Ръководството ти заслужава внимание, но е под въпрос кой от ИТ субектите в БГ пространството ще го реализира.

И все пак, когато си заявил че ще се защитават споменатите обекти с най-високо ниво на сигурност е препоръчително да не се ползват хешове (както си посочил в документа), в които вече има намерени колизии.

Конкретно става въпрос за SHA-1 в този случай.

Така

$ gpg --default-key A038775B --clearsign object-mod.txt

следва да се промени на

$ gpg --default-key A038775B --clearsign --digest-algo RIPEMD160 object-mod.txt

Други хешове в които няма намерени колизии досега са т.нар. SHA-2 (SHA256, SHA384, SHA512, SHA224)

За пълен списък с поддържани алгоритми:

$ gpg --version

И е добре да се повтори паролите да биват избирани подходящо сложни.

[Отговори на този коментар]

Към: > Ниво на сигурност...
От: Beco <vlk __@__ lcpe[ точка ]uni-sofia[ точка ]bg>
На: 9-09-2006@21:37 GMT+2
Оценка: 1/Неутрален

Аз не пиша документ по използване на gnupg, а документ по използване на gnupg за подписване на заявки до RIPE DB. А може би трябваше да напиша и за проблемите с алгоритъма на Тахир ЕлГамал, за проблемите с колизиите в MD5 и прочие?

Опции "по подразбиране" се задават задават във файла

~/.gnupg/options

а не се пишат в команден ред, ЗАЩОТО МОГАТ ДА БЪДАТ ЗАБРАВЕНИ. Колизиите върху SHA-1 са дъвкани повече от година и един оператор в LIR все трябва да е чул за това и да си е настроил файла с опции по подразбиране. Да не говорим, че повечето дистрибуции са коригирали този файл. Използването на pgp/gnupg предполага образоване по темата.

Също така виждам, че хората обичат да четат сензации и цитати. Да, не всеки е математик, но не е зле да се прочете статията на Xiaoyun Wang, Yiqun Lisa Yin, и Hongbo Yu

http://www.infosec.sdu.edu.cn/paper/sha...

за да се види, че метода, който да публикували не е универсален. В пространството на колизии не може да има безброй много колидиращи с един блокове, че дадена колизия задължително да бъде смислена. Т.е. фактът че има колизии и това, че такива могат да се генерират, още не значи, че те може да се използват винаги злонамерено. Вероятността за смислени колизии никак не е голяма.
Редактиран на: 10-09-2006@8:10

[Отговори на този коментар]

---

Към: Към: > Ниво на сигурност...
От: Стефан
На: 9-09-2006@22:17 GMT+2
Оценка: 1/Неутрален

Хубаво, но и моят коментар не фокусира вниманието върху синтаксис на GnuPG, а върху възможните последици от използването му в комбинация с доказано "дефектни" хеширащи функции :) Колкото и малка да е вероятността да се ползват колизии злонамерено, тя съществува. Следователно когато говорим за най-високо ниво на сигурност се съобразяваме с нея. Примерите влияят на хората.

GnuPG не използва ~/.gnupg/options:

# Unless you specify which option file to use (with the command line
# option "--options filename"), GnuPG uses the file ~/.gnupg/gpg.conf
# by default.

А практиката е показала, че е повторените неща рано или късно се запомнят. При евентуална преинсталация, администраторът X ще се сети, че частния ключ и pubkey ring-а му трябват, а файлът с опции може и да забрави да запази.


[Отговори на този коментар]

---

kakto vinagi napisano sys stil i bez izlishna informaciq

[Отговори на този коментар]

tova e metod za podobriavane sigurnostta na hackerite,a ne na obiknovenite potrebiteli!!!

[Отговори на този коментар]

Към: Към: Към: Към: > Ниво на сигурност...
От: Beco <vlk__at__lcpe< dot >uni-sofia< dot >bg>
На: 12-09-2006@17:53 GMT+2
Оценка: 1/Неутрален

Няма какво да се плашиш. За защитата на простаците мисли господ...

[Отговори на този коментар]