод гашения неугодных? Щёлк - и твоя система невалидная.
     
  • 1.13, Умная Маша (?), 12:03, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    У редхата до сих пор нет воспроизводимых сборок. Подписанный бинарник помогает убедиться, что бинарник собран редхатом, но не гарантирует, что он был собран из конкретных исходников без модификаций. Для этого нужен воспроизводимый процесс сборки: чтобы любой мог дома его повторить и получить байт-в-байт идентичный бинарник.

    Воспроизводимостью [1] давно озаботился Дебиан, подключились SUSE, Arch, FreeBSD, OpenBSD, NixOS, GNU Guix... Последние вообще пилят 100% воспроизводимую систему бутстраппинга, позволяющую собрать компилятор и всю систему с нуля, вообще не используя бинарных артефактов [2]. Космос просто. А редхат играет в security theater и на воспроизводимые сборки кашлять хотел.

    [1] https://reproducible-builds.org/

    [2] https://fosdem.org/2021/schedule/event/gnumes/

     
     
  • 2.17, dkms hello world (?), 12:10, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Может они пока еще не нашли пакетов этой самой воспроизводимой сборки от грегориана?
     
  • 2.36, Аноним (36), 12:34, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Воспроизводимых сборки это очень простая технология. Красная шляпа если бы захотела то выложила воспроизводимых сборки.

    Но вот незадача, их бизнес основан на продаже бинарей! А если будет технология воспроизводимых сборок Красную шляпу будут пересобииать из исходников, бит в бит идентичны продаваемой.

    По этому красная шляпа воспроизводимых сборок иметь не будет.

     
     
  • 3.60, Аноним (60), 14:55, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Бизнес редхата основан на суппорте и консалтинге. Исходники к почти всему ты можешь скачать без проблем.
     
  • 2.41, Аноним (3), 12:39, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Озаботился имеет воспроизводимую сборку Если тебе важно, что кто-то чем-... большой текст свёрнут, показать
     
     
  • 3.47, Умная Маша (?), 12:54, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    У дебиана сейчас воспроизводится примерно 95% пакетов:

    https://tests.reproducible-builds.org/debian/reproducible.html

    У редхата примерно 0%:

    https://tests.reproducible-builds.org/rpms/fedora-23.html

     
  • 3.49, Аноним (49), 12:57, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    федора еще чем-то озабочена? У них там информация по сборкам за 16 год, репозиторий законсервирован

    >А теперь касательно дебьяна, который "озаботился":
    >> Reproducible builds of Debian as a whole is still not a reality, though individual reproducible builds of packages are possible and being done. So while we are making very good progress, it is a stretch to say that Debian is reproducible.

    reproducible packages: 95.5% (bullseye/amd64)
    уж лучше так, чем как федора

     
  • 2.45, Gogi (??), 12:48, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > У редхата до сих пор нет воспроизводимых сборок.

    Не совсем понимаю их смысл. На какой-то стадии Шляпы наканпеляли бинарей. Собрали из них релиз и выложили на офиц.сайте + зеркала. Всегда можно проверить, что образ соотв. оригиналу. Это всё, что нужно сделать обычному юзеру Шляподистра.

    К тому же, если кто-то возьмётся канпелять сам, очевидно, что имеет смысл делать это с учётом всех возможностей локального ПК (набор команд, нужные модули и т.п.). Соотв. бинарь получится вообще другой, зато быстрый и компактный. Так зачем бинари воспроизводить??

     
     
  • 3.53, Аноним (53), 13:26, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы не было как в SolarWinds: https://reproducible-builds.org/reports/2020-12/
     

  • 1.19, Аноним (19), 12:12, 10/03/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +/
     
     
  • 2.21, Леголас (ok), 12:15, 10/03/2021 Скрыто модератором
  • –1 +/
     
     
  • 3.26, Sarcastic scutosaurus (?), 12:22, 10/03/2021 Скрыто модератором
  • +/
     
     
  • 4.37, InuYasha (??), 12:35, 10/03/2021 Скрыто модератором
  • +1 +/
     
  • 4.39, Gogi (??), 12:37, 10/03/2021 Скрыто модератором
  • –1 +/
     
  • 2.30, Аноним (30), 12:29, 10/03/2021 Скрыто модератором
  • +1 +/
     
  • 2.48, YetAnotherOnanym (ok), 12:57, 10/03/2021 Скрыто модератором
  • –1 +/
     

     ....ответы скрыты модератором (6)

  • 1.22, Аноним (22), 12:17, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    transparency log с помощью гугла и красношапки это хохма
     
  • 1.23, Аноним (23), 12:18, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Взломать за 20 минут
     
  • 1.25, Аноним (36), 12:21, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Призываю сообщество игнорировать данную технологию, как способствующюю распростр... большой текст свёрнут, показать
     
     
  • 2.27, Аноним (36), 12:23, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хранить секретные ключи только в офлайне!!
     
     
  • 3.46, Gogi (??), 12:50, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ..и обмениваться на дискетках или QR-кодах на лист А4! :)
     
     
  • 4.54, Аноним (53), 13:28, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лучше лист A4, но с сертификацией паспорта и почты!
     
     
  • 5.57, Аноним (57), 13:56, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    s/сертификацией/верификацией/ - вражеский спелчекер
     
  • 4.80, Аноним (80), 09:47, 11/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не рекомендую. Бумажные QR коды быстро приходят в негодность до нечитаемого состояния.
     
  • 2.42, Gogi (??), 12:44, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Всё это забавно, но как правильно гласит новость:

    > ...из-за сложностей в управлении ключами, распространении открытых ключей и отзыва скомпрометированных ключей.

    Людям нужны удобные инструменты, а не командлайновые перделки с тысячей опций. Общие стандарты не помешали бы - одних только форматов ключей аж 3 штуки и это только которые я знаю!

    Похабно-наплевательское отношение к юзерам (со стороны кр@сн0глазых мамкиных кульхацкеров) приводит к тому, что никто даже не пытается пользоваться чем-то из мира Линукса (и правильно делают).
    Это не юзерам нужны перделки апологетов секты Линуса, а линукс0идам нужны юзеры, которых надо привлекать нормальными программами с хорошей функциональностью и юзабилити, а не вот это вот всё устарелое гогно.

     
     
  • 3.52, Crazy Alex (ok), 13:23, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    То, что нужнен другой баланс между универсальностью и простотой - да, но вот насчёт "линукс0идам нужны юзеры" - это с чего бы? Да пусть лесом идут. Хороший софт пишется для себя, а что для всех выложили - так это чисто по доброте душевной, ну и ради получения обратной связи по багам и, возможно, некоторой помощи.
     
  • 3.55, Аноним (53), 13:33, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Всё это забавно, но как правильно гласит новость:
    > > ...из-за сложностей в управлении ключами, распространении открытых ключей и отзыва скомпрометированных ключей

    Есть ложность хранения закрытых ключей и безопасной процедуры подписывания.

    В остальном решаемо при желании.

     
     
  • 4.56, Аноним (57), 13:55, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    s/ложность/сложность
     
     
  • 5.70, Аноним (30), 16:28, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    s|$|/|
     
  • 3.75, lockywolf (ok), 18:37, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А зачем линуксоидам юзеры, если они всё равно не платят?

    Да, собственно, даже заплатить за линукс для пользователя -- проблема. Шляпа десктоп -- 350 долларов в год. Я бы даже купил, это не так дорого, но в это ни хрена не входит, даже создание тикетов у них в багтрекере.

    А когда я начал искать, кто продаёт саппорт для Слаки -- из всех, кто с 90х у Патрика зарегистрирован, остался работать один товарищ, и тот продаёт админство, а не разработку.

     
  • 3.86, Аноним (84), 12:12, 11/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Людям нужны удобные инструменты, а не командлайновые перделки с тысячей опций

    Людям удобно к своим банковским картам доступ получать через SMS и CVC коды, но безопасности тут близка к нулю. Удобство враг безопасности. Безопасно хранить секретные ключи на отключенном от любых сетей компьютере лежащем в сейфе с механическим кодовым замком и защитой уничтожающей информацию в случае попытки взлома. Удобно ли это? Совершенно точно нет!

     

  • 1.28, InuYasha (??), 12:27, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    У кого-то явно от взлома FartWinds подгорело. Прям полыхнуло. Испепелило. Подорвало. Бомбануло. Разнесло.
     
     
  • 2.38, Аноним (36), 12:36, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Нет, они хотят затормозить внедрение PGP.
     
     
  • 3.65, Аноним (65), 15:34, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как можно затормозить то что не движется?
     
  • 3.71, Sarcastic scutosaurus (?), 16:31, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    30 лет внедряли, успех был близок как никогда, но пришли корпорации бобра и осла и затормозили.
     
     
  • 4.76, Аноним (76), 21:45, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то они постоянно саботируют, а не вот пришли.
     

  • 1.44, Аноним (44), 12:46, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Попахивает эппловской нотаризацией и майкрософтовским смартскрином.
     
  • 1.50, Аноним (50), 13:14, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    RedHat.Google_NIH.und.EEE_feat.LinuxFndtn_BDSM.XXX.mkv.torrent
     
     
  • 2.62, Аноним (62), 15:17, 10/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    .exe
     

  • 1.61, Аноним (61), 14:59, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    какая то бюрократия получается, хочешь поставить ядро - сходи за подписью к Майкрософт, захочешь поставить пакет на поклон к Шляпе или Гуглу =)
    на покупку компьютера у кого взять автограф ? =D
     
  • 1.66, Минона (ok), 15:40, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    запилили бы лучше сервис формальной верификации кода.
     
     
  • 2.83, Аноним (-), 11:46, 11/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Запилили бы умение программировать для некоторых чтоб не писали на всякой хне типа рустоговнястопетонясто и пользовтель сам разберется.
     

  • 1.68, Аноним12345 (?), 16:18, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Безумный мир
     
  • 1.77, Аноним (80), 22:35, 10/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >используемый для подписи материал отражается в защищённом от внесения изменений публичном логе, который можно использовать для проверки и аудита.

    В блокчеине биткоина что-ли?

     
  • 1.82, Аноним (-), 11:42, 11/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > и ведения публичного лога для подтверждения подлинности (transparency log).

    На моём дворе уже 21 год, 21 века. Сука, какие то дебилы зачем то придумали блок-чей. Но его никто не юзает для отслеживания публичной истории. Вообщем программисты толи слепые, толи без рук.

    > Например, для проверки целостности релиза большинство проектов используют хэши,
    >  безопасный процесс распространения открытых ключей и контрольных сумм.

    Контрльная сумма о какому алгоритму хэширования будет считаться? по ненадежному и публично публикуемому.
    Вода в ступе. Но нужная.

     
  • 1.92, Аноним (92), 16:31, 21/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что, вот прям всем удостоверяющим центрам можно доверять?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    A-Real
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру