"Stachu 'Dozzie' K." napisał:

> On 2011-08-27, Edek <e...@g...com> wrote:
[...]
> To odpieprz się od próby implementowania podpisu cyfrowego, jeśli nie
> czujesz się ekspertem od kryptografii. To nie jest coś co "się zrobi
> i będzie dobrze", jak, nie przymierzając, system katalogowania książek
> w bibliotece.

Ok. Odpieprzam się i zaraz się pokajam, a teraz jeszcze sobie poględzę.

>>>>>> Utrata klucza prywatnego powoduje, że trzeba zmienić klucz
>>>>>> publiczny też.
>
>>>>> Kazdy system ma revoke.
>
>>>> Utrata != poznanie przez osobę niepowołaną. Poza tym, stare dokumenty
>>>> przy revoke trzeba by podpisać jeszcze raz, chyba że mają stempel
>>>> czasu i ktoś magicznie wie, że klucz prywatny nie upublicznił się
>>>> przed tą datą, wtedy można zrobić revoke od jakiejś daty. Można
>>>> też mieć inny mechanizm, ale sam podpis PGP nie wystarczy.
>
>>>> Czasami myli się revoke kluczy SSL z revoke kluczy podpisu. To
>>>> drugie wpada w tą samą kategorię, co perfect forward secrecy.
>
>>> Jsli utraciles kontrole nad kluczem to znaczy ze jest publicznie znany.
>
>> Nie jestem ekspertem, ale chyba jednak nie.
>
> Ale chyba jednak tak. Zawsze przy projektowaniu kryptosystemów zakłada
> się najgorszy przypadek pasujący do modelu ataku.

No nie. Sam fakt, że istnieją systemy używające wymiany po łączach
niezabezpieczonych temu przeczy. A jak ktoś podsłucha łącze, to
zakłada się, że wszystko już jest znane?

Nie wiem, jakie są skuteczne modele ataku na ten mój genialny 10minutowy
pomysł i nie o to chodzi.

>
>> Ok: na USB (typu pendrive z plikami) jest klucz owinięty
>> hasłem usera owinięty jednorazowym kluczem serwera podpisującego
>> (wszystko symetrycznym).
>
>> Samo zgubienie USB nie powoduje poznania klucza: bez hasła
>> jest totalnie bezużyteczny. Natomiast powoduje jego utratę.
>> Nie da się też łamać hasła bez znajomości klucza serwera.
>
>> Czyli: można czytając A podpisać B, albo zamiast NIE AKCEPTUJE
>> podpisać AKCEPTUJE.
>
> Właściwie nie widzę jak można podpisać *cokolwiek* przy takim opisie
> systemu.

Bardziej formalnie:
K - prywatny klucz asymetryczny użytkownika
Sn - klucz serwera (symetryczny)
C - klucz klienta = hash(hasło) (symetryczny)
D - dokument
username - username

Na USB jest
Sn { C { K } } (czyli ciasteczko), gdzie X{y} oznacza y zaszyfrowany
symetrycznie kluczem X

Wymiana zachodzi tak, że klient łączy się po SSL z serwerem
podpisującym:
Client <--> Serwer

1. --> C
--> ciasteczko z USB
--> D
--> username
2. Serwer wyciąga ze swojej bazy Sn(username)
Ponieważ ma Sn i C, z ciasteczka bierze K
Podpisuje dokument D używając K
Generuje Sm, m = n+1 (losowy klucz Sm)
generuje nowe ciasteczko Sm { C { K } }
3. <-- Ok,
<-- (podpisany dokument, albo podpis, i takie tam)
<-- nowe ciasteczko
4. Klient zapisuje ciasteczko i potwierdza
--> OK
5. Serwer zapisuje w bazie Sm (jako nowy Sn) pod username

Cechy:
- klucz w postaci jawnej jest tylko na serwerze w czasie
podpisywania; nie jest tam przechowywany. No, kiedyś
gdzieś go trzeba stworzyć...
- na usb klucz również nie jest w postaci jawnej - do jego
poznania wymagane jest hasło i klucz serwera. Banalnie można
zmodyfikować system, żeby hasło i klucz serwera nie
wystarczały, ale nie wiem po co
- hasło nigdzie nie jest zapamiętywane jawnie (ani generowany
z niego klucz)
- klucz jednorazowy serwera jest przechowywany na serwerze
- ciasteczko działa raz
- sam podpis jest dokładnie typu PGP, czyli zwykły asymetryczny,
weryfikuje się publicznym kluczem "do pary"

>
>> Jedyne, co widzę, to to, że nawet czytający podpisany dokument
>> może czytać coś innego niż było podpisane. Pytanie jest o
>> niezbędny poziom paranoi. Trzymam się wersji "dla ubogich".
>
> Weź ty się lepiej zgłoś do jakiejś uczelni, która ma pracujący zespół
> kryptologów i niech oni ci zaprojektują kryptosystem, a nie będziesz
> paprał samodzielnie.

To miało tylko pokazać, że twierdzenie "zgubienie nośnika oznacza
upublicznienie klucza" jest baardzo definitywnym stwierdzeniem. Ten
"system" powstał tylko jako ilustracja, i nie polegałbym na mojej
kilkuminutowej tfurczości na tyle, żeby to implementować.

Na swoją obronę mam tylko tyle, że to co zaproponowałem działa,
w przeciwieństwie do "pomysłu z md5". Jakiś błąd w logice?
Nie pytam, na ile jest bezpieczny, szkoda czasu...
Przypuszczam, że lepsze rzeczy można wygooglać. I nie jest to
podpis, tylko zarządzanie kluczem.

Co do kryptologów, to rozdzieliłbym znajomość matematycznych podstaw
działania algorytmów kryptograficznych od znajomości ich właściwości.
Założę się, że więcej ludzi rozumie różnicę pomiędzy szyfrowaniem
asymetrycznym a symetrycznym niż matematyczne podstawy któregokolwiek
z możliwych algorytmów.

Edek

PS. Ozszzo chodzi z tymi serwerami, na jednym widać jedne posty, na
innych inne?