beldmit: (Программизм)
Dmitry Belyavskiy ([personal profile] beldmit) wrote2015-12-12 11:10 pm
  • Add Memory
  • Share This Entry
Entry tags:

Ещё немного про PKI

В ICANN считают, что текущая система PKI небезопасна, и спасти её можно, опираясь на DANE (то есть на DNSSec) и Certificate Transparency.

Теоретически, конечно, это верно. А практически неудобен тот DNSSec, не любят в браузерах DANE, с Certificate Transparency есть масса вопросов и дырок в спецификации, а попытки, например, сказать, что для доверенных сертификатов надо ограничивать доменные зоны, в которых они могут выпускать сертификаты, вызовут грандиозные политические склоки. И в криптографических библиотеках поддержка всех этих ограничений работает не всегда.
Flat | Top-Level Comments Only

[identity profile] besm6.livejournal.com 2015-12-13 07:37 am (UTC)(link)
Текущая система PKI небезопасна в основной своей идее, и спасти ее нельзя никак.

[identity profile] beldmit.livejournal.com 2015-12-13 09:30 am (UTC)(link)
Что ты считаешь основной идеей?

[identity profile] besm6.livejournal.com 2015-12-13 09:50 am (UTC)(link)
Подход "всё или ничего". Либо ты доверяешь корневому CA полностью и во всём, включая его способность правильно (с твоей точки зрения) ограничить полномочия промежуточного CA (что, как мы понимаем, не всегда обоснованно), либо не доверяешь ни в чём, в том числе в том, что он удостоверился в подлинности владельца сертификата. А это разные действия.

Отдельно — идея, что цепочка доверия может восходить только к одному корневому CA. (Именно идея — чисто технически можно выписать несколько сертификатов на одну ключевую пару у разных CA, но ни один инструмент не сможет пройти сразу по нескольким цепочкам доверия, поскольку все реализуют именно эту идею.)

[identity profile] beldmit.livejournal.com 2015-12-13 12:21 pm (UTC)(link)
CT даёт таки возможность верифицировать деятельность CA независимыми от них сущностями.
Flat | Top-Level Comments Only