Здравствуйте, Sinclair, Вы писали:
SK>>Ты, видимо, плохо понимаешь что криптография и SSL (кроме процессороёмкой реализации) тянут за собой большую сложную дорогую инфраструктуру CA, или не менее дорогие покупные сертификаты. S>А что именно там дорого и сложно? Раздавать сертификаты в цепочке проверки? Вполне себе дёшево.
Кровавому энетрпрайзу дешево, у него уже есть документально оформленная (пусть и внутренними регламентами) программно-аппаратная инфраструктура CA, оборудованные рабочие места и выделенные специально обученные доверенные люди с допуском на ежемесячной зарплате поддерживающие её.
Всем остальным SMB предлагается делать так-же, ради пары дюжин VoIP акканутов?
S>Для таких задач редко применяют общественную инфраструктуру — достаточно иметь вендорский Root CA предпрошитым в устройстве. S>А со стороны устройства главное — чтобы публичный ключ устройства был подписан сертификатом вендора, там цепочка из одного звена. S>Поэтому платить никому ни за что не надо.
А затем вендорский RootCA со сроком действия 30 лет "утекает" (как это было и будет много раз) и смысл этого шапито нулевой.
SK>>И все ради чего? ради того, чтобы злоумышленник третье лицо, перехватив несколько пакетов трафика не смог понять содержимого. S>Совершенно верно. Потому что когда это "содержимое" — plaintext username/password,
Не используй plaintext.
S>как это было в случаях, которые я упоминал, его "понимание" злоумышленнику полный контроль над вашей железкой. А в плохом случае — и над вашим аккаунтом (если железка авторизуется на сервере, как IP телефон).
так еще же нужно криптовать сам медиа трафик RTP/RTSP. а как стандарт sRTP/RTSPs приняли совсем недавно, так еще позже его поддержка появилась в PBX и "в железе". на тот момент типичный офисный ПК целиком стоил дешевле настольного VoIP аппарата.
