[Uneex] Вопросы по PGP
Constantin Stefanov
cstef на parallel.ru
Вт Окт 5 14:02:47 MSD 2004
Daniel Ginsburg wrote:
>>>По-моему, тут решение может быть только одно - найти (сделать?)
>>>специальную железку, которая не умеет ключ отдавать ни при каких
>>>обстоятельствах, зато умеет взять письмо и выдать назад его в
>>>зашифрованном виде.
>>
>>Ага. Такая железка называется - смарт-карточка. И, строго говоря, к GPG
>>отношения не имеет. Но вот тебе конкретное ее приложение:
>>
>>http://g10code.com/p-card.html
>
> Я вот чего не понимаю. Как это решает поставленную задачу: написать
> письмо на машине, которой мы не доверяем?
>
> Пусть злоумышленник подменил нам MUA. Я пишу письмо, собираюсь его
> подписать, засовываю эту самую карточку в предназначенную для этого
> щель, а этот подменненный MUA подсовывает на подпись не мое письмо, а
> письмо в мой банк с требованием перечислить все мои деньги Ясиру
> Арафату. Вот от такой атаки как защититься в условиях, когда у
> злоумышленника есть доступ к моей машине? Сдается мне, что никак.
Чисто теоретически, железка может быть с экранчиком и показать какие-то
атрибуты письма (ну там заголовки, часть текста, хэш и т.п.). И кнопкой
уже на ней надо подтверждать, подписывать данное письмо или нет. А с
такой туповатенькой железкой решается только проблема с воровством ключа
на левой машине, но не решается проблема непосыла левых писем.
--
Константин Стефанов
Подробная информация о списке рассылки Uneex