[LUGOS] Re: firefox edavki game over
Jure Koren
jure at hehe.si
Tue Apr 11 09:19:29 CEST 2006
On Tuesday 11 April 2006 09:05, miro.kranjc at siol.net wrote:
> Seveda pa se lahko tudi motim :)
Obstaja moznost, ja.
Vse, kar za omenjen obseg tveganj potrebujes, je z zasebnim kljucem osebnega
certifikata zagotovljena identiteta odjemalca pri seji SSL, ki prek te seje
odda napoved in dobi od streznika z zasebnim kljucem DURSa podpisano
povratnico (katere del je seveda tudi sama napoved oz. katerikoli drug
dokument). To je vse. Drzava ocitno ne potrebuje garancije s podpisovanjem,
saj smo ze desetkrat ugotovili, da ponarejanje napovedi ni dovolj smiselno in
predvsem ni nekaj, kar bi kdorkoli pocel masovno, vsekakor pa drzavljan
potrebuje garancijo, da je njegova napoved srecno prispela k drzavi, saj
sicer odgovarja za prekrsek in ne more dokazat, da ga ni storil. Drzava
vsekakor lahko dokaze, da je bila vzpostavljena seja SSL z dolocenim
certifikatom, saj se izmenjava certifikatov in zacasnih kljucev za sejo SSL
podpisuje ravno z uporabnikovim (in strezniskim) zasebnim kljucem.
Se to: drzava bi morala (!) poleg certifikata drzavljanu, ki se nima pametne
kartice, izdati tudi to, saj v nasprotnem primeru precej po nepotrebnem mocno
zmanjsa varovanje zasebnega kljuca. Ceprav je rec malo off-topic, bi s tem
bistveno zmanjsali verjetnost, da so Janezu Mlinarju njegov zasebni kljuc
odtujili, pa on tega ne ve, kar nam seveda zvisa integriteto metode
dokazovanja istovetnosti prek SSL seje.
--
Jure Koren, unix developer
Hehe d.o.o.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
Url : http://liste2.lugos.si/pipermail/lugos-list/attachments/20060411/409589e4/attachment.pgp
More information about the lugos-list
mailing list