Сообщение Re[10]: Бекап gpg ключей от 13.08.2015 9:07
Изменено 13.08.2015 9:20 #John
Здравствуйте, wildwind, Вы писали:
W>Вот эту мысль поясни подробнее. Если у тебя нет исследований и публикаций, то не стоит браться за реализацию криптографии в коде? Прежде чем писать свою программу с криптографией, нужно распиарить себя в интернете? Я не вижу здесь никакой связи. Исследования и написание хорошего кода требуют в общем случае разных навыков.
Сначала должны быть доказаны алгоритмы которыми можно шифровать данные, потом составлен протокол по какому принцыпу будут шифроваться-расшифровываться данные. После реализована имплементация этого протокола. И только после, с использованием имплементации этого протокола написана программа для управления зашифрованными данными. Писать имплементацию алгоритмов и протокола должен человек разбирающийся в криптографии и секурити.
W>Приведу контрпример. Авторы TrueCrypt вообще скрывались как могли, а аудит их кода показал, что код нормальный.
Репутация у программы которая работает с криптографией должна быть идеальной. pdf
W>Кстати, на сайте KeePass есть пара рекомендаций, которые, полагаю, чего-то стоят:
Никогда не слышал об этих организациях и кто там работает.
W>Ну и для полноты картины, повторю вопрос: чем известен автор pass?
неважно кто писал pass, pass это всего-навсего несколько очень простых скриптов, которые помогут более удобно пользоваться программой gnupg для шифрования дерева с паролями , gnupg — это имплементация rfc4880 OpenPGP причем отлично продокументированна, протестированна.
W>Хочешь сказать, что криптолибы должны быть unmanaged? Первый раз такое слышу, есть какие-то обоснования? По-моему, наоборот, переключения managed-unmanaged и необходимость поддержки нескольких портов либы под разные платформы создают дополнительные риски появления уязвимостей.
либа должна быть написана на самом простом языке без излишеств(типа ооп и вирт. машины), который более не меняется, напр. С, т.к предсказуемость выполнения программы важна для правильной работы алгоритмов.
W>Вот эту мысль поясни подробнее. Если у тебя нет исследований и публикаций, то не стоит браться за реализацию криптографии в коде? Прежде чем писать свою программу с криптографией, нужно распиарить себя в интернете? Я не вижу здесь никакой связи. Исследования и написание хорошего кода требуют в общем случае разных навыков.
Сначала должны быть доказаны алгоритмы которыми можно шифровать данные, потом составлен протокол по какому принцыпу будут шифроваться-расшифровываться данные. После реализована имплементация этого протокола. И только после, с использованием имплементации этого протокола написана программа для управления зашифрованными данными. Писать имплементацию алгоритмов и протокола должен человек разбирающийся в криптографии и секурити.
W>Приведу контрпример. Авторы TrueCrypt вообще скрывались как могли, а аудит их кода показал, что код нормальный.
Репутация у программы которая работает с криптографией должна быть идеальной. pdf
W>Кстати, на сайте KeePass есть пара рекомендаций, которые, полагаю, чего-то стоят:
Никогда не слышал об этих организациях и кто там работает.
W>Ну и для полноты картины, повторю вопрос: чем известен автор pass?
неважно кто писал pass, pass это всего-навсего несколько очень простых скриптов, которые помогут более удобно пользоваться программой gnupg для шифрования дерева с паролями , gnupg — это имплементация rfc4880 OpenPGP причем отлично продокументированна, протестированна.
W>Хочешь сказать, что криптолибы должны быть unmanaged? Первый раз такое слышу, есть какие-то обоснования? По-моему, наоборот, переключения managed-unmanaged и необходимость поддержки нескольких портов либы под разные платформы создают дополнительные риски появления уязвимостей.
либа должна быть написана на самом простом языке без излишеств(типа ооп и вирт. машины), который более не меняется, напр. С, т.к предсказуемость выполнения программы важна для правильной работы алгоритмов.
Re[10]: Бекап gpg ключей
Здравствуйте, wildwind, Вы писали:
W>Вот эту мысль поясни подробнее. Если у тебя нет исследований и публикаций, то не стоит браться за реализацию криптографии в коде? Прежде чем писать свою программу с криптографией, нужно распиарить себя в интернете? Я не вижу здесь никакой связи. Исследования и написание хорошего кода требуют в общем случае разных навыков.
Сначала должны быть доказаны алгоритмы которыми можно шифровать данные, потом составлен протокол по какому принцыпу будут шифроваться-расшифровываться данные. После реализована имплементация этого протокола. И только после, с использованием имплементации этого протокола написана программа для управления зашифрованными данными. Писать имплементацию алгоритмов и протокола должен человек разбирающийся в криптографии и секурити.
W>Приведу контрпример. Авторы TrueCrypt вообще скрывались как могли, а аудит их кода показал, что код нормальный.
Репутация у программы которая работает с криптографией должна быть идеальной. pdf
pdf 2
W>Кстати, на сайте KeePass есть пара рекомендаций, которые, полагаю, чего-то стоят:
Никогда не слышал об этих организациях и кто там работает.
W>Ну и для полноты картины, повторю вопрос: чем известен автор pass?
неважно кто писал pass, pass это всего-навсего несколько очень простых скриптов, которые помогут более удобно пользоваться программой gnupg для шифрования дерева с паролями , gnupg — это имплементация rfc4880 OpenPGP причем отлично продокументированна, протестированна.
W>Хочешь сказать, что криптолибы должны быть unmanaged? Первый раз такое слышу, есть какие-то обоснования? По-моему, наоборот, переключения managed-unmanaged и необходимость поддержки нескольких портов либы под разные платформы создают дополнительные риски появления уязвимостей.
либа должна быть написана на самом простом языке без излишеств(типа ооп и вирт. машины), который более не меняется, напр. С, т.к предсказуемость выполнения программы важна для правильной работы алгоритмов.
W>Вот эту мысль поясни подробнее. Если у тебя нет исследований и публикаций, то не стоит браться за реализацию криптографии в коде? Прежде чем писать свою программу с криптографией, нужно распиарить себя в интернете? Я не вижу здесь никакой связи. Исследования и написание хорошего кода требуют в общем случае разных навыков.
Сначала должны быть доказаны алгоритмы которыми можно шифровать данные, потом составлен протокол по какому принцыпу будут шифроваться-расшифровываться данные. После реализована имплементация этого протокола. И только после, с использованием имплементации этого протокола написана программа для управления зашифрованными данными. Писать имплементацию алгоритмов и протокола должен человек разбирающийся в криптографии и секурити.
W>Приведу контрпример. Авторы TrueCrypt вообще скрывались как могли, а аудит их кода показал, что код нормальный.
Репутация у программы которая работает с криптографией должна быть идеальной. pdf
pdf 2
W>Кстати, на сайте KeePass есть пара рекомендаций, которые, полагаю, чего-то стоят:
Никогда не слышал об этих организациях и кто там работает.
W>Ну и для полноты картины, повторю вопрос: чем известен автор pass?
неважно кто писал pass, pass это всего-навсего несколько очень простых скриптов, которые помогут более удобно пользоваться программой gnupg для шифрования дерева с паролями , gnupg — это имплементация rfc4880 OpenPGP причем отлично продокументированна, протестированна.
W>Хочешь сказать, что криптолибы должны быть unmanaged? Первый раз такое слышу, есть какие-то обоснования? По-моему, наоборот, переключения managed-unmanaged и необходимость поддержки нескольких портов либы под разные платформы создают дополнительные риски появления уязвимостей.
либа должна быть написана на самом простом языке без излишеств(типа ооп и вирт. машины), который более не меняется, напр. С, т.к предсказуемость выполнения программы важна для правильной работы алгоритмов.