Linux Foundation, BastionZero и Docker представили новый открытый проект OpenPubKey, развивающий одноимённый криптографический протокол для заверения цифровой подписью произвольных объектов. Технология разработана как совместный проект компаний BastionZero и Docker с целью упрощения заверения цифровыми подписями образов контейнеров Docker для исключения их подмены и подтверждения сборки заявленным создателем. Проект будет развиваться на нейтральной площадке под покровительством организации Linux Foundation, что исключит зависимость от отдельных коммерческих компаний и упростит совместную работу с привлечением сторонних участников. Эталонная реализация OpenPubKey написана на языке Go и распространяется под лицензией Apache 2.0...Подробнее: https://www.opennet.me/opennews/art.shtml?num=59888
Сложна...и непонятно, а чем это отличается от ключа, который я генерирую в GitHub?Вот тебе и привязка к OpenID, подписывай что хочешь. GitHub и так умеет показывать что коммиты верифицированы.
Так в чём отличие? Только я ещё могут менять эти ключи и pgp, а не привязывать один сертификат навечно к аккаунту.
> Сложна...и непонятно,Да ладно?
> OpenPubKey написана на языке Go и распространяется под лицензией Apache 2.0.
По-моему тут все просто и понятно - очередная корпоративная бнопня.
> (Google, GitHub, Microsoft и т.п.).
Вот, можно себе хозяве^W благодетелей выбирать.
> а чем это отличается от ключа, который я генерирую в GitHub?
"Благодетелей" несколько, можно даже юрьев день не ждать!
Можно для глупых: чем это отличается от OpenGPG?
Протокол OpenID не содержит механизмов предотвращения фишинговых атакПользователь может поменять OpenID-провайдера, освободив таким образом свой идентификатор у предыдущего провайдера. Новый пользователь может занять этот идентификатор и использовать его на тех же сайтах, что и предыдущий пользователь.
Тем, что можно использовать вход по OpenID как доказательство того, что подпись поставил ты, а не кто-то левый. Это намного проще, чем получать заверенный сертификат через удостоверяющий центр. Размещать открытые ключи на своём сайте или в БД открытых ключей так себе вариант.
Так в ответе нет сравнения с gpg
Открытый ключ gpg так же буклекуется в сети
и доступен для верификации собственника ключа
и подписей
>Можно для глупых: чем это отличается от OpenGPG?Этим:
> Иными словами, OpenPubkey позволяет привязать криптографические ключи к конкретным пользователям, используя провайдеры OpenID Connect (IdP) вместо удостоверяющих центров.
Может это OpenPGP, в котором каждый может обьявить себя кем хочешь и добавить себя на публичных серверах?
Нет там механизма идентификации в OpenPGP. (Здесь сейчас найдутся фанатики которые будут говорить о web-o-trust) состоящий из нескольких гиков на планете, которым все без оговорочно должны верить, но в реальности, практически все, даже очеь крупные проекты не имеют kросс подписей хотя бы от тех X, Y, Z с веботраста)
> в котором каждый может обьявить себя кем хочешьИ что?
Вот я сделал архив, сборку и тп, и подписал своим ключом gpg
Открытый ключ опубликован в сети. Проверяй не хочу..
Так в чем разница то?
>> в котором каждый может обьявить себя кем хочешь
> И что?
> Вот я сделал архив, сборку и тп, и подписал своим ключом gpg
> Открытый ключ опубликован в сети. Проверяй не хочу..
> Так в чем разница то?:)
А где гарантии того что это твой ключ?
Что криминалу мешает создать такой же ключ с таким же емайлом как у тебя (который даже не проверяется) и опубликовав его как "свежую/новую" версию, потом внедрив бэкдор в твой архив и подписать?
Может ты еще фингерпринт ключа на своем сайте для проверки оставляешь?
Ну так говорят, не ломаемых сайтов - нет
> которым все без оговорочно должны веритьХа.. А почему я должен верить какому то ID,
который так же выдается кому попало?
> Ха.. А почему я должен верить какому то ID,
> который так же выдается кому попало?ну это ж не какие-то там красноглазики, это Серьёзные Организации придумали! красноглазики — они разве ж могут чего сделать нормального, а?
что в этом колхозе серьезного?
нужно лично явиться для верификации с паспортом?
а паспорт проверят на подлинность?
а, как тут лепят ыксперды, что можно везде ключи подменить,
так как эти авторитеты обеспечат защиту от подмены? )))
> а паспорт проверят на подлинность?Ну когда выдают паспорт легально, в ментовке там, или секретариатах, то обычно да, проверяют
> нужно лично явиться для верификации с паспортом?
Если мобила берется по контракту, то да :)
> что в этом колхозе серьезного?
В том что почти везде навязана проверка по 2ФА - через телефон->паспорт->ID
> Ха.. А почему я должен верить какому то ID, который так же выдается кому попало?Вот именно!
Разница только в том что АйД выдаются на "уважаемых", хорошо всем известных платформах, где как известно очень хотят проверить who you are, спросив для исключительно твоей безопасности номерок телефона(который как известно выдается по документам (для простых смертных)) и включив 2FA
> криптографический протокол для заверения цифровой подписью произвольных объектовпроизвольных объектов?
самолёты/поезда? цветущие сады в игровом мире Minecraft? абстрактные объекты познания в математике? объекты моральных ценностей?
точно ли произвольные? 🤔🤔🤔
> самолёты/поезда?У первых есть - колсайн, у вторых тоже к номеркам привязанно
> цветущие сады в игровом мире Minecraft?
Вы не слышали про NFT?
> абстрактные объекты познания в математике?
Лицензии на открытия и изобретения - уникальны
> объекты моральных ценностей?Они у каждого - свои, и в качестве подписи изпользуются инструменты начиная от кулаков и заканчивая ядерными дубинами
> точно ли произвольные? 🤔🤔🤔
Все о чем можно подумать, - можно изложить на "бумаге" и залицензировать, а уж то, что можно потрогать - тем более, уже практически все идентифицированно
> привязка созданных подписей к существующим провайдерам OpenID ConnectНе просто невесть кто, а невесть кто, которого записал у себя другой невесть кто, ни разу оного в глаза не видевший.
И в чем отличие от OpenGPG?
Какие-то васяны понаподписывали друг другу на key signing parties и поэтому мы должны им доверять?
> И в чем отличие от OpenGPG?
> Какие-то васяны понаподписывали друг другу на key signing parties и поэтому мы должны им доверять?в этом плане отличий нет.
но добавляется легкий простой способ проверки подписей рамдомных васянов. а это уже большой шаг, по сравнению с OpenGPG.
Чем непрост способ проверки подписи gpg?
> Чем непрост способ проверки подписи gpg?предварительным обменом ключами.
55525
С кем??? ))))
Вы точно понимаете что такое верификация??
> С кем??? ))))
> Вы точно понимаете что такое верификация??ну расскажи.
Рассказываю:
1. Скачиваешь подписанный пакет
2. Скачиваешь открытый ключ
3. Проверяешь подпись
> 2. Скачиваешь открытый ключ
чей? откуда? как ты можешь доверять этому ключу?
Хочу доверяю, а хочу нет
Собственно, все построенно по этому принципу
Как и в сабже который тут презентуют
Беру дистр Tails. Он распространяется через оф сайт
хеш и ключ выложены.
скачиваю и проверяю.
Не доходит?
Вот тебе докучи ман
https://hackware.ru/?p=8215
просветляйся )
> Вот тебе докучи ман
> https://hackware.ru/?p=8215
> просветляйся )сам просветись.
>> "_ЕСЛИ_ обменяться публичными ключами,"
забыли рассказать _КАК_ это сделать легким простым безопасным способом удостоверяющим что ключ действительно принадлежит тому самому рандомному васяну.
скатились в примитивное howto.
Не забыли.
Просто ты не обучаем.
Инфы полно ЧТО_ДА_КАК
но ты ж из Северной Кореи?
Демагогия без конкретики. Покажи конкретно _безопасный_, простой и подходящий для широкого круга пользователей способ предоставления своих открытых ключей для проверки подписи. Подсказка: публичные серверы ключей безопасным способом не является, привязка к удостоверяющим центрам не является простым, а размещение на своём сайте не безопасный, не простой и не для всех.
> Не забыли.
> Просто ты не обучаем.
> Инфы полно ЧТО_ДА_КАК
> но ты ж из Северной Кореи?судя по тому что, ты трижды не понял вопроса и начал хамить - проблемы с обучаемостью у тебя.
> Не просто невесть кто, а невесть кто, которого записал у себя другой невесть кто, ни разу оного в глаза не видевший.Ну, не совсем невесть кто...
OpenID есть на всех популярных цифровых загонах, где уже без добавления телефона не обойтись, который в свою очередь выдадут под паспортные данные, т.е. однозначно идентифицировав индивидумов.
Цепочка замкнулась... для простых смертных, а те кто знают как получить мобилу не засветившись, или поднять свой ОпенАйД все равно будут мразить, пока поголовно везде нельзя будет достать мобилу без документов, но круг для поиска будет уже значительно меньше
В некотороых случаях "однозначно идентифицировав индивидумов" это хорошо, а не плохо.
Например у меня специальная почта для работы с банками.
Она подписана реальным фио и привязана к реальному телефону.
Не вижу проблемы делать OpenID для соответствующей связки.p.s. а для всего остального есть другая почта)
> В некотороых случаях "однозначно идентифицировав индивидумов" это хорошо, а не плохо.Абсолютно согласен
> Она подписана реальным фио и привязана к реальному телефону.
Найти в андерграунде реальное фио, ну как два пальца. Тоже самое с телефоном, их просто масса зараженных, или можно просто за наличку купить временный и на кассе никто даже не спросит про документы (правда камеры засекут, ну так ведь криминалы могут и бабушку послать).
Поэтому, что PGP, что это изделие, - это полумеры. Второе чуть лучше первого, но все равно - "защита" от честных людей.
Типа нельзя прийти на сходку ПГПшников с поддельным удостоверением личности?
Сомневаюсь что они там тщательно проверяют, ну там на зуб пробуют или ульрафиолетом светятИ получить подпись чувака, который знает чувака, который рядом с Линусом в туалете в соседней кабинке сидел!
доверенный круг, он потому и доверенный
что все члены его доверяют друг другу.
А ты сам себе веришь? Всегда поступаешь по совести?
> доверенный круг, он потому и доверенный что все члены его доверяют друг другу.Один мой знакомый говорил:
- Слушай, не доверяй никому, даже себе не доверяй!
- Ну тут ты вообще погнал...
- Не веришь? Вот Я вчера хотел пернуть и обосрался... даже собсвенной жопе доверять нельзя
> И получить подпись чувака, который знает чувака, который рядом с Линусом в
> туалете в соседней кабинке сидел!Вот именно !
вебо-траст по большому счету существует только в теории
> выдадут под паспортные данные,Который приехал нелегально работать на стройке в МСК )
На него еще 100500 симок офрмлено, поэтому он очень доверенное
лицо в кругу, который он создал корысти ради )))
очередной переусложненный корпоративный шит
отличная идея! теперь пользователи не станут протестовать против того, что всё постоянно звонит домой: ведь это Для Их Же Безопасности!вообще, есть простое правило, которое позволяет определить, хотят ли обмануть: если кто-то в современном мире делает что-то для «большей безопасности пользователей» — значит, как-то обманывает. или планирует обмануть. если вдобавок это какие-то корпорации или foundations — то исключений из правила нет.
Ну не знаю. Мне привязка к OpenID показалось тем гениально простым решением, которое на поверхности но не очевидно, и потом возникает ощущение, как же раньше до этого никто не додумался. В большинстве не критичных ситуаций более чем достаточно подтверждения, что подпись поставил тот, кто владеет таким-то email и проектом на GitHub.
> кто владеет таким-то emailНапример полученным на майлинаторе
> и проектом на GitHub.
Где все еще можно создать левый эккаунт
Ну и будет привязан ключ к левому email и левому аккаунту на GitHub, и будет подтверждение, что подписал именно владелец этих левых аккаунтов. С тем же успехом владелец нормального аккаунта может привязать ключ к себе и подтвердить, что подписал он.
> Ну и будет привязан ключ к левому email и левому аккаунту на
> GitHub, и будет подтверждение, что подписал именно владелец этих левых аккаунтов.
> С тем же успехом владелец нормального аккаунта может привязать ключ к
> себе и подтвердить, что подписал он.И кто из вас двоих - подлинный ? Кому верить? Обоим?
> как же раньше до этого никто не додумалсяНе додумался до чего?
Что зтак восторгает?
> более чем достаточно подтверждения, что подпись поставил тот, кто владеет
> таким-то email и проектом на GitHub.1. подписываем коммиты пгп-ключом.
2. подписываем остальное тем же ключом.
3. ой, получилось плохо: всё работает, а зонд втыкать некуда.
А при проверке как будете доказывать, что загруженный открытый ключ принадлежит создателю, а не подменён? Проблема не в том как подписать, а в том, чтобы посторонний мог получить подтверждение, что открытому ключу можно доверять.
Создатель информирует на своем ресурсе,
что его ключ такой то
ИЛИ размещает на своем ресурсе открытый ключ
ЛИБО и то и это
Напомню, если в курсе, что ключи могут подписываться
доверенными лицами,
типа поручительства достоверности. называются цепочки ключей
> А при проверке как будете доказывать, что загруженный открытый ключ принадлежит создателю,
> а не подменён?а как ты собираешься OpenID проверять?
намекаю: если это репозиторий некоего N, и там все коммиты подписаны одним и тем же ключом — то это, внезапно, ключ вот этого N. больше ничего проверять не надо. удивительным образом всё работает без дурацких танцев с OpenID, и совсем без стукалки кому-то домой, когда проверить захочется.
Смузихлёберы взялись за крипто и идентификацию. Пора надевать каску. Только сперва её купть.> и Docker
> Эталонная реализация OpenPubKey написана на языке Go
> (Google, GitHub, Microsoft и т.п.).Можно, конечно, поднять свой OpenID, но только гарантий, что его не отфутболят, нет.
этим взялись заниматься еще со времен gpg
когда стали публиковать открытые ключи на серверах ))
в чем прорыв данной реализации?
Открытый ключ на серверах может быть подменён, и не факт, что это именно тот открытый ключ, что разместил автор. OpenPubKey решает задачу привязки открытого ключа к автору.
есть круг доверия - это раз.
есть цепочки подписей. - два
три - это как там подменяется?
т.е. все кругом подменяется? )))
так линуксы на подписях сидят ))))
Цепочка подписей и круг доверия - это для крупных сообществ, где люди контактируют друг с другом. Для обычных смертных подобное трансформируется в привязку к удостоверяющим центрам. И там и там всё упирается в необходимость подтвердить, что ты - это ты, и твой ключ - твой. Как распространять подтверждённый ключ не важно, главное - начальное подтверждение. И в этом проблема. Привязка подтверждения к сервисам типа Gmail и GitHub существенно упрощает этот этап.
> Привязка подтверждения к сервисам типа Gmail и
> GitHub существенно упрощает этот этап.да, ты прав: она существенно упрощает этап подмены ключа. потому что ты ним больше не владеешь, ним владеет гугель. ой.
впрочем, летние дети в принципе не понимают принципов владения, ничего удивительного.
Есть ли разница в том, "владеет" твоим ключом Google, удостоверяющий центр или условный Линус Торвальдс? В всех случаях ты делегируешь доверие третьему лицу. В OpenPubKey решается это просто, заверяешь ключ одновременно и в Google и в Microsoft. Только не нужно приплетать теории заговора, что Google и Microsoft пожертвуют своей репутацией, сговорятся и подменят ключ Василия Пупкина.
то есть, ты в принципе не понимаешь, что такое владение и как это работает. q.e.d.
>поле "nonce"Неожиданно.