Спустя два с половиной года с момента формирования прошлой значительной ветки представлен (https://lists.gnupg.org/pipermail/gnupg-announce/2017q3/0004...) релиз инструментария GnuPG 2.2.0 (https://gnupg.org) (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880 (https://tools.ietf.org/html/rfc4880)) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей.
GnuPG 2.2.0 позиционируется как первый выпуск развивающийся стабильной ветки, в которой продолжат добавляться новые возможности. В ветке 2.1 теперь будут приниматься только корректирующие исправления, а ветка 2.0 переведена в разряд старой стабильной ветки, поддержка которой будет прекращена 31 декабря этого года. Что касается нововведений, то ветка GnuPG 2.2.0 плавно вобрала в себя все изменения, накопленные при подготовке выпусков 2.1.x.
В отличие от прошлых выпусков 2.1.x, в GnuPG 2.2.0 представлено два важных изменения в поведении: Во-первых, прекращена поставка выпусков GnuPG 2.x под именем "gpg2", после установки GnuPG теперь доступен как "gpg" (для установки как gpg2 следует явно указать при сборке опцию "--enable-gpg-is-gpg2"). Во-вторых, включено по умолчанию автоматическое извлечение ключей из серверов хранения ключей (по умолчанию включена опция '--auto-key-locate "local,wkd"'). Кроме того, в GnuPG agent по умолчанию включена опция "--no-grab", а в команду импорта gpg добавлена опция "show-only" для отображения импортируемых данных без их фактического сохранения.Особенности (https://gnupg.org/faq/whats-new-in-2.1.html) GnuPG 2.2, реализованные в процессе развития ветки 2.1.x:
- Добавлена поддержка шифрования с применением алгоритма Curve25519, предложенного Дэниэлом Бернштейном (D. J. Bernstein) и основанного на использовании криптографии по эллиптическим кривым;- Поддержка шифрования по эллиптическим кривым (ECC, Elliptic Curve Cryptography). Поддерживаются NIST P-256/P-384/P-521 и Brainpool P-256/P-384/P-512. По умолчанию применяется алгоритм Curve 25519 и схема цифровой подписи с открытым ключом Ed25519, разработанная Дэниэлом Бернштейном;
- Прекращение поддержки устаревших ключей PGP2, не отвечающих современным требованиям к безопасности из-за использования хэшей MD5;
- Прекращено использование файла "secring.gpg" для хранения закрытых ключей. Доступ к закрытым ключам теперь возможен только через gpg-agent, который хранит ключи в директории private-keys-v1.d. Напрямую gpg к закрытым ключам отныне обращаться не может. Добавлена поддержка слияния закрытых ключей;- Задействован новый формат для локального хранения публичных ключей, обеспечивающий большой прирост производительности для больших таблиц ключей (keyring);
- Упрощён штатный интерфейс генерации ключей (gpg2 --gen-key), который стал более прост для генерации подходящих ключей начинающими пользователями. Для создания ключей теперь можно ввести только имя и email.
- Добавлены команды для создания и подписания ключей из командной строки без дополнительных запросов ввода параметров (например, "gpg2 --batch --quick-gen-key 'Vasyliy Pupkin vasia@example.org' или "gpg2 --quick-sign-key '15CA 723E 2030 A1A8 2505 F3B7 CC10 B501 BD19 AC1C'");
- В Pinentry обеспечена возможность показа полей ввода нового пароля и его подтверждения в одном диалоге;
- Пользователь избавлен от необходимости ручного запуска gpg-agent, который теперь вызывается автоматически из других частей GnuPG;
- Обновлена поддержка смарткарт, добавлена поддержка новых устройств чтения и типов токенов. Добавлена поддержка смарткарт OpenPGP версии 3;
- Улучшена обработка пулов серверов ключей (keyserver), используемых для балансировки нагрузки. Кроме распределения запросов на основе DNS в новой версии представлен процесс dirmngr, распределяющий запросы с учётом возможного выхода из строя отдельных серверов (если сервер не отвечает, выбирается другой сервер);
- По умолчанию теперь для всех пар ключей создаётся отзывающий сертификат (revocation certificate);
- Обеспечена возможность использования gpg-agent на платформе Windows в качестве замены Pageant для Putty;- Улучшен процесс создания сертификатов X.509. Обеспечена возможность экспорта сертификатов X.509 в форматы PKCS#8 и PEM для использования на серверах TLS;
- Интегрирована функция экспорта ключей для SSH в формате для добавления в файл authorized_keys (опция "--export-ssh-key");
- Реализована возможность добавления к существующему ключу дополнительных идентификаторов пользователей и субключей с отдельным временем жизни. Также появилась опция для отзыва идентификатора пользователя из ключа;
- Обеспечена возможность прямого изменения времени окончания жизни первичного ключа;
- Добавлена возможность одновременного использования нескольких кардридеров;- Добавлены новые опции "-f"/"--recipient-file" и "-F"/"--hidden-recipient-file" для прямой загрузки ключей шифрования из заданного файла;
- Реализована возможность использования gpg в качестве фильтра. Добавлены опции "--import-filter" и "--export-filter", которые позволяют на лету изменять ключ без его сохранения, выдавая результат в выходной поток для дальнейшей конвейерной обработки.
URL: https://lists.gnupg.org/pipermail/gnupg-announce/2017q3/0004...
Новость: http://www.opennet.me/opennews/art.shtml?num=47090
Вкуснота!
Роскомпозор и АНБ рыдают кровавыми слезами!
Ой, да ладно там. Все материалы из взломанных почт на Wikileaks какбы намекают нам, что о шифровании и электронных подписях почты не знают и не пользуются никто кроме шифропанков.
> Все материалы из взломанных почт на Wikileaks какбы намекают нам,...на то, что пипл хавает то, что ему скормят.
> Роскомпозор и АНБ рыдают кровавыми слезами!роскомпозор и анб будут рыдать, если криптографию станет использоваться всеми!
Поздно пить боржоми, цыпки :) Ваша винда имеет доступ к телу _до_ его зашифровки. хромокниги я думаю - тоже. Ну и так по всему мясокомбинату ... (С)А криптография на основе СА это вообще ... сколько раз находили и китайские и не-скажу-чьи да и вообще всех кому не лень было - левые корневые сертификаты? А скоро это вообще будет единый на всех летсЫнкрипт у которого хозяева кто? 8-о Честнейшие люди, ага, честнее лоеров и автодиллеров! ;-)
Хороший совет от седожопого Одми'на: eсли у вас есть _реальные_ секреты - не доверяйте их электронике. АЗЪ!
> А криптография на основе СА это вообще_криптография_ на основе сертификатов эти CA использует только для подтверждения подлинности, но не для шифрования. Пока одновременно не случилось mitm+левые корневые у того же самого лица (угадайте, что это должно быть за рыло), в целом, безопасна.
Упорное нежелание браузеров доверять _сертификатам_ а не CA, блокировки китайцев и навязывание всем короткоживущих сертификатов, которые бесполезно хранить, они каждый раз новые, правда, говорит в пользу теории заговора. Тем более что все ключевые параметры в нужных рамках (найти несуществующие/несущественные проблемы в используемом и общедоступном, предложить свою якобы-лучшую альтернативу, ну и то, что денег занести надо, по сути, только гуглю и мазилле)
> Хороший совет от седожопого Одми'на: eсли у вас есть _реальные_ секреты - не доверяйте их
> электронике.был такой народоволец Герман Лопатин. Тоже не доверял технике (электроники, увы, не было). В результате не только сел сам, но сдал ВСЮ свою организацию, потому что хранил у себя чортову прорву документов, шифровать которые вручную ему было некогда.
Капитан, никогда ты не станешь майором..
Неокрепшие умы уже в растеренности
>> eсли у вас есть _реальные_ секретыeсли у вас есть _реальные_ секреты — не нужно пользоваться симметричными криптосистемами.
Спрос на ФАКи по надежному шифрованию — нулевой.
> Поздно пить боржоми, цыпки :) Ваша винда имеет доступ к телу _до_
> его зашифровки. хромокниги я думаю - тоже. Ну и так по
> всему мясокомбинату ... (С)
> А криптография на основе СА это вообще ... сколько раз находили и
> китайские и не-скажу-чьи да и вообще всех кому не лень было
> - левые корневые сертификаты? А скоро это вообще будет единый на
> всех летсЫнкрипт у которого хозяева кто? 8-о Честнейшие люди, ага, честнее
> лоеров и автодиллеров! ;-)
> Хороший совет от седожопого Одми'на: eсли у вас есть _реальные_ секреты -
> не доверяйте их электронике. АЗЪ!На счёт CA мысль непонятна, прямого отношения к GnuPG оно не имеет. GnuPG создавался в первую очередь для шифрования переписки двух лиц!
Никто не мешает на линуксе или винде шифровать сообщение и генерировать ключи на компе не подключенному к сети, затем переносить зашифрованное на комп с интернетом флешкой или хоть компакт-диском и отсылать куда нужно.
Если используете корневые сертификаты на винде, то где-то на сайте микрософт был список минимума корневых сертификатов, чтобы винда работать могла. Можете при старте компа проверять нет ли там лишних сертификатов. В линуксе тоже можно поудалять в браузере: доверия к ним у меня никак не увеличивается, если встречается сайт с выданным ими корневыми сертификатом. Шифруйте в секретке и будем вам счастье - этому правилу лет 100 наверно или больше и до сих пор находятся чудаки, которые не соблюдают его и жалуются, что их секреты утекают!
Всё что может быть выведено на экран — может быть скопировано ©
Для этого майор должен быть за спиной ;)
Сноуден всем рассказал, что совсем не обязательно. И это было уже 10 лет назад.
> Всё что может быть выведено на экран — может быть скопировано ©Тогда остаётся генерировать ключи и шифровать сообщение в своей голове и только потом вводить зашифрованное сообщение в компьютер.
Есть интересно в мире хоть один человек, который может такое сделать по какому-нибудь алгоритму, RSA например? :)
один-два точно есть где нибудь в индии или россии. в силу генетических особенностей такое только там.
Арiйцi ?А тебя их гены как то вот обошли стороной ... такую эпическую :?*;№ несёшь :)
сказка ложь да в ней намёк. а переход на личности это удел адептов нынешней эпохи "авраамических" ценностей, сказка ставшая явью. К счастью там же можно найти и подробное описание конца этой эпохи и их служителей. Будте здоровы!
Звучит сильно, а что если вы все равно ошибаетесь?
> Арiйцi ?
> А тебя их гены как то вот обошли стороной ... такую эпическую
> :?*;№ несёшь :)Выживут те, кто сможет такое делать, остальные через 100 лет будут сидеть в бочке с физрастровом и думать, что живут в реале
Если серьёзно, то читаем Оливера Сакса, «Человек, который принял свою жену за шляпу», глава «Близнецы». Не исключено, что им такое было бы по силам, пока их не «вылечили».
> Если серьёзно, то читаем Оливера Сакса, «Человек, который принял свою жену за
> шляпу», глава «Близнецы». Не исключено, что им такое было бы по
> силам, пока их не «вылечили».Ловко близнецы спички считали, с лёту 111 , точнее три раза по 37. Как то они простыми числами считали всё, не зная что такое простое число или делитель.
Думаю они бы не смогли понять какой-нибудь алгоритм шифрования совсем, так как думали очень поверхностно.
Там ещё упоминается некий Дейз(из другой книги 1903 года), который "не менее за двенадцать лет он составил таблицы множителей и простых чисел для седьмого и почти всего восьмого миллиона – задача, на выполнение которой нормальному человеку, не пользующемуся механическими средствами, не хватило бы целой жизни."
Из известных людей скорей всего с шифрованием в уме справился бы Леонард Эйлер- он много чего вычислял в уме, без всяких компьютеров, обладая при этом выдающимся умом.
Некоторые люди с синдромом Дауна очень хорошо оперируют с цифрами в уме:
https://ru.wikipedia.org/wiki/Синдром_Дауна
> россии. в силу генетических особенностей такое только там.В общем да в чем то вы наверное правы...
https://cs3.pikabu.ru/post_img/2014/03/12/4/1394597505_15878...
У его народа таки да, действительно лишняя хромосома.
Все что в мозгах может быть скопировано экстрасенсом. Не думай!
Поясните вкратце неразбирающемуся... Вот OpenSSL и GnuPG - что для чего нужно?.. Какая-то путаница в голове...
А что тут не понятного! Если в двух словах OpenSSL это открытая реализация SSL, который используют для шифрования трафика, превращая ftp в ftps, http в https и т.д. и т.п. А PGP в основном используется для шифрования почты и подписывания данных. Как-то так!
openssl для потоковых соединений в основном, а gnupg для файлов-почты.
Впрочем на базе openssl можно организовать свой собственный УЦ(удостоверяющий центр) с подписыванием выданных сертификатов. Так что где-то их возможности пересекаются.
Можно также использовать ssl ,чтобы смотреть информацию сертификатах и соединения серверов. То есть, openssl это очень мощный инструмент для исследования соединений, их шифрования, выпуска ключей для безопасных соединений, для использования в разработке программ!
два ответа - и оба, что характерно - неверные. Уровень опеннета, чо.Неразбирающемуся - openssl тебе не нужна вообще, это библиотека такая, используется внутри твоего хрома, и еще миллиона других программ, чаще всего - автоматически и без твоего участия. Для разных целей, название не вполне их отражает. В некоторых специальных случаях приходится пользоваться одноименной утилитой, предоставляющей ручной доступ к некоторым возможностям этой библиотеки, но тебе не пригодится, или будет откуда просто скопипастить команду, не разбираясь как она работает.
gnupg - это просто программа, для шифрования _тобой_ твоей информации или подписывания сообщений (либо обратного - дешифровки кем-то присланной шифровки или проверки чужих подписей). Поскольку "неразбирающемуся" все равно ниасилить ее правильное использование (оно и в принципе не для людей придумано, и авторы ни разу не старались сделать удобно, просто или, хотя бы, надежно, и сама технология сложная), тебе она скорее всего не нужна (все равно ты не сумеешь правильно ее готовить, а видимость безопасности хуже чем ее отсутствие вовсе)
Ну уж ты то отличился! Молодец! Всё по правильному расписал! Если бы не первая строчка, то был бы вообще няшей, а так типичная какаша!
> два ответа - и оба, что характерно - неверные. Уровень опеннета, чо.
> Неразбирающемуся - openssl тебе не нужна вообще, это библиотека такая, используется внутри
> твоего хрома, и еще миллиона других программ, чаще всего - автоматически
> и без твоего участия.Если человек пришёл на опеннет, то для того чтобы чему-нибудь научится, в том числе и работе с этой библиотекой. И как обычно любопытный сначала изучает что-то, а потом это что-то ему в жизни пригодится, а если не пригодится, то он хотя бы своё любопытство удовлетворил. То есть, уже пригодилось ему! Чего ты как Шелдон Купер(ТБВ) сразу принижаешь всех окружающих своими знаниями, думая, что только ты их можешь усвоить? :)
> Если человек пришёл на опеннет, то для того чтобы чему-нибудь научится, вто ему по любому п-ц. ;-)
Тем более если настолько не в теме, что библиотеки с программами путает, а протоколы от их реализации не отличает.> принижаешь всех окружающих своими знаниями, думая, что только ты их можешь
> усвоить? :)да не только - просто странно надеяться получить умные ответы на глупые вопросы. Вот и отвечают те, кто сами в предмете - скажем, э... плавают, хотя это слишком мягко ;-)
Нормальному же пользователю, в общем-то, все эти знания излишни. Ему бы научиться синее от зеленого в адресной...зачеркнуто, непонятной строчке вверху браузера отличать, и значок s/mime в своем аутлуке (высший пилотаж - таки импортировать в него хоть startssl'ский, хоть какой сертификат и начать пользоваться).
Его все равно поимеют, при должном старании, но, возможно, предпочтут вместо этого жертву помягче.А начнет в этом разбираться для повседневного использования - в конце-концов, придет и понимание технологии.
Понтов многовато.Ничего сложного в том, чтобы, допустим, свои сертификаты для того же OpenVPN с помощью OpenSSL генерировать, нет. Там даже понимать нечего - можно тупо выполнить инструкцию.
И если у тебя не спецслужбы в противниках, того же шифрования почты с помощью GPG хватит с головой, и интерфейсы для этого в почтовиках вполне вменяемые. От "любопытства" провайдера, допустим - отлично защитит.
у провайдера останется куча мета-информации, это раз, а где сейчас провайдеры в России есть не сотрудничающие с фсб без всякого судебного постановления? ДА ОНИ ТАМ ПАСУТСЯ В СЕРВЕРНЫХ ДАВНО
> Неразбирающемуся - openssl тебе не нужна вообще, это библиотека такая, используется внутри твоего хромаДа ладно? А бинарник по имени openssl тебе никогда видеть не доводилось?
>> Неразбирающемуся - openssl тебе не нужна вообще, это библиотека такая, используется внутри твоего хрома
> Да ладно? А бинарник по имени openssl тебе никогда видеть не доводилось?Он тремя строчками ниже написал ответ на так мучающий Вас вопрос.
> Поясните вкратце неразбирающемуся... Вот OpenSSL и GnuPG - что для чего нужно?..
> Какая-то путаница в голове...Насколько я понял, в реальном мире без вездеползующих пьяных ФСБшников и Стивов Джобсов, просматривающих твои голые фотки, GnuPG используется в основном для того, чтобы подписывать свои ОТКРЫТЫЕ НЕЗАШИФРОВАННЫЕ письма. Чтобы гнусавые хулиганчики не напортачили от твоего имени распоряжений в почтовой рассылке.
> чтобы подписывать свои ОТКРЫТЫЕ НЕЗАШИФРОВАННЫЕ письма.у вас очень странный мир.
в моем мире 90% использования pgp (как и большинство технологий) используется чтобы зря греть воздух миллиардами ненужных вычислений. В частности, почти каждый незамутненный пользователь линуксов (кроме разьве что генты) автоматически проверяет все бинарные пакеты подписью...ой, ну да - автоприскакавшей ему с дистрибутивного имиджа. Самые параноидальные даже этот самый имидж проверили чексуммой. Чексумму где взяли? А, ну да - там же, на том же даунлоад-сервере, где и имидж, рядом лежал.
С ssl (не опен, а технологией) дела обстоят, разумеется, ничуть не лучше.
Что, конечно, не исключает тех оставшихся 10, где от этих технологий есть хоть какой-то толк (я все же наивно полагаю, что пароль от моих интернет-банков знаю только я и банки, а не админы всех встречных провайдеров до кучи)
Почему не на Go?
GnuPG: 1.0 branch, initially released on September 7, 1999 ("Stable" (2.0), stable version for general use, initially released on November 13, 2006)
Go: Google released Go 1.0 in March 2012Кушай-кушай, мой зелёненький: за маму, за папу, за дядю Столлмана…
> GnuPG: 1.0 branch, initially released on September 7, 1999 ("Stable" (2.0), stable
> version for general use, initially released on November 13, 2006)
> Go: Google released Go 1.0 in March 2012
> Кушай-кушай, мой зелёненький: за маму, за папу, за дядю Столлмана…Немало софта было переписано на другом языке или на других библиотеках или вообще полностью.
Так что это не аргумент, кто раньше появился на свет - это же не люди, а ПО, можно и перекомпилировать и пересоздать :)
> Немало софта было переписано на другом языке или на других библиотеках или вообще полностью.Осталось самая малость - найти тех кому надо и кто сможет это переписать
>> Немало софта было переписано на другом языке или на других библиотеках или вообще полностью.
> Осталось самая малость - найти тех кому надо и кто сможет это
> переписатьнемцы инициаторы создания GnuPG, изначально назывался проект G10 в честь 10 статьи их Конституции, гарантирующей тайну переписки. В нашей конституции это статья 23 пункт 2. "Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения."
Так что, если им(немцам) нужно ради защиты своих прав переписать, они перепишут хоть на Go, хоть на Паскале. Если россиянам нафиг не нужны их права, то они даже использовать GnuPG никогда не будут, а уж тем более переписывать ПО на других языках ради большей безопасности!
Или тупо собрать денюх
> Или тупо собрать денюхдействительно, тупо.
> Осталось самая малость - найти тех кому надо и кто сможет это
> переписатьБольшая часть уже написана: https://godoc.org/golang.org/x/crypto/openpgp
Как можно доверять язычку со сборщиком мусора, если неизвестно, когда он соизволит стереть секретные ключи из памяти?
На любом языке ключи в памяти надо затирать, а только потом уже или освобождать память, или позволять это сделать gc. Кстати, gc можно запустить вручную, не дожидаясь, пока он запустится сам.
gc это вообще для неосилятор free(void*)/delete.
> gc это вообще для неосилятор free(void*)/delete.во всяком случае, если бы openssl или gnupg были бы реализованы на управляемом языке программирования (тот же С#), они были бы гораздо стабильнее и безопаснее, и на opennet мы бы читали гораздо меньше новостей о новых уязвимостях, найденных всюду.
Количество найденных уязвимостей зависит главным образом от количества ищущих (и их квалификации, само собой).
На паскале перепиши, горе-девелопер подвиндовый. C# изначально ни разу не про безопасность. Сборщик может отработать когда-нибудь потом, когда уже всё скомуниздили, ничего для защиты от снятия тупого дампа из таск менеджера там нет, до сих пор даже софт нормально не защитить от потрошения, всякие .NET Reactor'ы - это глюкодром и выдача антивирусным ПО фальспозитивов через раз на пустом месте. Напортачить с дырами там точно так же легко, как в любом другом ЯП. Зато перфоманс, ресурсоёмкость и портируемость мгновенно превращаются в тыкву.
Компании не просто так уже 20 лет говорят об уязвимостях старых ЯП. Не нравится C# - пиши на Go, или Rust. Главное - чтобы язык поддерживал безопасное и управляемое программирование.
Есть вагон реализаций на других языках (Да! Они существуют! Просто вас в гугле забанили!), которые не получают распространения вопреки вашей логике. Когда дело доходит до серьёзных нагрузок, широкого распространения (дальше компа виндодевелопера с УМВР-синдромом) и поддержки, внезапно выясняется, что лучше использовать "вот это вот старое со старыми типа уязвимыми языками" вместо этих смешных поделок на модных и стильных сырых языках ломающих обратную совместимость по три раза за спринт.
> вместо этих смешных поделок
> на модных и стильных сырых языках ломающих обратную совместимость по три
> раза за спринт.Все обратные совместимости меркнут перед главной проблемой старых уязвимых языков. Их разрабатывали не программисты, а учёные. Теперь получается, что с органом стандартизации ISO нельзя просто взять, и заключить партнёрское соглашение. Нельзя нанять правильных разработчиков языка. А ведь это очень важно, вы не задумывались?
Кому нужен этот ваш несексуальный коммунистический си, если ни одна фирма не может на нём толком заработать? Конкретно на самом языке, не на программах конечно. Вот сам язык и не нужен. Это не продукт вообще, а вонючий скучный ГОСТ. Ты когда-нибудь видел, чтобы люди расхваливали ГОСТ ? Вот и не расхваливаю. Это НЕ СЕКСУАЛЬНО!
В тот же Go однажды можно добавить парочку отличных возможностей. Например встроенный Google Hipp.store . Представляешь, сколько био-часов будет сэкономлено?
Мой тебе совет, не отвечай рефлексом на ретрансляции корпоративных лозунгов. Ты имеешь дело не с человеком, а с тысячами человек, объединёнными в одну наглую и предсказуемую систему.
Почитай лучше Вернадского.
Старые языки не сильно уязвимее любых новых, я могу поспорить что на проекте подобного уровня у вас косяков будет на порядки больше, чем у "не программистов, а учёных". Учёные тоже бывают программистами. А программисты (если это действительно программисты) должны быть хоть немного учёными, инженерами и вообще здравомыслящими людьми. При чём тут ISO вообще не ясно. Они вам не запрещают писать реализацию чего угодно на чём угодно и разрабатывать её вполне могут те же индусы, которые пишут библиотечки для C#. Только вот много чего из библиотек работающих в C# до сих пор под капотом на C/C++ остаётся. А ещё за последние лет 15 мне надоело слушать лозунги хипстеров про то, что можно всего лишь купить проц ещё мощнее, да оперативы докупить ещё больше, да сеть сделать ещё быстрее и конечно же SSD поставить лишь бы оно ХОТЬ КАК-ТО шевелилось, и "вообще оптимизации и работающий код - не ~барское~ тыжпрограммиста дело, этим должен заниматься кто-то другой, а тыжпрограммист должен только считать бабло и витать в облаках своих влажных идей". Лишь бы это было безопасно и работало. Стандарты ISO и ГОСТ как раз для того и создавались, чтобы оно работало, а не было какой-то ни с чем несовместимой игрушкой в себе.
Дальше пошла вообще какая-то дичь. Без ПО никому не нужны любые языки. А ваши доводы и подавно. Более того, вполне есть реализации Си на которых зарабатывали, в отличие от этих ваших Го. Ваши половые трудности оставьте при себе.
А ещё я никак не ожидал что вы очень наглый и вас тысяча (психиатр, скорее сюда, тут нехилое раздвоение личности!)
>они были бы гораздо стабильнее и безопаснееи гоооорздо тормознее :) Так что юзать их стали бы все те трое в шапочках из фольги.
> и гоооорздо тормознее :) Так что юзать их стали бы все те трое в шапочках из фольги.все современные процессоры Intel достаточно быстрые
Ещё один админ локалхоста с посещением 1 сам себе злобный буратино в год?
ещё один андроид-разработчик?
> ещё один андроид-разработчик?Нет. Пишу в основном на C# (сюрприз!)
Ты этот OpenSSL смотрел вообще? Там ассемблера полно, если ты не знал (и он там к месту). Какие, к псам, шарпы и управляемые языки?Уж не говоря о том, что там абсолютное большинство проблем - не в переполнении буфера, а в слишком навороченной алгоритмике SSL, позволявшей делать разные фокусы вроде отката на более слабое шифрование.
> Там ассемблера полно, если ты не зналКопаться в ассемблере или File.Encrypt() ? Выбор за вами..
А сколько ассемблерщины в реализации этого самого File.Encrypt(), ты не задумывался?
> А сколько ассемблерщины в реализации этого самого File.Encrypt(), ты не задумывался?Задумайся лучше ты. Если сделать GPG или OpenSSL на .Encrypt , программы будут на пару строчек! Если ты немного разбираешься в финансах - сам понимаешь, чем меньше кода, тем меньше времени затратит разработчик.
OpenSSL как раз и реализует аналоги твоего любимого .Encrypt, чтобы разработчики прикладного ПО могли ими пользоваться. Но ты не привык задумываться о тех, кто написал для тебя .Encrypt, его ведь божественный некрософт принёс тебе на блюдечке, и нет-нет, никакие индусы там не могли набыдлoкодить.
Encrypt имеет здесь важное преимущество. Формализацию. Помнишь, что я говорил о безопасности программирования? Так вот, в случае Encrypt разработчик защищён в том числе и от того, чтобы ненароком не забрести в отладчике внутрь кода, и там потеряться (возможно предварительно накосячив).
Ты не учитываешь, что не все программисты собираются и дальше в будущем этим заниматься, кто-то просто ищет себя, кого-то ждёт 20-летняя карьера повара. Программист НЕ ОБЯЗАН разбираться в том, с чем работает, для того, чтобы называть себя настоящим специалистом.
Копаться в кишках OpenSSL - исключительно удел фанатиков, которые всё никак не могут понять, что могли бы потратить своё "образовательное" время на что-то более полезное, например перестроить мышление на концепции безопасных и управляемых языков Go и Rust.
Очень кстати ты употребил слово "некро". С нетерпением жду, когда Шарп перепишут на Go, тогда он получит все гаранты безопасности, и начнётся чистка всего уязвимого старья.Kernel space, демоны, Шарповым программам будут давать рута.. Как вы там говорили? Нужно знать, как работает линковщик? Хахаха!
> На любом языке ключи в памяти надо затирать, а только потом уже
> или освобождать память, или позволять это сделать gc. Кстати, gc можно
> запустить вручную, не дожидаясь, пока он запустится сам.На любом языке, для начала, очень желательно запретить обмен страниц со свопом этой самой области памяти.
Для этого нужен, как минимум, "настоящий" адрес этой памяти и очень противопоказан GC с "копированием" (без возможности отключения).
Проще уж обойтись в таком случае без GC и вызвать malloc+mlock ручками, если ЯП позволяет.
ЗЫ:
до кучи: не забываем setrlimit на кордамп.
> mlock$ grep -Rl mlock gnupg-2.2.0
gnupg-2.2.0/acinclude.m4
gnupg-2.2.0/NEWS
gnupg-2.2.0/ChangeLog-2011Всё, не пользуемся больше GnuPG.
> Всё, не читаем более неномерных анонимов, не осиливших грепfixed, не благодарите.
grep -iR /tmp/gnupg-2.2.0
NEWS: * We have secure memory on systems which support mlock().
acinclude.m4:# mlock is there a macro using memlk()
> We have secure memory on systems which support mlock(). It is not complete yet,
> because we do not have signal handler which does a cleanup in very case.
> We should also check the ulimit for the user in the case that the admin does not have set a limit on locked pages.
И что дальше, номерной ты наш? Это написано в файле NEWS, в разделе, относящемся к версии 0.2.3 (1998-02-09). А в файле ChangeLog-2011 от 2006-08-16:> configure.ac: Removed test for capabilities and mlock.
То есть выпилили проверку на mlock даже из configure, потому что в коде не используется. Или ты таки исхитрился нагрепать mlock в сишных исходниках?
> И что дальше, номерной ты наш?Откуда мне знать о ваших фантазиях? Ворвались в ветку, гордо заявили о ненужности, потому как якобы gpg не использует, теперь вон резко меняем тему ... так в эту игру можно играть в двоем.
СмотритЯ внимательно, фокус!И раз:
> Это написано в файле NEWS, вВ файле так же написано
> Noteworthy changes in version 2.0.10 (2009-01-12)
> * Libgcrypt 1.4 is now required.Что кстати может подтвердить и пакетный менеджер и/или ldd gpg
http://git.gnupg.org/cgi-bin/gitweb.cgi?p=libgcrypt.git;a=bl...
#if defined(USE_CAPABILITIES) && defined(HAVE_MLOCK)
241 int err;
242
243 cap_set_proc (cap_from_text ("cap_ipc_lock+ep"));
244 err = mlock (p, n);
245 if (err && errno)
246 err = errno;
247 cap_set_proc (cap_from_text
И два:
http://git.gnupg.org/cgi-bin/gitweb.cgi?p=libgcrypt.git;a=co...
author Werner Koch <wk@gnupg.org>
Fri, 9 Dec 2016 13:10:54 +0200 (12:10 +0100)
committer Werner Koch <wk@gnupg.org>
Fri, 9 Dec 2016 13:10:54 +0200 (12:10 +0100)
commit 618b8978f46f4011c11512fd5f30c15e01652e2e
tree a1e669656746e3d22273b3b69b96267b29a47fb1 tree | snapshot
parent 656395ba4cf34f42dda3a120bda3ed1220755a3d commit | diff
Improve handling of mlock error codes.* acinclude.m4 (GNUPG_CHECK_MLOCK): Check also for EAGAIN which is a
legitimate return code and does not indicate a broken mlock().
* src/secmem.c (lock_pool_pages): Test ERR instead of ERRNO which
could have been overwritten by cap_from+text et al.
Мне объяснять, кто такой Вернер Кох?
Блин, про libgcrypt я как раз и забыл. Ну ок, пошёл посыпать голову пеплом.> Ворвались в ветку, гордо заявили о ненужности
Вот не надо только читать между строк то, чего там нет. Ни о нужности, ни о ненужности я не говорил. А кому надо, тот и в go mlock заюзает.
Вова, иди щук ловить.
>включено по умолчанию автоматическое извлечение ключей из серверов хранения ключей (по умолчанию включена опция '--auto-key-locate "local,wkd"').Зонд.
А подробнее? Я в этом зонда как-то не увидел
Например ты скрываешься от американских властей. Почту пользуешь на недоступном для них сервере. Тебе шлют письмо с подписью, почтовик автоматом проверяет подпись, запуская gpg, а gpg лезет за ключом на сервер, — всё, твой адрес спалили, если только ты не завернул весь трафик в tor. Кстати, шифруются ли соединения с серверами ключей?
> Например ты скрываешься от американских властей. Почту пользуешь на недоступном для них
> сервере. Тебе шлют письмо с подписью, почтовик автоматом проверяет подпись, запуская
> gpg, а gpg лезет за ключом на сервер, — всё, твой
> адрес спалили, если только ты не завернул весь трафик в tor.
> Кстати, шифруются ли соединения с серверами ключей?"фаервол на линуксе не нужен" говорили они, "никому не нужны всплывающие окошки с запретить/разрешить" говорили они
да и автозапускающийся (и, вероятнее всего, никогда не выгружающийся) "agent", имеющий доступ к закрытым ключам, подаваемый как замечательное достижение, выглядит ровно тем же самым. Ну конечно же, это ж в разы "безопаснее" банально аккуратного хранения файла secring.Впрочем, у openpgp во всех его реализациях длинная сомнительная история, заставляющая задуматься, кто на самом деле его писатели.
пользуйтесь s/mime, чо.
>Поддержка шифрования по эллиптическим кривым (ECC, Elliptic Curve Cryptography). >Поддерживаются NIST P-256/P-384/P-521 и Brainpool P-256/P-384/P-512. По >умолчанию применяется алгоритм Curve 25519 и схема цифровой подписи с открытым >ключом Ed25519, разработанная Дэниэлом Бернштейном;Zer Gut!
> Zer Gut!Тогда уж
Sehr gut.
прилагательное «хороший» =/= существительное «добро/cкарб»
Тогда уж в рускоязычных форумах нужно писать на русском.
Как долго я ждал этого релиза. Наконец то.
