Здравствуйте, Ватакуси, Вы писали:
В>Расскажите, как цифровая подпись исполняется по шагам (от начала и до конца).
Что значит исполняется? Как подписывается и верифицируется?
В>Вы бы смогли?
Хай левел только.
И что странного в вопросе? Надо про гномиков чтоли?
В>>Расскажите, как цифровая подпись исполняется по шагам (от начала и до конца). GIV>Что значит исполняется? Как подписывается и верифицируется?
Хотели объяснения от начала и до конца. Т.е. почти что алгоритм рассказать.
В>>Вы бы смогли? GIV>Хай левел только.
Я тоже.
GIV>И что странного в вопросе? Надо про гномиков чтоли?
Просто я никогда не встречал людей, которые пишут подобные вещи. Обычно библиотеками все пользуются.
Здравствуйте, Ватакуси, Вы писали:
GIV>>И что странного в вопросе? Надо про гномиков чтоли? В>Просто я никогда не встречал людей, которые пишут подобные вещи. Обычно библиотеками все пользуются.
Если прямо алгоритмы всего-всего в данном процессе, то это как-то надолго. А вот если им было нужно именно относительно высокоуровневое описание по шагам, как происходит создание/проверка подписи, чтобы выявить, есть ли у человека понимание как оно работает — то вполне нормальный вопрос для позиции, как либо связанной с безопасностью, даже если использовать придется исключительно готовые библиотеки. Такой вопрос более вероятен, хотя никогда нельзя исключать и встречу со странным собеседующим.
GIV>>>И что странного в вопросе? Надо про гномиков чтоли? В>>Просто я никогда не встречал людей, которые пишут подобные вещи. Обычно библиотеками все пользуются.
F>Если прямо алгоритмы всего-всего в данном процессе, то это как-то надолго. А вот если им было нужно именно относительно высокоуровневое описание по шагам, как происходит создание/проверка подписи, чтобы выявить, есть ли у человека понимание как оно работает — то вполне нормальный вопрос для позиции, как либо связанной с безопасностью, даже если использовать придется исключительно готовые библиотеки. Такой вопрос более вероятен, хотя никогда нельзя исключать и встречу со странным собеседующим.
Можешь указать, где можно очень подробно (по шагам) это почитать?
Здравствуйте, Pzz, Вы писали:
В>>Расскажите, как цифровая подпись исполняется по шагам (от начала и до конца). В>>Вы бы смогли?
Pzz>Смог бы.
Я понятия не имею как делают цифровые подписи, но я думаю, что тоже смог бы. Не факт, что мой ответ приняли бы.
Рассказать я могу как подписывают какой-либо документ с помощью цифровой подписи.
Либо здесь имеется ввиду — когда ты пальцем пальцем по экрану водишь? Тут сложнее, надо знать какие параметры вообще уникальны для такой подписи и алгоритм сопоставления будет сложный. За такую задачу без эксперта я бы точно не брался.
Здравствуйте, alzt, Вы писали:
A>Я понятия не имею как делают цифровые подписи, но я думаю, что тоже смог бы. Не факт, что мой ответ приняли бы. A>Рассказать я могу как подписывают какой-либо документ с помощью цифровой подписи.
А я знаю, как делают цифровые подписи. А вот те граждане, которые выдают у нас в стране цифровые подписи для подписывания документов, которые имеют юридическую силу, они, увы, этого не знают. И выдают цифровую подпись с изначально скомпроментированным приватным ключем.
Здравствуйте, Ватакуси, Вы писали:
В>Можешь указать, где можно очень подробно (по шагам) это почитать?
Очевидно, что в Википедии всегда что-то найдётся. Плюс книги — в частности, "Прикладная криптография" — там всё подробно расписано и про цифровую подпись на основе открытого ключа, и про HMAC.
В>>>Расскажите, как цифровая подпись исполняется по шагам (от начала и до конца). GIV>>Что значит исполняется? Как подписывается и верифицируется? В>Хотели объяснения от начала и до конца. Т.е. почти что алгоритм рассказать.
Ты должен понимать, что тебе нужно не ответить на вопрос, а сказать то, что ожидает собеседующий. Если он задал вопрос в той же невнятной форме, то он явно не технарь и деталей сам не знает. Значит, ему нужно было рассказать довольно поверхностно. Но для начала задать уточняющий вопрос (опять же на собеседованиях вообще редко хотят услышать ответ на вопрос, чаще их интересует как ты будешь реагировать на вопрос, как искать ответ, иногда просто устраивают провокации и смотрят пошлешь ты их или среагируешь как задрот). Задав уточняющий вопрос, ты бы показал, что умеешь выбираться из неудобных ситуаций (а заодно понял бы, что именно от тебя хотят услышать). Я бы спросил, про какую именно цифровую подпись он хочет услышать и что именно (математику, которая в основе, способ формирования подписи или какие параметры проверяются при проверки подписи и про подпись ли вообще речь или про сертификат).
В>>>Вы бы смогли? GIV>>Хай левел только. В>Я тоже.
Больше и не надо. Как я уже сказал, возможно, на самом деле хотели увидеть, как ты будешь искать ответ на этот вопрос.
GIV>>И что странного в вопросе? Надо про гномиков чтоли? В>Просто я никогда не встречал людей, которые пишут подобные вещи. Обычно библиотеками все пользуются.
Чувак, который тебя собеседовал, тоже пользуется библиотеками (если вообще пишет код). А "глубина" его знания вопроса, наверняка, прямо пропорциональна раздутости Эго и размеру самомнения. Вряд ли он сможет детально объяснить шифрование с использованием эллиптических кривых и способ формирования той самой подписи (а если сможет — он реально хорошо разбирается в вопросе, в смысле глубже чем "умею использовать библиотеки").
Здравствуйте, Ватакуси, Вы писали:
В>Расскажите, как цифровая подпись исполняется по шагам (от начала и до конца). В>Вы бы смогли?
Да.
Что-то типа:
1) Опциональная канонизация подписываемого объекта (т.е. чтобы два семантически одинаковых объекта сериализовались в одинаковый набор байт). Это нужно, если объект не передаётся вместе с подписью (например, если он вычисляется локально).
2) Подсчёт криптографически-сильного хэша сериализованного объекта.
3) Подпись хэша с помощью асимметричного алгоритма. Для RSA я могу показать математику.
Дальше можно обсудить то, что обычно публичный ключ прилагается вместе с подписью. И сам публичный ключ, в свою очередь, подписан вышестоящим ключом (и так рекурсивно). Обсудить хранение корневых публичных ключей, списки отзыва сертификатов, certificate transparency.
Думаю, на час разговора легко можно рассчитывать.
В>Это Сони.
Нормально вполне.
Здравствуйте, Ватакуси, Вы писали:
F>>Если прямо алгоритмы всего-всего в данном процессе, то это как-то надолго. А вот если им было нужно именно относительно высокоуровневое описание по шагам, как происходит создание/проверка подписи, чтобы выявить, есть ли у человека понимание как оно работает — то вполне нормальный вопрос для позиции, как либо связанной с безопасностью, даже если использовать придется исключительно готовые библиотеки. Такой вопрос более вероятен, хотя никогда нельзя исключать и встречу со странным собеседующим.
В>Можешь указать, где можно очень подробно (по шагам) это почитать?
Нет, к сожалению.
Глубоко и очень подробно я сам не знаю, не мое это.
В общем и целом процесс выдачи и проверки подписи, а так же что такое удостоверяющие центры, цепочка сертификатов, отзывы сертификатов и такое все мне когда-то давно читал краткую лекцию специалист по безопасности — было полезно и дало общее понимание что к чему и как оно в целом работает.
Уверен, что в инете можно найти хорошее описание, но у меня проверенной ссылки нет — как-то не требовалось.
А в детали там погружаться можно чуть ли не бесконечно в любой части.
Здравствуйте, Cyberax, Вы писали:
C>Дальше можно обсудить то, что обычно публичный ключ прилагается вместе с подписью. И сам публичный ключ, в свою очередь, подписан вышестоящим ключом (и так рекурсивно). Обсудить хранение корневых публичных ключей, списки отзыва сертификатов, certificate transparency.
Ещё можно добавить про Root of Trust, когда хеш корневного ключа вшивается в One-Time Programming хранилище. И на его основании делается Chain Of Trust.
Здравствуйте, Pzz, Вы писали:
A>>Я понятия не имею как делают цифровые подписи, но я думаю, что тоже смог бы. Не факт, что мой ответ приняли бы. A>>Рассказать я могу как подписывают какой-либо документ с помощью цифровой подписи.
Pzz>А я знаю, как делают цифровые подписи. А вот те граждане, которые выдают у нас в стране цифровые подписи для подписывания документов, которые имеют юридическую силу, они, увы, этого не знают. И выдают цифровую подпись с изначально скомпроментированным приватным ключем.
Российские госорганы глупее казахстанских? У нас всё по уму (т.е. можно и не по уму и так делают 90% людей но это их проблемы).
Здравствуйте, vsb, Вы писали:
vsb>Российские госорганы глупее казахстанских? У нас всё по уму (т.е. можно и не по уму и так делают 90% людей но это их проблемы).
Я не могу это прокомментировать. Я ж ничего не знаю про то, как у вас, кроме твоего утверждения, что у вас все по уму.
Здравствуйте, Pzz, Вы писали:
vsb>>Российские госорганы глупее казахстанских? У нас всё по уму (т.е. можно и не по уму и так делают 90% людей но это их проблемы).
Pzz>Я не могу это прокомментировать. Я ж ничего не знаю про то, как у вас, кроме твоего утверждения, что у вас все по уму.
Покупаешь крипто токен в магазине. Заходишь на сайт, тыкаешь выпустить сертификат, вводишь свою инфу. Сайт генерует ключ на крипто-токене, генерирует CSR, засылает в систему и даёт тебе бумажку, которую надо распечатать. Распечатываешь, идёшь в специальное учреждение с удостоверением, там специально обученный человек тыкает "ок" у себя в системе. Возвращаешься домой, скачиваешь сертификат в этот самый токен и всё. Закрытый ключ не покидает твоего токена ни на каком этапе.
Здравствуйте, vsb, Вы писали:
vsb>Покупаешь крипто токен в магазине. Заходишь на сайт, тыкаешь выпустить сертификат, вводишь свою инфу. Сайт генерует ключ на крипто-токене, генерирует CSR, засылает в систему и даёт тебе бумажку, которую надо распечатать. Распечатываешь, идёшь в специальное учреждение с удостоверением, там специально обученный человек тыкает "ок" у себя в системе. Возвращаешься домой, скачиваешь сертификат в этот самый токен и всё. Закрытый ключ не покидает твоего токена ни на каком этапе.
