Здравствуйте, fin_81, Вы писали:
_>И опять ты говоришь о том, что не видел, но мнение имеешь. То "chroot", то скрипты... Что еще?
Так я тебе объяснять что ле должен про "разрыв первого рода", когда бинарники в твоём Nix получаются отдельно, а их "регистрация" в системе отдельно? Ты ведь так и не объяснил, в чём должна заключаться невозможность подделки всего того, что делает сама Nix. )) Мне-то казалось, что повторенного более одного раза напоминания про невозможную к подделке подпись самих бинарников в виндах должно было быть достаточно, ы? Ты сам разве не увидел еще принципиальной разницы этих двух подходов? Там ведь всё глубже получается, если копнуть. В проприетарном ПО сам разработчик является владельцем приватного ключа подписи, т.е. у меня доступа к "исходнику" этой подписи нет. А с открытым ПО что делать, ы?
Здравствуйте, vdimas, Вы писали:
V>Так я тебе объяснять что ле должен про "разрыв первого рода", когда бинарники в твоём Nix получаются отдельно, а их "регистрация" в системе отдельно? Ты ведь так и не объяснил, в чём должна заключаться невозможность подделки всего того, что делает сама Nix. )) Мне-то казалось, что повторенного более одного раза напоминания про невозможную к подделке подпись самих бинарников в виндах должно было быть достаточно, ы? Ты сам разве не увидел еще принципиальной разницы этих двух подходов? Там ведь всё глубже получается, если копнуть. В проприетарном ПО сам разработчик является владельцем приватного ключа подписи, т.е. у меня доступа к "исходнику" этой подписи нет. А с открытым ПО что делать, ы?
Тебе надо знать все дерево хешей, чтобы подменить. Если я поменяю ключи сборки gcc, libc или другого пакета, потому что я маньяк-оптимизатор и люблю свои ключи оптимизации под конкретное железо, то всю дерево зависимостей поменяет хеши. Полная пересборка всей системы, точнее, всего графа зависимостей. А ключей может быть много, тем более сценариев сборки пакетов, что приведет к "хаосу версий"(с)сам придумал. Про эту багофичу я сразу сказал. Получаем уникальную систему, и другой бинарник из другой nixos не запустится простым копированием, потому что не найдет нужные зависимости. Придется хачить/патчит бинарник, и это может сделать только сама система (nix).
Естественно можно ничего не менять, и пользоваться доверенными собранными системами от дистра. И работать от рута ("админ" в винде — это не рут), подменять бинарники на свои, писать напрямую в память процессов, но тут ты ссзб. И даже в этом случае, ты можешь сам пересобрать пакеты с проверкой повторяемости сборки.
Повторю, SxS — это костыль с попыткой разрулить зависимости, "длл-хелл" и "хаос версий" в одном флаконе.
Здравствуйте, vdimas, Вы писали:
V>В этом месте ты мне делаешь смешно уже 5-й раз.
Смайл ты поставил только два раза, не сходится. Опять попытка "доминации" над собеседником, но опять предмет обсуждения не видел.
В nixos уже есть готовые сценарии для автоматического патча сторонних бинарников, или настройки стандартного окружения. И после патча получаешь уникальную программу под свою уникальную систему. И "третья заинтересованная сторона" может только гадать эти хеши в попыткам подменить. То есть разаработчик/мейнтейнер отвечает за корректность сборки, при этом не знает какой конкретно бинарь получиться у конкретного пользователя. Пользователь получает свою уникальную систему. Не нужны "третьи заинтересованные стороны" в виде центров раздающих направо и налево сертификаты.
Но ты смеешься над неизвестно чем, даже не можешь описать над чем. "Конструктивненько" "доминируешь".
Здравствуйте, fin_81, Вы писали:
V>>В этом месте ты мне делаешь смешно уже 5-й раз. _>Но ты смеешься над неизвестно чем, даже не можешь описать над чем. "Конструктивненько" "доминируешь".
А зачем ты скипнул свой абзац в ответе?
Там хорошо видно, что именно меня улыбает.
Здравствуйте, vdimas, Вы писали:
V>А зачем ты скипнул свой абзац в ответе? V>Там хорошо видно, что именно меня улыбает.
Что скипнул? То что придется что-то делать ментейнеру для описания зависимостей, а пользователю мирится с тем что неустановленные программы не работают?
В SxS также придется описать зависимости, а пользователю придется мириться с гигабайтами версий. И все равно окажется что нужных версий не оказалось, и мы получаем длл-хелл, то есть проблему не решили. Для этого нужно вес комбинаторный взрыв хранить. Что привело к тому, что SxS хранить хардлинки на одну и ту же версию под разными именами. То есть откровенный самообман. Но тут тебе не смешно, ты это продвигаешь как серебряную пулю.
Здравствуйте, fin_81, Вы писали:
_>В SxS также придется описать зависимости, а пользователю придется мириться с гигабайтами версий. И все равно окажется что нужных версий не оказалось, и мы получаем длл-хелл, то есть проблему не решили. Для этого нужно вес комбинаторный взрыв хранить. Что привело к тому, что SxS хранить хардлинки на одну и ту же версию под разными именами. То есть откровенный самообман. Но тут тебе не смешно, ты это продвигаешь как серебряную пулю.
Ты опять подменяешь тему и я тебе уже указывал, что ты возражаешь не на то, на что пишешь свой ответ. Я тебе говорил о ненадёжности системы Nix в случае злонамеренных действий. А ты говоришь исключительно о "позитивных" возможностях системы. Т.е. симулируешь спор по таким вопросам, по которым спора нет.
Вот и получается, что я должен совсем уж на пальцах с тобой изъясняться. Например, о том, что "взломать" подписанные сборки в виндах можно только через ядерные руткиты. Потому что не взломать, а тупо подменить собой часть ядра операционки. А в твоих Nix-ах достаточно будет юзерлевельного привилегированного доступа. Просто я не сразу понял, что ты нихрена не понял из того, что тебе говорят. Мне казалось ты просто дурочку ломаешь, ан нет, не ломаешь. Уж лучше бы ломал, а то чистой воды залёт получается. ))
Здравствуйте, vdimas, Вы писали:
V>... Например, о том, что "взломать" подписанные сборки в виндах можно только через ядерные руткиты ...
С каких пор sxs.dll грузится как процесс ядра? Почему привилегированный пользователь не может его подменить? Почему привилегированный пользователь не может просто удалить директории с sxs? Что за альтернативная реальность?
Вообщем, всё это у меня вызывает отвращение. Это даже не "неконструктив", это первородный хоас. Спасибо за внимание.
Здравствуйте, fin_81, Вы писали:
V>>... Например, о том, что "взломать" подписанные сборки в виндах можно только через ядерные руткиты ... _>С каких пор sxs.dll грузится как процесс ядра?
sxs.dll — это не загрузчик, а всего-лишь утилита по организации кеша — регистрации и удаления из него сборок.
_>Почему привилегированный пользователь не может его подменить?
Потому что сам sxs.dll тоже подписан, а подпись подделать невозможно.
_>Почему привилегированный пользователь не может просто удалить директории с sxs? Что за альтернативная реальность?
Удалить может, но не может подделать.
_>Вообщем, всё это у меня вызывает отвращение.
Отвращение к знаниям?
За тот срок, сколько мы общаемся по этой теме, можно было уже раз 10 досконально изучить материал и перестать так жестоко подставляться.
Отвечу только на это, т.к. это смешит меня с начала.
V>... V>Потому что сам sxs.dll тоже подписан, а подпись подделать невозможно. V>...
Подпись — серебряная пуля.
Кем подписан, "третьей заинтересованной стороной"?
Ты еще скажи, что uefi и secure boot спасет отца русской демократии, ключи которго раздаются/утекли кому попало, и не даст загрузить неподписанные бинаркники в память.
Здравствуйте, fin_81, Вы писали:
V>>... V>>Потому что сам sxs.dll тоже подписан, а подпись подделать невозможно. V>>... _>Подпись — серебряная пуля.
Это плохой вопрос. Потому что намекает на то, что VPN, SSH, SSL и прочее pgp-мыло и даже подписанные электронные отчёты в налоговую нафик никому не сдались.
Подпись — это подпись. Удостоверяет некую сторону.
В данном случае — некоего конкретного разработчика ПО, владельца этой подписи.
_>Ты еще скажи, что uefi и secure boot спасет отца русской демократии, ключи которго раздаются/утекли кому попало, и не даст загрузить неподписанные бинаркники в память.
Да нет же, давай откажемся от электронных подписей вовсе! Именно по причине того, что ключи secure boot от некоей материнки утекли.
А кто мешает тебе скачать новую прошивку от производителя материнки с неутекшими ключами, ы?
Здравствуйте, vdimas, Вы писали:
_>>Подпись — серебряная пуля.
V>Это плохой вопрос. Потому что намекает на то, что VPN, SSH, SSL и прочее pgp-мыло и даже подписанные электронные отчёты в налоговую нафик никому не сдались.
Как получают электронные подписи для отчетности в РФ — это полная профанация, сделано для галочки.
Про все остальное — это инструменты, которыми надо уметь пользоваться, чтобы получить продукт.
_>>Кем подписан, "третьей заинтересованной стороной"?
V>Подпись — это подпись. Удостоверяет некую сторону. V>В данном случае — некоего конкретного разработчика ПО, владельца этой подписи.
Подпись на подписи подписью погоняет.
Какую пропишу/зарегистрирую в системе от привилегированного пользователя, как "правильную" подпись/бинарь, такая и будет "правда".
Но для винды — это хорошо, в случае линукса — это плохо.
_>>Ты еще скажи, что uefi и secure boot спасет отца русской демократии, ключи которго раздаются/утекли кому попало, и не даст загрузить неподписанные бинаркники в память.
V>Да нет же, давай откажемся от электронных подписей вовсе! Именно по причине того, что ключи secure boot от некоей материнки утекли. V>А кто мешает тебе скачать новую прошивку от производителя материнки с неутекшими ключами, ы?
Дело в том, что ключи эти не от производителей материнок, телефонов и тп. А от самой "заинтересованной третьей стороны", от MS.
То есть в secure boot нужен механизм с отзывом, временем жизни сертификатов и тп.
Но secure boot придуман не для secure, а для банального вендорлок.
Здравствуйте, fin_81, Вы писали:
_>Какую пропишу/зарегистрирую в системе от привилегированного пользователя, как "правильную" подпись/бинарь, такая и будет "правда".
Для твоего Nix это именно так. Я тебе сразу об этом же сказал.
_>Но для винды — это хорошо, в случае линукса — это плохо.
Это когда код ничей. В этом есть и плюсы и минусы, ес-но.
Для разработчика плюс, для конечного пользователя — минус.
_>Дело в том, что ключи эти не от производителей материнок, телефонов и тп. А от самой "заинтересованной третьей стороны", от MS.
Ну ты различай ключи шифрования, сертификаты, подписи, и как они соотносятся.
Утекшие ключи не имеют к сертификатам никакого отношения.
Имея один подписанный ключ шифрования невозможно по нему восстановить сертификат (приватную его часть) и заверить им же другой ключ.
_>То есть в secure boot нужен механизм с отзывом, временем жизни сертификатов и тп.
Не надо на ходу придумывать что там нужно, а что не нужно. ))
Уже давно придумали.
_>Но secure boot придуман не для secure, а для банального вендорлок.
Здравствуйте, vdimas, Вы писали:
V>Здравствуйте, fin_81, Вы писали:
_>>Какую пропишу/зарегистрирую в системе от привилегированного пользователя, как "правильную" подпись/бинарь, такая и будет "правда".
V>Для твоего Nix это именно так. Я тебе сразу об этом же сказал.
В винде точно так же. Иначе ты бы не смог обновить систему. Потому что у новых бинарей будут "неправильные" подписи.
_>>Но для винды — это хорошо, в случае линукса — это плохо.
V>Это когда код ничей. В этом есть и плюсы и минусы, ес-но. V>Для разработчика плюс, для конечного пользователя — минус.
В смысле код ничей? Код конкретного разработчика или сообщества, для которого можно посчитать конкретный хеш на определенный момент времени и пространства, собран конкретным пользователем под конкретное окружение, в соответствии конкретным сценарием и получен конкретный бинарь. Можно повторить и проверить идентичность сборки при одинаковых условиях, или сделать выводы что кто-то ведет себя совсем не детерминировано.
_>>Дело в том, что ключи эти не от производителей материнок, телефонов и тп. А от самой "заинтересованной третьей стороны", от MS.
V>Ну ты различай ключи шифрования, сертификаты, подписи, и как они соотносятся. V>Утекшие ключи не имеют к сертификатам никакого отношения. V>Имея один подписанный ключ шифрования невозможно по нему восстановить сертификат (приватную его часть) и заверить им же другой ключ.
Утекли приватные ключи, которыми можно подписать загрузчик.
И они не могли быть вечно секретными (это моя аксиома).
_>>То есть в secure boot нужен механизм с отзывом, временем жизни сертификатов и тп.
V>Не надо на ходу придумывать что там нужно, а что не нужно. )) V>Уже давно придумали.
Ты еще скажи, что он реализован в secure boot в полном объеме с удостоверяющими центрами в интерент.
Также у x509 есть некоторые проблемы. А они не могли не быть (это тоже моя аксиома).
Хотя стоп, говорят, в intel me реализован сетевой стек.
_>>Но secure boot придуман не для secure, а для банального вендорлок. V>Для защиты устройства от подмены ПО.
Почти не смешно.
Здравствуйте, fin_81, Вы писали:
V>>Для твоего Nix это именно так. Я тебе сразу об этом же сказал. _>В винде точно так же. Иначе ты бы не смог обновить систему. Потому что у новых бинарей будут "неправильные" подписи.
Подписи как раз будут правильные: http://www.rsdn.org/forum/flame.comp/6964456.1
Я ведь как раз с бинарной совместимости начал.
Можно обновить библиотеку низкого уровня без того, чтобы пересобирать вообще весь софт на машине, как это потребуется на твоей nix. ))
V>>Это когда код ничей. В этом есть и плюсы и минусы, ес-но. V>>Для разработчика плюс, для конечного пользователя — минус. _>В смысле код ничей?
Да так, ничей. Невозможно идентифицировать, кто именно его собирал и что он с ним делал.
_>Код конкретного разработчика или сообщества, для которого можно посчитать конкретный хеш на определенный момент времени и пространства, собран конкретным пользователем под конкретное окружение, в соответствии конкретным сценарием и получен конкретный бинарь.
Слишком много слов для простого "собран непонятно кем из непонятно каких сырцов".
_>Можно повторить и проверить идентичность сборки при одинаковых условиях, или сделать выводы что кто-то ведет себя совсем не детерминировано.
Если хеш хранится отдельно от бинаря, то нет ему доверия.
А насчёт "проверить и сделать выводы" — смишно.
Это бухгалтер или секретарша на своём офисном компе будут проверять?
V>>Имея один подписанный ключ шифрования невозможно по нему восстановить сертификат (приватную его часть) и заверить им же другой ключ. _>Утекли приватные ключи, которыми можно подписать загрузчик.
Ключ не живёт в вакууме. Обнови прошивку материнки (знания о публичной части ключа или сертификате, его подписавшем) и этот ключ больше не будет приниматься при старте.
_>И они не могли быть вечно секретными (это моя аксиома).
Разумеется, любая защита не является абсолютной. Но стандарт X.509 даёт очень хороший размен телодвижений (де-факто совсем небольших) на получаемую степень защиты (де-факто огромную).
V>>Не надо на ходу придумывать что там нужно, а что не нужно. )) V>>Уже давно придумали. _>Ты еще скажи, что он реализован в secure boot в полном объеме с удостоверяющими центрами в интерент.
Любая система, построенная на основе X.509, всегда сидит поверх в некоего доверенного артефакта. Т.е. любая доверительная система должна с чего-то начинаться. Поэтому, твой "удостоверяющий центр" в интернете ничем не лучше какого-нить своего локального удостоверяющего центра (с его рутовым артефактом/артефактами). И для целей совсем суровой безопасности интернетный центр намного хуже локального, разумеется. Это как оно работает в реальной жизни.
_>Также у x509 есть некоторые проблемы. А они не могли не быть (это тоже моя аксиома).
Если под "некоторыми проблемами" ты подразумеваешь отсутствие абсолютной защищённости, то ты тем самым отвергаешь сам смысл защиты как таковой. Потому что любая система защиты не абсолютна. Но она может гарантировать какую-нить чудовищную трудоёмкость по её обходу, что может делать мероприятия по обходу защиты бессмысленными. Что и требуется.
Здравствуйте, vdimas, Вы писали:
V>Я ведь как раз с бинарной совместимости начал. V>Можно обновить библиотеку низкого уровня без того, чтобы пересобирать вообще весь софт на машине, как это потребуется на твоей nix. ))
Бинарная совместимость и можно поменять любой бинарий, главное подпись была "правильной". Но "подменить нельзя".
Ты подменил "бинарную совместимость" на "правильно подписать".
Почти не смешно.
V>Слишком много слов для простого "собран непонятно кем из непонятно каких сырцов".
Без комментариев.
Так и запишем, "правильно подписан" — это гарантия того, что подписал понятно кто понятно какой бинарь, собранный из понятно каких исходников.
V>Если хеш хранится отдельно от бинаря, то нет ему доверия. V>А насчёт "проверить и сделать выводы" — смишно. V>Это бухгалтер или секретарша на своём офисном компе будут проверять?
Жесть.
Хеш, бинарь, вместе, доверие, секретарша...
Это не возможно как-то коментировать.
V>>>Имея один подписанный ключ шифрования невозможно по нему восстановить сертификат (приватную его часть) и заверить им же другой ключ. _>>Утекли приватные ключи, которыми можно подписать загрузчик.
V>Ключ не живёт в вакууме. Обнови прошивку материнки (знания о публичной части ключа или сертификате, его подписавшем) и этот ключ больше не будет приниматься при старте.
Ну обнови прошивку в своем компе, планшете, смартфоне. Как нет обновления? Есть решение — купить новый, там-то точно новый secure boot с "правильными" ключами, и всего за 99999 рублей.
_>>И они не могли быть вечно секретными (это моя аксиома).
V>Разумеется, любая защита не является абсолютной. Но стандарт X.509 даёт очень хороший размен телодвижений (де-факто совсем небольших) на получаемую степень защиты (де-факто огромную).
"Де-факто".
Ты еще скажи есть результаты экспериментов с доверительным интервалом 5 сигма.
V>>>Не надо на ходу придумывать что там нужно, а что не нужно. )) V>>>Уже давно придумали. _>>Ты еще скажи, что он реализован в secure boot в полном объеме с удостоверяющими центрами в интерент.
V>Любая система, построенная на основе X.509, всегда сидит поверх в некоего доверенного артефакта. Т.е. любая доверительная система должна с чего-то начинаться. Поэтому, твой "удостоверяющий центр" в интернете ничем не лучше какого-нить своего локального удостоверяющего центра (с его рутовым артефактом/артефактами). И для целей совсем суровой безопасности интернетный центр намного хуже локального, разумеется. Это как оно работает в реальной жизни.
Конечный пользователь может управлять "доверенными артефактами", или он навязывается "третьей стороной".
Когда я отключаю secure boot и гружу мой загрузчик, вместо загрузчика подписанного "третьей стороной", про которого в интернете говорят, что у него утекли какие важные ключи... Это какая "степень защиты" и "доверия"?
_>>Также у x509 есть некоторые проблемы. А они не могли не быть (это тоже моя аксиома).
V>Если под "некоторыми проблемами" ты подразумеваешь отсутствие абсолютной защищённости, то ты тем самым отвергаешь сам смысл защиты как таковой. Потому что любая система защиты не абсолютна. Но она может гарантировать какую-нить чудовищную трудоёмкость по её обходу, что может делать мероприятия по обходу защиты бессмысленными. Что и требуется.
Трудоемкость обхода — скомпрометировать коневой сертификат, что уже сделано.
Про какое еще доверие вообще речь?