Re: Re: PGP vs S/MIME.

От: Vladimir A. Butenko <CGatePro_at_mx_ru>
Дата: Mon 14 Nov 2005 - 15:43:39 MSK

On Mon, 14 Nov 2005 14:22:08 +0300
  "Kuzyaev Dmitry" <CGatePro@mx.ru> wrote:

>> Таакк. А какая тогда "идеология" у S/MIME?

>
> в PGP не нужен никакой центр сертификации
> (либо как я понимаю самосертификации),
> достаточно обменяться 2-м пользователям своими public key
> и их переписка по е-майл не доступна никому.

Абсолютно то же самое в S/MIME, благо идея-то одна и та же - PKI, просто разные реализации. Я вот Вам могу прислать подписанное мною письмо, если поверите, что это действительно я прислал, и это действительно мой сертификат - то дальше можете записать из подписи мой сертификат с публичным ключом себе в адресную книжку и посылать мне что-то зашифрованное до посинения.

> к тому же разрядность ключа у PGP в 2 раза выше.
А это Вам кто сказал?! Что такое "разрядность ключа"? Вы почитайте те ссылки, которые я Вам дал, плюс -
http://www.stalker.com/CommuniGatePro/WebSMIME.html там на уровне end-user об"ясняется, как работает PKI. Работает оно практически одинаково что в S/MIME, что в PGP. Там два ключа - один PKI, один "обычный", симметричный. Так вот длина первого вообще мало чем ограничена. Откройте себе WebMail CGatePro и всуньте туда хоть 16К ключ, как и в почти любой S/MIME клиент. Длина второго ключа ограничена только соглашениями (так же, как в SSL/TLS, который построен на абсолютно том же алгоритме).

> да и PGP проще в использовании, думаю.
Судя по Вашим словами, S/MIME Вы никогда не пользовались. Поэтому я тоже бы хотел узнать - с чего Вы думаете, что PGP проще в использовании?   

>> Вы меня извините, то каков смысл в рассуждениях при отстутствии знания? 
>> S/MIME, в отличие от PGP - задокументированный полностью протокол, он 
>> весь - в RFC.
>>

> смысл есть, но вы меня не убедили что S/MIME - лучше.
Я Вас не убеждал. Я убеждал Вас в том, что лучше беседовать о вкусе лимона, его попробовав.

> а что RFC - панацея от всех бед? TCP/IP тоже весь в RFCe..... а проблем у
> него?

Хм. Каких? То есть можно взять, конечно, самопальный протокол NetBIOS тот же и сказать, что "ну и что, что кривой - зато TCP/IP тоже кривой". Фишка не в том, что стандарт - это панацея. Был бы стандарт панацеей мы бы до сих пор сидели бы на стандартной ветке со стандартным бананом в зубах.

Фишка в том, что делать что-то нестандартное имеет смысл, лишь предоставляя большое преимущество перед стандартным. PGP ничего не предоставляет. Было просто две конкурирующие ветки, разрабатывающие метод применения PKI для почты. S/MIME, которым занимались в Микрософте и ИБМ, кажется (не помню, посмотрите имена на стандарте) был доведен до уровня стандарта, а PGP - нет. Учитывая общий уровень компании PGP - это неудивительно.

>> Самое печальное, что вот такие "слухи" уже крутятся не среди end-users 
>> (которым можно было втюнуть всегда что угодно), а среди тех, кто вроде как 
>> по долгу службы должен бы у этих end-user ложные представления о жисти 
>> заменять более близкими к ускользающей от точного восприятия реальности 
>> :-(
>>
>> http://www.stalker.com/CommuniGatePro/PKI.html
>> http://www.stalker.com/CommuniGatePro/Features.html#Security

>
> эмоционально, но не печально! ибо быть специалистом на все руки - не

>здорово,

> я не разработчик CGP, и не занимаюсь профессионально шифрованием,
> но доки не по своему профилю частенько почитываю.

Я не силён в балете, и даже не собираюсь в нем посильнеть. Но посему я и не буду обсуждать какие-либо достоинства той или иной балерины.

> а что, неужели http://www.stalker.com - последняя инстанция по
>crypt-вопросам?

Нет. Это говорит о том, что Вы и на ссылки не посмотрели. В первой просто об"ясняется, что это всё такое - бегло, во второй - набор ссылок на стандарты, которые таки есть последняя инстанция.   

>> А если Вы мне еще покажете тот орган, у которого есть "запасные ключи" - 
>> то буду признателен, мне бы не помешали, бо несколько ключей потеряны.

>
> тогда поясните мне, зачем все коммерческие средства шифрования для
> доступа в продажу проходят обязательную сертификацию ФАПСИ?

Затем же, зачем Вам то же (или подобное) агенство запрещает ввозить в Россию GPS-ы. Никакого отношения к самой технологии это не имеет. Это имеет отношение к любви спецслужб всех стран сделать свою службу легкой и приятной, а также отрапортовать начальству о пресечении еще одного канала чего-то там. Далее Ваше дело - потакать им в этом стремлении, или послать их туда, где они могут заняться делами, более подходящим их статусу, интеллекту, и потраченным на них ВАШИМ деньгам. Разницы между PGP и S/MIME тут никакой.

> и почему в США запретили экспорт PGP?
а) Кто такие "США"? Опять какое-то начальство? б) Где это оно запретило "экспорт PGP"? А то, что к экспорту из США была долго запрещена любая PKI криптография, а потом, кажется, только "сильная" криптография - так кого это, простите, интимно волнует? У нас вся криптография разработана в Папуа Новой Гвинее, например, и поэтому из США экспортироваться не может по определнию - только импортироваться, если уж на то пошло.

Знаете, так всего бояться - действительно можно опять себе самим СовДепию построить. А если прилежно репатриировать дураков в их страну, но они не полностью заселят Вашу.

Ну и
в) к экспорту из США давно не запрещена криптография, попадающая под "open source", а также некоторые другие продукты попадающие под определение "общего пользования". Но если бы и попадало - поставили сервер в Канаде, если так уж надо, а на сервере в США написали в FTP промпте - "Осаме Бен Ладену подсоединяться строго запрещено", и формальные претензии выполнены.

В общем, давайте ограничим обсуждаения преимуществ вещами взаимно известными.   

> /KD

Sincerely,
Vladimir Получено Mon Nov 14 12:41:40 2005