![]() |
![]() |
ma[DD]og 10.06.2004 - 22:43 |
Для всех участников: тема VPN часто поднимается. Многие дают рекомендации. В том числе по типу "скачай программу, установи, нажми кнопку и будет счастье". В связи с этим хочу обозначить несколько концептуальных вопросов, понимание которых необходимо. Проверте себя ответами. 1. Есть ли разница между системами криптозащиты IPSec, SSL(TLS), PGP(GPG)? 2. Ключи частный и публичный(аля сертификаты). Что это? В чем разница? 3. Ключи шифрования сессии. Что это? Почему не обошлись частным и публичным? 4. Электронная подпись. Почему надежно? Как реализовано? 5. Ну и пожалуй крепкий орешек: начальный этап установки соединения. Канал связи еще не шифруется, а хостам уже надо выбрать ключ шифрования, то есть передать его по незащищенному каналу. Как решается? Опасность на лицо, либо снифер либо есть еще опасней вариант man-in-the-middle. |
lithium 1 - 10.06.2004 - 22:51 | ma[DD]og, проверь и ты себя: разве частный и публичный ключи -- то же самое, что и сертификаты? (по поводу 2) |
ma[DD]og 2 - 10.06.2004 - 23:27 | lithium, м-да пожалуй стоит добавить по поводу пункта 2 "в интерпритации Майкрософт" |
ПроходилНеМимо 3 - 11.06.2004 - 00:23 | Ну зачем кричать на всю Ивановскую? Глядишь, подольше поживёт ещё один из побочных эффектов, не упомянутый в 5. пункте. |
Viking 4 - 11.06.2004 - 00:40 | Ну проверил, и что? |
gloomymen 5 - 11.06.2004 - 01:08 |
А то, что теперь можешь считать себя обладателем сертификата "ma[DD]og-compatible bulging fingers" |
zuav 6 - 11.06.2004 - 01:12 |
Одной фразой припечатал двоих ... Прям как в сказке ... Может тоже ... витаминчиков ? :) |
gloomymen 7 - 11.06.2004 - 01:29 |
Да вот, хотел тоже осертификатиться, а man IPSec посылает куда подальше, man PGP даже не рискнул попробовать, man public key - даже думать боюсь. |
zuav 8 - 11.06.2004 - 01:46 |
А я все давно хотел спросить, команда man - это что, вызов справочника в никсах ? Или поиск по справочнику ? Или вообще не из этой оперы ? А то lithium часто пишет этот самый ман и сильно меня этим смущает... |
gloomymen 9 - 11.06.2004 - 03:02 |
Та это такая глупая команда - ManualAgainNeeded, ищет все время в одном каталоге /usr/share/man за'gz'ипованные текстовички с тегами, найденные показывает сереньким на черненьком, и почти всегда вражескими кракозябрами. lithium насобачился их читать, а я просто под шумок тоже про man вякаю, типа если man написал - значит соображаю. Только не говори никому. |
zuav 10 - 11.06.2004 - 03:07 | Могила :) |
danil 11 - 11.06.2004 - 08:26 |
>>>ma[DD]og >>2 Насколько помню ключ от сертификата отличается тем, что его как правило используют для защиты электронной почты. Получатель отсылает открытый ключ отправителю, отправитель шифрует им письмо, которое без закрытого ключа получателя никто прочитать не сможет. Сертификат выдается для определенной цели (защиты электронной почты, аутентификации клиента на серверах и наоборот и т.д.) их можно скидывать на съемный носитель. >>4 Электронная подпись то же самое что и частный+публичный ключи, только в этом случае они меняются ролями т.е. некто подписывает документ своей электронной подписью (частным или закрытым ключом), а все кто имеет публичный ключ могут проверить, что документ подписан данным лицом и никем другим (если другой не сопрет у данного ключ:))) >>5 по поводу начальной установки соединения: это зависит от того какой протокол удаленного доступа используется (не буду приводить различия между ними ибо все это заманено как скажет lithium ) скажу только что при использовании IPSec пароли не передаются открытым либо шифрованым текстом, в этом случае клиент и сервер согласовывают параметры безопасности, а потом уже начинают передают данных по безопасному каналу. Ну и написал:)) |
ma[DD]og 12 - 11.06.2004 - 09:49 |
с №3 по №10 - вспоминаю как первый курс собирался на первую лекцию. Итак, уважаемые, что же именно шифрует SSL? |
ma[DD]og 13 - 11.06.2004 - 10:07 |
На счет того, что все написано в манах. Не все и не везде. Вопросы я назвал концептуальными. Это особенно относится к 1, 3, 5. Для Viking, было бы интересно послушать ваш ответ на 3 вопрос, особенно его вторая часть |
зфгл 14 - 11.06.2004 - 10:18 | ma[DD]og, я как чайник в вопросах тонкой настройки VPN надеюсь, что в конце темы ты озвучишь свои, правильные ответы на вопросы :) .. |
Stepan Razin 15 - 11.06.2004 - 10:41 |
SSL (Secure Socket Layer) протокол разработан Netscape специально для выполнения безопасных Web-транзакций. SSL использует шифрование общим ключом, при котором броузер может кодировать информацию, применяя доступный всем открытый ключ, но декодировать ее может только тот, кто знает соответствующий секретный ключ. Само шифрование осуществляется рядом шифровальных алгоритмов. Когда SSL-броузер и SSL-сервер выполняют обмен первыми данными, они договариваются об алгоритме шифрования *** Олифер, Компьютерные сети |
ma[DD]og 16 - 11.06.2004 - 11:03 | Stepan Razin, в книге написано все верно, но... бестолково для понимания. Поэтому никто и не понимает. Что такое Web-транзакции? Значит ли это что SSL нельзя использовать для построения VPN кроме как для web приложений? |
ma[DD]og 17 - 11.06.2004 - 11:22 |
Я не случайно спросил про SSL. Если бы я задал вопрос что шифрует IPSec, то думаю затруднений бы с ответами не возникло. Добавлю еще один коварный вопрос, какое место во всем этом занимает PGP? ------ P.S. Лекция началась, первокурсники успокоились :-) |
ma[DD]og 18 - 11.06.2004 - 12:40 |
Хех, умельцы читать маны, отзовитесь. Так написано там это или нет? В чем разница между шифрованием почты посредством SSL и PGP? |
DarkAngel 19 - 11.06.2004 - 12:50 |
To 18: Насколько я понимаю, ИМХО и скорее всего ошибусь, SSL шифрует трафик при обмене данными между клиентов и сервером А PGP шифрует само сообщение для передачи по незащищенным каналам данных |
ma[DD]og 20 - 11.06.2004 - 12:53 | Высоко ценю, сообщения danil и Stepan Razin как попытавшихся вникнуть в существо вопроса. Предлагаю остальным высказать свои предположения. |
SSL 21 - 11.06.2004 - 13:06 | SSL определяет механизм поддержки безопасности данных на уровне между протоколами приложений (такими как Hypertext Transfer Protocol [HTTP], Telnet, Network News Transfer Protocol [NNTP] или File Transfer Protocol [FTP]) и протоколом TCP/IP. Он поддерживает шифрование данных, аутентификацию серверов, целостность сообщений и (в качестве опции) аутентификацию клиентов в канале TCP/IP.Основная цель протокола SSL состоит в том, чтобы обеспечить защищенность и надежность связи между двумя подключенными друг к другу приложениями. |
gloomymen 22 - 11.06.2004 - 13:13 |
Угомонившиеся первокурсники давным-давно смиренно ждут когда же ув. лектор начнет вещать, иначе несправедливо выходит - вместо обещанной лекции, забывчивый профессор сразу приступил к экзаменам. А маны мы не читаем, только писать про них умеем для пущей важности, пыльцу скромно подпускаем. Покорно ждем-с |
Dani 23 - 11.06.2004 - 13:15 |
18. Насколько я понимаю(возможно неверно) SSL шифрует потоки/соединения/траффик, дотупно практичеки любому клиенту, так как является на данный момент индустриальным стандартом шифрования канала. Об алгоритме шифрования договариваются непосредственно приначале соединения. PGP - просто одна из програм, которая шифрует непосредственно саму информацию, а не поток. Соотретсвенно точка Б может дефшифровать сообщение только заранее зная ключ. |
SergPV 24 - 11.06.2004 - 13:19 |
По поводу п.5 Используется алгоритм Диффи-Хеллмана. Обе стороны генерируют пару ключей и обмениваются общими ключами. Потом на основе своего личного и общего ключа другой стороны генерируется число, с обеих сторон оно получается одинаковое. Это число конвертируется и получается общий ключ шифрования. |
KPOXA EHOT 25 - 11.06.2004 - 13:21 | >19 а вот прикинь, а ты и не ошибся! :о) |
SergPV 26 - 11.06.2004 - 13:25 |
п.3 IPSec использует алгоритм шиврования DES или 3DES. Этот алгоритм является симетричным, тоесть ключи с обеих сторон должны быть одинаковые. Ключ генерируется в начале сесии и меняется в процесе. А частный/публичный неменяются... Так надежнее... |
zuav 27 - 11.06.2004 - 13:43 |
Все это в кайф почитать, а какой практический смысл ? Я не математематик, мне по барабану какой именно алгоритм шифрования |
Dani 28 - 11.06.2004 - 13:46 |
27. это информационная безобасность. мне лично интересно это знать и применять. Вообще то полезно. хотелось бы конечно лектора услышать:) |
ma[DD]og 29 - 11.06.2004 - 13:51 |
Ну чтож, правильные ответы прозвучали. Есть светлые головы :-) Абсолютно правильное описание дал SergPV на 5 и 3 вопросы. Добавлю немного. Алгоритм Диффи-Хеллмана позволяет только установить защищенное соединение между двумя хостами, которые еще не доверяют друг другу, но точно знают что канал связи уже криптографически защищен и никто неможет слить с него передаваемые данные. По 3 вопросу, алгоритмов IPSec поддерживает больше. . Участник 21 привел точное определение SSL. Шифрация производится "между" транспортным уровнем (TCP, UDP)и уровнем приложений (протоколы в №21 перечислены). Вывод: не шифруется то что "ниже" транспортного уровня, это ICMP и IGMP . DarkAngel правильно указал разницу между SSL и PGP ----------- P.S. gloomymen, плод знаний нужно орашать потом труда его взращивающего. Поэтому профессор сразу не раскрывает все знания. |
Доцент 30 - 11.06.2004 - 13:57 | Один тока идиотский вопрос: каким концом вы ССЛ решили в ВПН запихать?? И главное нафига? |
зфгл 31 - 11.06.2004 - 14:06 |
to 29 Извините, Профессор, не могли бы вы указать в каком из учебно-сертифицирующих заведений трудитесь?.. Чтобы знать к кому не нужно идти учиться... 8-* |
gloomymen 32 - 11.06.2004 - 14:13 |
О! Профэссор, это было незабываемо, я вспотел от волнения, пойду что-нибудь оросю, под впечатлением от открывшихся глубин, или орощу.... Можно узнать, в какой области Вы намерены подковаться теперь? Чтобы достойно встретить Ваш следующий экзамен. |
ma[DD]og 33 - 11.06.2004 - 14:13 | 31 -- ну это я так себя назвал, по ходу жизни, отвечая на сообщение gloomymen который употребил такое сравнение в отношении меня |
ma[DD]og 34 - 11.06.2004 - 14:14 | Я же сам не против что бы меня скромно называли сенсей |
зфгл 35 - 11.06.2004 - 14:16 |
to 32 присоединяюсь to 34 финиш... кто б ты ни был... ноу респект ... /quit |
zuav 36 - 11.06.2004 - 14:35 |
Ну так я вот вот и не понял, к чему были все эти вопросы ? Они что - самые основные при организации ВПН и при решении ее проблем ? Т.е. любой траблшутинг начинаем с ответов на эти вопросы ? |
Stepan Razin 37 - 11.06.2004 - 14:47 |
Это была проверка умений набирать в строке браузера сочетания: www.google.ru www.ya.ru %о)))) |
ma[DD]og 38 - 11.06.2004 - 15:04 |
zuav ответив на эти вопросы, можно было бы догадатся, что здесь http://www.kuban.ru/cgi-bin/forum/forum10.cgi?page=1&ask=19232 проблема не в UserGate, с точки зрения которого идет обычный TCP трафик, а скорее всего не установлена пара ключей для сервера и соответственно для клиента |
KPOXA EHOT 39 - 11.06.2004 - 15:25 |
>37 или наличия в ослике "яндекс-бара"; >38 красивый "сЪезд с базара", как гоблины говорят. |