История изменений
Исправление atrus, (текущая версия) :
будет хоть одно подтверждение тезисов?
На уровне Капитана Очевидность же...
особенно хочется посмотреть на костыльность и дырявость пгп.
Главная костыльность и PGP и S/MIME в том, что это опциональные фичи, а потому ими почти никто не пользуется. У PGP в этом плане проблем ещё больше. Эта штука от гиков для гиков. Технически неподкованному пользователю может быть сложно настроить даже клиентскую часть, даром, что она практически встроена в почтовики. А обильное легаси осложняет настройку серверной. Последний костыль в том, что всё это прикручено сбоку, а потому хоть обшифруйся, но метаданные всё равно остаются открытыми. Ну и вишенка: В PGP мы на все письма используем один ключ, что ни разу не хорошо.
Теперь по дыркам. В прошлом году у нас был фейл EFAIL. Причины банальны. Софт не массового использования и вне зоны пристального внимания.
За два года до этого был ещё фейл. Внезапно выяснилось что GPG использует короткие 32-бит отпечатки. Причины те же. Всё в порядке, все зашифровано и подписано. Ой, как это «можно найти коллизию за пару секунд»? Как это пишут от имени Линуса и Грега?
P.S. Общий список проблем.
Исходная версия atrus, :
будет хоть одно подтверждение тезисов?
На уровне Капитана Очевидность же...
особенно хочется посмотреть на костыльность и дырявость пгп.
Главная костыльность и PGP и S/MIME в том, что это опциональные фичи, а потому ими почти никто не пользуется. У PGP в этом плане проблем ещё больше. Эта штука от гиков для гиков. Технически неподкованному пользователю может быть сложно настроить даже клиентскую часть, даром, что она практически встроена в почтовики. А обильное легаси осложняет настройку серверной. Последний костыль в том, что всё это прикручено сбоку, а потому хоть обшифруйся, но метаданные всё равно остаются открытыми. Ну и вишенка: В PGP мы на все письма используем один ключ, что ни разу не хорошо.
Теперь по дыркам. В прошлом году у нас был фейл EFAIL. Причины банальны. Софт не массового использования и вне зоны пристального внимания.
За два года до этого был ещё фейл. Внезапно выяснилось что GPG использует короткие 32-бит отпечатки. Причины те же. Всё в порядке, все зашифровано и подписано. Ой, как это «можно найти коллизию за пару секунд»? Как это пишут от имени Линуса и Грега?