GPG (kao i PGP) nikad nije ni imao identity verification. Na tebi je da uspostaavis trust kroz druge metode (ja te zovem telefonom i sa tobom proverim ID/thumbprint i slicno).

Btw, posto je gpg4win baziran na GnuPG, mozda mozes da iskoristis "web of trust" mehanizam? http://www.gnupg.org/gph/en/manual.html#AEN346

poenta je u tome sto cak ni te pita za aktivaciju putem maila , ja ne mogu da znam da si to stvarno ti

inace, pgp se koristi i za druge stvari , osim maila, pa zato i nema neke preterane potrebe aktivirati ga putem maila

ono sto je bitno je da ja znam da je to tvoj kljuc, a to mogu znati jedino ako mi ga licno potvrdis , zatim ja "potpisem" tvoj kljuc, i sada neko ko zeli da komunicira s tobom , a veruje meni , moze da bude siguran da je to tvoj kljuc

pod pretpostavkom da je ovo tvoj kljuc:

http://pgp.mit.edu:11371/pks/l...&search=0x9D2731675640A8BF

da te poznajem i da si mi dao fingerprint licno, ja bih potpisao tvoj kljuc , poslao to keyserveru gde bi se onda videlo da ja verujem da si to ti

ako pogledas, ni meni niko nije potpisao kljuc (jos nisam uzivo sreo nekoga ko koristi pgp)

pogledaj ovo recimo:
http://pgp.mit.edu:11371/pks/lookup?search=obama&op=index

sta mislis koji je pravi ? :)
naravno da necu verovati nijednom

ali onda pogledaj ovo:
http://pgp.mit.edu:11371/pks/l...&search=0x7091E15F4C92D93D

sad vec mogu da budem poprilicno siguran da je to taj covek
mada ne znam nikoga ko je potpisao njegov kljuc
ovakav web of trust je sigurniji od aktivacije mail-om , a nesto slicno je neophodno u bilo kojoj primeni public key kriptografije

slicno je recimo za ssl , mozes ti da napravis svoj sertifikat, ali je on untrusted ako nije potpisan od strane nekog CA za koji , recimo , firefox zna



a to sto kazes za lazno predstavljanje , to sam se bas skoro iznervirao na facebooku, hteo da promenim ime , i nije hteo da me pusti da budem recimo Long John Silver zbog "privatnosti" ili cega vec, ali sam mogao naravno da upisem bilo koje "normalno" ime
nista me ne sprecava da se lazno predstavljam , cak , to nebi ni bilo lazno predstavljanje u zakonskom smislu (nebi smelo da bude)

ovo je internet dodjavola , privatnost ima cenu, a isto tako i sigurnost

_{[Ovu poruku je menjao EArthquake dana 23.06.2010. u 10:15 GMT+1]}

e da , naravno i xkcd ima nesto na ovu temu:

http://xkcd.com/364/

OK, čemu onda digitalni potpis ako ne mogu da te tužim ako si npr. samnom digitalno potpisao ugovor, a ne poštuješ ga?

u, ti vec ode u domen neporicanja. To je jos komplikovanija tematika i sasvim sigurno nije nesto sto GnuPG radi, pravna odgovornost za digitalni potpis zavisi od mogucnotsi da tuzis za taj potpis a da bi mogao da tuzis za taj potpis mora da postoji zakonski okvir o digitalnom potpisu. Kod nas postoji ali je trenutno Postin CA jedini koji moze da ti izda x.509 sertifikat koji je primenjiv na sudu zato sto zakon propisuje minimalni nivo provere identiteta podnosioca zahteva i propisuje tehnicke uslove za cuvanje privatnog kljuca kako na sudu ne bi mogao da tvrdis da je neko drugi potpisao ugovor tvojim kljucem. GnuPG je tu slab igrac, on je uglavnom za tu slabu udentifikaciju i za kriptovanje podataka, neporicanje cak nije ni u planu.

A sta je sa Privrednom komorom i Policijom i oni su kvalifikovana sertifikaciona tela kod nas?

Je li Mark Šatlvort na tome namlatio pare?

Ovde mi neke stvari nisu jasne.

1. Ako se privatni ključ čuva kod mene, ko će da proverava da li ja sprovodim mere? Ako se generiše ili čuva kod sertifikacionog tela, kako onda oni da dokažu da nisu potisivali umesto mene?
2. Zar nije najbolje da ja generišem ključeve, gde je privatni deo jednostavno zaštićen lozinkom?

Koliko znam PKS je samo za firme, tj ovlascena lica firmi (mada nisam se dugo interesovao mozda daju i fizickim licima), a za policiju nisam znao.

Mada vidim da su sad u spisku na mtid sajtu, al brate, ne bi voleo da imam ovaj cert na licnoj karti, pin ili ne, neko moze zestoko da te zakopa sa ovim. :(

Oni ti daju smartcard/token koji ima keygen u sebi i potpisani x509. Sigurni su da ne mozes da ne cuvas jer ne mozes da ga eksportujes.

e do djavola, odoste u politiku i zakon, a taman sam se nadao interesantnoj raspravi ...

:)

salim se naravno ,mada nemam blage veze sa zakonom i sl

ali idalje stoji ono sto sam pomenuo za ssl , moras da imas CA ,e sad koji je kod nas podrzan od strane zakona ...

a shuttleworth, da, otprilike je na tome zaradio $$$

Čekaj, oni mi daju nekakvu karticu koja je sposobna da potpisuje, ali koja neće da kaže privatni ključ, ako sam te dobro razumeo. Kartica je sposobna da generiče ključ. Ali, ko garantuje da ja neću da izgubim karticu? Pretpostavljam da je poenta u lozici, ali kako onda oni znaju da ja nikome nisam rekao lozinku?

To je rizik koji su ONI spremni da prihvate ;)

Salim se naravno, pazi velika je razlika izmedju odgovornosti korisnika da sacuva privtni kljuc na disku (sa svim virusima malwareima i slicno) i ocekivanja da korisnik nece fizicki izgubiti token na kome je napisao PIN da ga ne zaboravi. Ne znam kakva je sad situacija za licne karte kad je MUP posato CA ali ako se cert izdaje samo na zahtev onda uz zahtev prihvatas i odgovornost da sacuvas token. POred toga postoji i revocation proces, onog trenutka kad prijavis token kao izgubljen cert se revokuje i sa tim prestaje tvoja odgovornost za potpisane dokumente od tog trentuka nadalje, a lakse ces primetiti da ti nedostaje fizicko token nego sto ces primetitida ti je nko eksportovao private key bez tvog znanja

_{[Ovu poruku je menjao mmix dana 23.06.2010. u 11:41 GMT+1]}

A šta je x509?

http://en.wikipedia.org/wiki/X.509

PKI standard koji izmedju ostalog definise certove i trust-inheritance kroz potpisane certove (ako verujes CA onda verujes svemu sto je on potpisao). Koristis ga svakodnevno.

Trebalo bi ja MUP zaduzen za fizicka lica a PKS za firme (mozda lupam ali mi se cini da sam negde tako procitao). Inace i Posta je tu. Problem je to sto u Posti niko nema pojma o tome ko i kako izdaje te sertifikate, tako da je nemoguce doci do istog, sem ako igrom slucaja ne poznajete nekog ko tamo radi a zna sta radi. Probali i nismo uspeli. PKS je relativno skoro pocela to da radi ali procedura za dobijanje certifikata je toliko komplikovana da ni oni sami ne znaju sta da rade. Tako da je i tu corak. Da ne gresim dusu, probali smo pre 6-7 meseci mozda se nesto promenilo.

Znam, ali ja necu cert na licnoj karti, nikad. Licnu kartu nosim sa sobom i mogu da je izgubim ili da mi je ukradu, instrument za digitalni potpis necu setati naokolo sa sobom. Uostalom nisam siguran da ove smart kartice na licnim kartama imaju crypto cip na sebi, sto povlaci pitanje kako ce biti radjeno potpisivanje? Off card? Neka hvala.

Ne znam gde ste se raspitivali za Postine sertifikate ali kontakt je precizan (mada ga nisam koristio): http://www.ca.posta.rs/kontakti.htm

Sto se tice mup-ovih sertifikata na licnim kartama, mislim da ne bi trebalo da se sumnja u cip licne karte i da ce se samo potpisivanje izvrsavati na kartici. Ipak kvalifikovano sertifikaciono telo mora da ispuni uslov o primeni sredstava za kreiranje kvalifikovanog elektronskog potpisa (Secure Signature Creation Device).
Doduse u pocetku izdavanja licnih karata sa cipom, nisu bili sertifikaciono telo a nisu ni izdavali sertifikate na karticama vec su imali samo memorisane opste podatke o osobi pa se mozda u startu i nije koristio pki chip.

A može li mi neko reći da li je privatni ključ na čipu dodatno zaštićen lozinkom, tako da ni gubljenje kartice ne predstavlja opasnost?

Privatni kljuc je zasticen pin-om. Javni objekat na kartici kome se moze pristupiti bez pin-a je digitalni sertifikat.

A koliko cifara ima taj PIN? Nije valjda samo 4? Šta se dešava ako izgubiš karticu? Kolike su šanse za zloupotrebu pre nego što je oglasiš nevažećom?

Vecina kartica moze da definise PIN do cak 8 alfanumerickih znakova (ali se uglavnom koriste 4 cifre). Medjutim, mozez da pogresis PIN 2 puta uzastopno pokusavajuci da stignes do privatnog kljuca. Treci uzastopni pogresni pokusaj ce zakljucati PIN sto znaci da je mogucnost zloupotrebe ipak mala. Ako je sam korisnik zakljucao slucajno karticu ostaje mu mogucnost deblokade ako zna PUK kod kartice. Banke sa nasih prostora izdaju privatnim licima smart kartice za autentikaciju kod elektronskih placanja, ali im uglavnom ne daju PUK kod - ako korisnik slucajno pogresi pin 3 puta uzastopno na banci je da utvrdi da li je korisnik zakljucao pin i hoce li mu deblokirati pin.