Názory k článku
Enigform: OpenPGP rozšíření pro Mozilla Firefox
aura:100
25. 5. 2007 7:36
Nový
pekne
Pekny clanok. Najprv som prehliadol nadpis a myslel som si ze sa tu bude rozoberat Thunderbird a rozsirenie Enigmail :-).
Ja uz asi mesiac pouzivam OpenPGP na podpisovanie mailov - v KDE kombinacia KMail a KGpg - konecne mi to funguje.
Mozno by este stalo zato spomenut keyservre a ako to s nimi funguje.
Vdaka
Ja uz asi mesiac pouzivam OpenPGP na podpisovanie mailov - v KDE kombinacia KMail a KGpg - konecne mi to funguje.
Mozno by este stalo zato spomenut keyservre a ako to s nimi funguje.
Vdaka
uživatel si přál zůstat v anonymitě
25. 5. 2007 7:53
Nový
Opravdu je to lepsi nez x509?
celé vlákno
Pro administratora to znamena:
1) Pridat do apache podporu openpgp auth, cili vlastni kompilace (auth_openpgp jsem nenasel ani jako USE flag ani jako specialni balik v gentoo, ani v debianu). Vlastni kompilace neni problem, ale ma nevyhodu: nemuzu si byt jisty bezpecnosti, kdyz si napr. v debianu pridam tuhle podporu - debiani apache je sledovany a aktualizovany
2) Premluvit uzivatele, aby pouzivali prohlizec, ktery tento typ auth podporuje, cili napr. FF s rozsirenim. Pokud jsem dobre videl, tak priklad byl pouze s FF. Funguje tak i MSIE, Opera, Konqueror a ja nevim, co kazdy muze jeste pouzivat?
Pro uzivatele to znamena:
Musi byt omezeny na nejaky prohlizec, ktery umoznuje GPG podepisovani.
Jaky je pritom rozdil od klasickeho x509? Bud si necham zadarmo vystavit certifikat (napr. www.cacert.org mam uz v Gentoo certifikatech), nebo si muzu vytvorit self-signed certifikat podobne jednoduse, jako v opengpg. Nejspis ale budu mit vlastni CA a budu vydavat vlastni certifikaty ke svoji aplikaci. Navic kdyz bude pozadavek na kvalifikovany certifikaty, tak jenom zmenim CA certifikat a funguje to dal.
GPG mam rad, ale zatim se mi tohle reseni zda narocnejsi nez x509. Kdyby to vyzadovalo jenom prekompilovani modulu, tak to neni problem - kdyz to admin bude chtit, tak to pouzije. Ale tady je dulezita souhra admina i uzivatelu.
1) Pridat do apache podporu openpgp auth, cili vlastni kompilace (auth_openpgp jsem nenasel ani jako USE flag ani jako specialni balik v gentoo, ani v debianu). Vlastni kompilace neni problem, ale ma nevyhodu: nemuzu si byt jisty bezpecnosti, kdyz si napr. v debianu pridam tuhle podporu - debiani apache je sledovany a aktualizovany
2) Premluvit uzivatele, aby pouzivali prohlizec, ktery tento typ auth podporuje, cili napr. FF s rozsirenim. Pokud jsem dobre videl, tak priklad byl pouze s FF. Funguje tak i MSIE, Opera, Konqueror a ja nevim, co kazdy muze jeste pouzivat?
Pro uzivatele to znamena:
Musi byt omezeny na nejaky prohlizec, ktery umoznuje GPG podepisovani.
Jaky je pritom rozdil od klasickeho x509? Bud si necham zadarmo vystavit certifikat (napr. www.cacert.org mam uz v Gentoo certifikatech), nebo si muzu vytvorit self-signed certifikat podobne jednoduse, jako v opengpg. Nejspis ale budu mit vlastni CA a budu vydavat vlastni certifikaty ke svoji aplikaci. Navic kdyz bude pozadavek na kvalifikovany certifikaty, tak jenom zmenim CA certifikat a funguje to dal.
GPG mam rad, ale zatim se mi tohle reseni zda narocnejsi nez x509. Kdyby to vyzadovalo jenom prekompilovani modulu, tak to neni problem - kdyz to admin bude chtit, tak to pouzije. Ale tady je dulezita souhra admina i uzivatelu.
Zero (neregistrovaný)
25. 5. 2007 8:33
Nový
Re: Opravdu je to lepsi nez x509?
celé vlákno
jj suhlasim s vami je to dobra myslienka, ale nieje v praxi nasaditelna, jedine iba ak v nejakej firme na intranete...
Franta (neregistrovaný)
25. 5. 2007 16:39
Nový
Re: Opravdu je to lepsi nez x509?
celé vlákno
A proč na tom intranetu nepoužít SSL certifikáty a vlastní certifikační autoritu? Nevidím jediný důvod. Použiji standard dostupný ve všech prohlížečích, nemusím nic doinstalovávat, je to prověřené řešení, na rozdíl od nějakého HTTP-PGP.
luzr (neregistrovaný)
25. 5. 2007 21:35
Nový
Re: Opravdu je to lepsi nez x509?
celé vlákno
Suhlas. K takejto myslienke sa moze uchylit iba clovek, ktory sa myslienkami pohybuje v rozsahu ja a franta mame server a funguje nam to. Na certifikacnu autoritu iba mlati hubou a neuvedomi si, ze overenie stotisicov klientov sa vdaka CA da vykonavat proti jedinemu certifikatu.
28. 5. 2007 0:52
Nový
Re: Opravdu je to lepsi nez x509?
celé vlákno
I v OpenPGP mohu použít něco jako CA. Sto tisíc veřejných OpenPGP klíčů může být podepsaných jedinou autoritou. Je to otázka domluvy / nasazení. U klíčů zaměstnanců mohu například vyžadovat podpis personálního oddělení. Součástí OpenPGP "certifikátů" může být navíc třeba fotografie vlastníka, podpisy jiných oddělení, …
Franta (neregistrovaný)
25. 5. 2007 16:36
Nový
Re: Opravdu je to lepsi nez x509?
celé vlákno
Chtěl jsem napsat úplně stejný příspěvek :-)
Enigform je sice technicky zajímavé řešení, ale postrádá smysl (za SSL certifikáty platit nemusím, stejně jako nemusím platit za PGP klíče) a uživatel je omezen na jeden konkrétní prohlížeč (to přece nechceme, ne?)
Enigform je sice technicky zajímavé řešení, ale postrádá smysl (za SSL certifikáty platit nemusím, stejně jako nemusím platit za PGP klíče) a uživatel je omezen na jeden konkrétní prohlížeč (to přece nechceme, ne?)
Ondrej 'SanTiago' Zajicek (neregistrovaný)
25. 5. 2007 11:35
Nový
PGP a komentare
celé vlákno
Co se tyce PGP a webu tak me napadla jina myslenka - pouzivat modifikaci klasickeho (inline) PGP formatu pro podepisovani komentaru we webovych diskusich. Oproti pouziti v e-mailu by nejspis bylo treba nejak kanonizovat whitespace pred podpisem a overenim.
25. 5. 2007 15:56
Nový
Re: PGP a komentare
celé vlákno
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
S podepisovanim komentaru neni problem.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.7 (GNU/Linux)
Comment: http://firegpg.tuxfamily.org
iD8DBQFGVujyxNd3hwNeF68RAs5wAKCn2/isTnDc4y2KCBzbIawRLjJMdwCgxrEh
v61XDYHMHCba1UBdmXtgmKk=
=B1eP
-----END PGP SIGNATURE-----
Hash: SHA1
S podepisovanim komentaru neni problem.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.7 (GNU/Linux)
Comment: http://firegpg.tuxfamily.org
iD8DBQFGVujyxNd3hwNeF68RAs5wAKCn2/isTnDc4y2KCBzbIawRLjJMdwCgxrEh
v61XDYHMHCba1UBdmXtgmKk=
=B1eP
-----END PGP SIGNATURE-----
aura:84
25. 5. 2007 11:47
Nový
GPG a GMail
celé vlákno
Jak jsem zahlédl nadpis článku, tak jsem se zaradoval, že někdo napsal extension, umožňující běžnou práci s podepsanou/šifrovanou poštou v gmailu.
Hodilo by se to (pokud možno i pro seamonkey, bo ff používám jen z donucení v práci), když google nenabízí imap...
Hodilo by se to (pokud možno i pro seamonkey, bo ff používám jen z donucení v práci), když google nenabízí imap...
kokos (neregistrovaný)
25. 5. 2007 13:04
Nový
Re: GPG a GMail
celé vlákno
Gmail nabzizi POP3 pod SSL, coz mi prijde jako dostacujici, na to ze je to zadarmo.
aura:84
25. 5. 2007 13:29
Nový
Re: GPG a GMail
celé vlákno
To je mi ovšem platné jak hadovi noha, pokud chci k účtu jednoduše přistupovat poštovním klientem z více počítačů.
A zadarmo to rozhodně není, platím za to zobrazováním sponzorovaných odkazů a rizikem hrabání se mi v soukromé korespondenci a používání takto získaných údajů k cílenějšímu zobrazování výše zmíněných sponzorovaných odkazů...
A zadarmo to rozhodně není, platím za to zobrazováním sponzorovaných odkazů a rizikem hrabání se mi v soukromé korespondenci a používání takto získaných údajů k cílenějšímu zobrazování výše zmíněných sponzorovaných odkazů...
asdf (neregistrovaný)
25. 5. 2007 14:54
Nový
Re: GPG a GMail
celé vlákno
Platíš za to zobrazováním sponzorovaných odkazů na JEJICH stránkách?
aura:84
kokos (neregistrovaný)
25. 5. 2007 15:45
Nový
Re: GPG a GMail
celé vlákno
Tohle presne delam, pristupuji k mailum na gmailu JEDNODUSE z vice pocitacu pres POP3 (a volitelne SSL). Webove rozhrani gmailu jsem nevidel uz par mesicu. Jestli to pro Vas neni jednoduche, tak jste asi jeden z tech lidi, ktery neni nikdy spokojen, nikdy a s nicim.
aura:84
25. 5. 2007 17:33
Nový
Re: GPG a GMail
celé vláknoTohle presne delam, pristupuji k mailum na gmailu JEDNODUSE z vice pocitacu pres POP3
Se zachováním komfortu práce s imap? S indikací přečtené, nepřečtené pošty, odeslanou poštou (jistě, můžu si ji bcc-rovat, stejně jako se mohu škrábat za uchem nohou, proč ne...), bez nutnosti to vše stahovat znovu na všechny své počítače, do všech OS, atd?
Ještě než tu někdo plně rozvinete histerické brečení nad tím, jak Vám tu šlapu po bábovičkách a hledám na všem jen chyby a složitosti, tak si laskavě uvědomte, že nic takového nedělám. GMail používám, poštu si přes pop3s na jeden počítač stahuju. Zpřístupňovat ji zvenčí lozením na tento počítač nehodlám. Ke schránce tedy mohu přistupovat už jen přes webové rozhraní, kde jsou mi ovšem elektronické podpisy a šifrované zprávy leda k zlosti (ano, mohu je zkopírovat do clipboardu a poštvat na ně gpg, ale tomu neříkám jednoduchá práce, kór když to může být u každé druhé zprávy). Proto ta předčasná radost po přečtení titulku tohoto článku, zmíněná v prvním příspěvku tohoto threadu...
Durill (neregistrovaný)
28. 5. 2007 8:19
Nový
Re: GPG a GMail
celé vlákno
POP3 nad SSL Vam resi jen stahovani posty ze serveru, ne sifrovani mailu od odesilatele az po prijemce.
aura:84
25. 5. 2007 17:36
Nový
Re: GPG a GMail
celé vlákno
Je docela možné, že by stačil, bohužel však, jak se zdá, není pro mozillu suite / seamonkey...
Hooonza (neregistrovaný)
19. 1. 2008 9:53
Nový
Re: GPG a GMail
celé vlákno
Gmail S/MIME: https://addons.mozilla.org/cs/firefox/addon/592
FireGPG: http://firegpg.tuxfamily.org/
FireGPG: http://firegpg.tuxfamily.org/
medon (neregistrovaný)
27. 5. 2007 9:11
Nový
keylogger
celé vlákno
"Co když někdo nainstaloval na náš počítač software, jenž zaznamenává stisky všech kláves (keylogger)?"
Pokud nekdo na muj komp nainstaloval keylogger, tak pravdepodobne pro nej nebude problem prohlednout si i obsah meho disku, tedy i muj privatni PGP klic. Tento problem tedy OpenPGP nevyresi.
Pokud nekdo na muj komp nainstaloval keylogger, tak pravdepodobne pro nej nebude problem prohlednout si i obsah meho disku, tedy i muj privatni PGP klic. Tento problem tedy OpenPGP nevyresi.
28. 5. 2007 0:16
Nový
Re: keylogger
celé vlákno
Privátní OpenPGP klíč nemusí být uložen na pevném disku, mohu jej nosit sebou.
Může být uložen na USB flash disku nebo na OpenPGP čipové kartě.
Může být uložen na USB flash disku nebo na OpenPGP čipové kartě.
aura:100
31. 5. 2007 18:45
Nový
Re: keylogger
celé vlákno
Tohle se tu už před časem řešilo .. flash disk klíč neochrání .. ale je to dobrá prevence ;)
1. 6. 2007 9:53
Nový
Re: keylogger
celé vlákno
Neochrání? Keylogger může zachytit passphrase. Jak ale útočník získá klíče, když usb flash disk nosím s sebou? Jedině, že by útočník současně s keylogger (key = klávesa) použil také keylogger (key = klíč), tj. zloděje klíčů, který by po připojení usb flash disku všechny klíče tajně zkopíroval na pevný disk. Ano, i to je možné. To už je ale jiná level.
