Sergey Gilfanov Опубликовано 10 января, 2014 · Жалоба Основной предмет исследования - железки, да. Но исследования иных систем, в том числе на базе открытых кодов, показали, что уязвимости те же. По меньше мере, так утверждают авторы в приведённом мною отрывке. Из FAQ на их сайте: We also have no reason to doubt the security of PGP, SSH, or other keys generated interactively by users on general-purpose computers. Правда, то товарищи, что по ссылке на видео их немного поправили, да. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 10 января, 2014 · Жалоба Поддельные документы отличаются от настоящих в достаточной степени. Я бы даже сказал радикально.И ЕСЛИ будет проводится эеспертиза подделка будет выявлена. Именно поэтому отличить поддельные картины не всегда возможно даже с привлечением сверхподготовленных экспертов. При этом в картинах можно придраться к любому участку, а в документах - только к местам подписей и печатей. Ну к особенностям шрифтов можно попробовать. Да и то... Ты не путай. Картины это совсем другая история, там часто вредно устанавливать подлинность. Документы экспертизой определяются по массе факторов, начиная с материала и качества бумаги, заканчивая чернилами. У электронного документа (с скомпрометированным секретом) нет способов выявить его подлинность. Прямых - нет. Только сравнением даты создания/получения и даты прекращения легального использования ключа. Ты что, никогда часы на компе не переводил? :) Подлинность бумажного документа можно установить в любой момент действия печати и подписи. У электронного документа факт компрометации ключей может быть не установлен вовсе. И тут играет роль цена вопроса - высококачественная подделка бумажного документа стоит заметных денег. Для каждого экземпляра.Любой электронный документ легко можно "изготовить" на копеечном смартфоне. Массово. Утверждения не совсем корректны. Да, изготовление каждого поддельного бумажного документа стоит дорого. Но для этого необходимы только исходный документ, оборудование и специалист. Но и изготовление первого в серии поддельного электронного документа тоже стоит дорого. И для его "изготовления" необходимо потратить, кроме вышеперечисленного, заметное время. Которое, в виду ограничения на время действия ключа, может быть весьма ценно. А ещё необходимо указанное вами же стечение обстоятельств. Которого может и не быть. А вот потом можно клепать, да. Если время будет. Время будет. Типично срок жизни банковского ключа 365 дней. Ключи вводимые для ЭЦП граждан выдаются по моему или на три или на пять лет. Публичные ключи передаются по незащищённым каналам. В чём реальная сложность? Публичный ключ никому не интересен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 10 января, 2014 · Жалоба Как я понял, это вполне реальная база публичных ключей. Они использовали, в частности, данные EFF SSL Observatory. А там написано: We have downloaded datasets of all of the publicly-visible SSL certificates on the IPv4 Internet Публичный ключ никому не интересен. Вот эти математики и показали, что большие массивы публичных ключей интерес представляют. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Черномазов Опубликовано 10 января, 2014 · Жалоба Ты не путай. Картины это совсем другая история, там часто вредно устанавливать подлинность. Не больше, чем подлинность документов. Экспертизу картин обычно заказывают заинтересованные аукционы. И им очень не хочется, чтобы кто-нибудь когда-нибудь с какой-нибудь долей основания сказал, что через них продали фуфло. Ибо это их хлеб - не продавать фуфло. Заинтересованность экспертов одинакова что в одном, что в другом случае. Ты что, никогда часы на компе не переводил? :) Именно поэтому через дробь после "создания" стоит "получения". Документ нужен для того, чтобы быть переданным из одной точки в другую. И его подлинность проверяется именно на стороне получателя. Подлинность бумажного документа можно установить в любой момент действия печати и подписи. Каким образом? Почему та же процедура не может быть применена к электронному документу? Время будет. Типично срок жизни банковского ключа 365 дней. Ключи вводимые для ЭЦП граждан выдаются по моему или на три или на пять лет. Взлом таких ключей занимает не 5 минут. Даже на слабых ключах. Опять же. При взломе ЭЦП речь обычно идёт про работу с массами данных и взломе какого-нибудь из массы имеющихся ключей. При подделке документа подделывается конкретный источник. Это разные "целевые аудитории" и, соответственно, условия. Публичный ключ никому не интересен. Сам ключ - нет. На то он и публичный. Подбор к нему приватного ключа - весьма интересен. Именно с помощью приватного ключа и создаётся подпись. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 10 января, 2014 · Жалоба Именно поэтому через дробь после "создания" стоит "получения". Более того, никто не мешает создать автоматическую службу, которая будет выдавать документу криптографическую метку со временем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 10 января, 2014 · Жалоба С эцп на элиптических кривых есть один прикол: при подписывании там нужно случайное число. Как показала практика с плейстейшином, если случайное число известно, то дальше уже всё просто... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
