LINUX.ORG.RU

[фич-реквест]цифровая подпись


0

1
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

В продолжение данного поста http://www.linux.org.ru/forum/talks/7333691

А почему бы не сделать на ЛОРе опциональную возможность подписывать свои темы и комментарии, используя GnuPG? Приблизительно так, как это сделано на pgpru.com

Достаточно добавить одно дополнительное поле, в которое будет копипаститься подпись набранного сообщения, в ascii-armored формате. Можно будет добавить для подписанных сообщений специальную ссылку где-нибудь в углу, по которой можно будет подпись посмотреть, для верификации

Еще было бы хорошо сделать эту фичу доступной анонимусам. Тогда один анонимус не сможет выдать себя за другого анонимуса, если тот подписывает свои сообщения. Можно даже разрешить постить анонимусам с цифровой подписью в запрещенные для них сейчас разделы. При этом появится возможность подписывающихся анонимусов  банить или выборочно игнорировать, а не всех сразу


-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.17 (GNU/Linux)

iQIcBAEBAgAGBQJPJBNgAAoJEOJEyhkoUWbY8QEP+wRwkEMvAnxqOy1/XH5bpGeD
eHqL8RlocCfP+G/pb2PfL8BYRO7k4263QgexZm7A/1F1Onu8Xdns9dRW7M7y2k29
dbl8ARXPNGD1f+Va+T7lPhloKiTFVkV0C0S69AkhC2hQNaDIc4gcRQz7Z4jt6Z0o
gwunXWZkrBeIriDtfDqcNiOA8m2mvVi5oy02JI7uba6UDovKKUvPXpZPw48JHHKY
RywcUd0zkKAH9xRA1oAz0k6PROemjWzPMnhciT8gDk1u3x1szHPQsk/XmRVPg10Q
o+QdEAmxNBcmBkT/sZyEpuQBfn81FuwwmNTwwIWW9ZxUTVFsPNiTBMQCgOYwJ5an
xzZvaICg5s/QP34873ZlT4asbrusKhRJQYP1C2S5w2w+Sd4J3GCGmj9Fq/mM6HoV
HEmkBFrrUHtZ8N+fk5MWZ68BI2BPTPLe6InnUGAzGji/eil7UZ6IxlEXD6ldXsde
+bTLHXqS/K1DGuORA7EtVKXG4gSnC0G93aSdCGlJCxol0gxBWW36uSOFjT9q7ykT
7Q0s1z59lrqaDuD+tuijNgmDTUEGzSTM2pqqPUCbb2sbteysoKhVzZbRZDLvHsWD
K7elzQl/vboLSOkXjzCVNzsmL2W21myEKFkSwYjYu3q9yZ+nUwQSxW5NOZ+qaLcf
uQdnZWuzMghrYOjKIGAg
=dB6g
-----END PGP SIGNATURE-----
★★★★★

где патчи в движок?

uju ★★ ()
Ответ на: комментарий от uju

это же жабу учить надо :) хотя я делал попытки, можно в качестве учебной задачи попробовать снова

Harald ★★★★★ ()

Еще было бы хорошо сделать эту фичу доступной анонимусам. Тогда один анонимус не сможет выдать себя за другого анонимуса, если тот подписывает свои сообщения. Можно даже разрешить постить анонимусам с цифровой подписью в запрещенные для них сейчас разделы. При этом появится возможность подписывающихся анонимусов банить или выборочно игнорировать, а не всех сразу

Милейший, у вас логические нестыковки:

- если анонимус не хочет быть забаненным он сможет поменять браузер, ip, пол и религию.

- чтобы различать анонимусов есть более простые способы.

Очевидно, что для зарегистрированных пользователей данная функция нужна не больше чем InternetExplorer после установки Mozilla Firefox.

belous_k_a ()
Ответ на: комментарий от belous_k_a

- если анонимус не хочет быть забаненным он сможет поменять браузер, ip, пол и религию.

тогда мы смело будем считать его другим, новым анонимусом

Harald ★★★★★ ()

анонимус подписывающийся цифровой подписью это какое-то особое извращение

maxcom ★★★★★ ()

плюсую возможность постить анонимусам в толксы

nickionn ★☆ ()

Цифровая подпись — это хорошо, и было бы здорово ввести такую фичу для регистрантов. Но лучше, конечно, готовый патч на движок.

post-factum ★★★★★ ()
Ответ на: комментарий от post-factum

было бы здорово ввести такую фичу для регистрантов

Типа если подписи в потсе нет, значит, псевдонимус был пьян и фокус не удался?

Xenesz ★★★★ ()

А мне всегда казалось, что смысл анонимусов как раз в анонимности.

bloodredfrog ★★ ()

А зачем это нужно?
Чтобы можно было как улику в суде предъявлять?

imul ★★★★★ ()
Ответ на: комментарий от bloodredfrog

допустим, анонимус заходит через TOR, в PGP-ключе у него имя анонимус, а e-mail - не существющий. Где потерялась его анонимность?

Harald ★★★★★ ()
Ответ на: комментарий от imul

зачем сразу в суде :) например, чтоб высказать какую-нибудь годную идею, а потом запатентовать её, предъявив свой подписанный пост как доказательство prior art :) первое что в голову пришло

а то, за что можно привлечь, лучше конечно не подписывать :P

Harald ★★★★★ ()
Ответ на: комментарий от imul

И чем же это было бы здорово?

Тем, что можно будет сказать «Я, автор статей, текстов и постов» с пруфлинками, видимо. Короче, мне тоже непонятно.

Axon ★★★★★ ()
Ответ на: комментарий от Axon

Ну... Моя фамилия стоит примерно в 20 научных публикациях, в том числе и у несколько статей в реферируемых журналах. Мне от этого ни теплее, ни холоднее. А гордиться постами на лоре... Видимо не дорос я ещё до этой стадии. К тому же я, как регистрант, от написанного мной и так не отбрыкаюсь.

imul ★★★★★ ()
Ответ на: комментарий от Harald

высказать какую-нибудь годную идею, а потом запатентовать её, предъявив свой подписанный пост как доказательство prior art :)

Чем это отличается от «встретимся в суде»?

imul ★★★★★ ()
Ответ на: комментарий от post-factum

Это не ответ.
Вот именно тебе зачем подписывать свои браиндампы?
Итак понятно, что именно ты их написал:

post-factum

Здесь за //wbr людей старательно преследовали и карали, а тут вдруг цифровая подпись. И что вы будете делать, если я буду своим восьмикилобайтным ключём каждое сообщение подмахивать? Палец об колесо мыши протирать?

imul ★★★★★ ()
Ответ на: комментарий от imul

если я буду своим восьмикилобайтным ключём каждое сообщение подмахивать? Палец об колесо мыши протирать?

ну так вся идея поддержки движком - это чтобы подпись скрывать, и показывать по необходимости

а так конечно можно и сейчас копипастить подписанные сообщения из gpg

Harald ★★★★★ ()
Ответ на: комментарий от Harald

Зачем что-то скрывать, а потом показывать?
Кто будет определять эту необходимость?
Того, что стоит в конце Harald недостаточно?
Зачем тогда гнобили за //wbr? Такая же подпись.

imul ★★★★★ ()
Ответ на: комментарий от imul

А вдруг это не я?

Думаю, есть возможность не захламлять каждое сообщение целой подписью — достаточно поставить маленькую ссылочку на отдельную страницу, на которой и будет информация о подписи.

post-factum ★★★★★ ()
Ответ на: комментарий от post-factum

А вдруг это не я?

А вдруг не ты здесь модерируешь?

Недостаточно.
Ты можешь думать сколько угодно, но может найтись какая-нибудь белка, которая будет действовать строго в рамках правил, но думать иначе.

Раз уж цифровая подпись настолько великолепная идея, то на вопрос «зачем гнобили за подпись //wbr?» может кто-нибудь ответить сознательно?
Если идея столь великолепная, то подписывай и вставляй в том виде, как это сделал топикстартер. Никто не мешает.

imul ★★★★★ ()
Ответ на: комментарий от imul

Ты, видимо, не понял. Я не согласен с тем, чтобы в каждое сообщение вставлять сопли из подписи. Я за то, чтобы в каждом сообщении была ссылка на подпись. Ссылку можно разместить в заголовке сообщения, обозвав, например, [*].

imul

на вопрос «зачем гнобили за подпись //wbr?» может кто-нибудь ответить сознательно?

Да. Гнобили из-за захламления каждого сообщения.

post-factum ★★★★★ ()

И, все-таки, как подпись дополняет или улучшает существующую систему регистрации? В толксах уже решили, что все, что она дает - невозможность для модераторов править сообщения пользователей путем изменения базы. Если аккаунт пользователя угнан злоумышленником, то почему тот же злоумышленник не может украсть ключ цифровой подписи? Вывод: не нужно.

amomymous ★★★ ()
Ответ на: комментарий от amomymous

amomymous

почему тот же злоумышленник не может украсть ключ цифровой подписи

Потому что ключ хранится в бронированном сейфе в подполье звездолёта на орбите Плутона.

post-factum ★★★★★ ()
Ответ на: комментарий от post-factum

Ты, видимо, не понял.

Ты слишком самонадеян.
А теперь напрягись и подумай над тем, чего не понял ты.

Я не согласен с тем, чтобы в каждое сообщение вставлять сопли из подписи. Я за то, чтобы в каждом сообщении была ссылка на подпись.

Какая разница-то? И что будет по ссылке? Сообщение с соплями? Или одни только сопли? Так «сопли» (кстати, почему слово-то такое?) без сообщения это именно мусор. У подписанного сообщения есть правила оформления, пробел влево-пробел вправо и подпись уже именно мусор.

Ссылку можно разместить в заголовке сообщения, обозвав, например,

  • .

И чем это отличается от //wbr? Может быть ссылку оформлять не как

  • , а как //wbr?

    Да. Гнобили из-за захламления каждого сообщения.

    Чем один способ захламления отличается от второго способа захламления?
imul ★★★★★ ()
Ответ на: комментарий от post-factum

Потому что ключ хранится в бронированном сейфе в подполье звездолёта на орбите Плутона.

А теперь расскажи, как будет осуществляться процедура подписи сообщений на сайте. Вот залез я со смартфона...
Ладно, со своей тачки дома я могу это делать без проблем, на работе могу накачать всякие pgp. Что делать с другими местами и мобильным доступом?
Далее, как на сайте собираются обеспечивать показ сообщения со снятой подписью? Просто парсить и резать по ------? А с урлами что делать? А с лор-кодом что делать? Подписанное изменять нельзя, иначе пшик получится.

imul ★★★★★ ()
Ответ на: комментарий от imul

http://www.pgpru.com/proekt/osajjte/ecp

почитай, как там это реализовано, возможно часть вопросов отпадет

Насчет лор-кода. Можно по вышеупомянутой специальной ссылке показывать оригинал сообщения в сыром виде (с тегами ЛОР-кода) и использовать для проверки подписи именно его

Harald ★★★★★ ()

Анонимус с цифровой подписью - это совсем не анонимус, поэтому не верю, что хоть один анонимус будет подписывать.

А зачем нужно подписывать сообщения на ЛОРе не анонимусам?

Deleted ()
Ответ на: комментарий от Harald

почитай, как там это реализовано, возможно часть вопросов отпадет

У меня и так нет никаких вопросов, потому что я прекрасно знаю, что такое цифровая подпись.
Там это, возможно, актуально. Здесь не вижу ни одного осмысленного аргумента «за».

Насчет лор-кода. Можно по вышеупомянутой специальной ссылке показывать оригинал сообщения в сыром виде (с тегами ЛОР-кода) и использовать для проверки подписи именно его

Я так и знал.
Даже больше скажу, никак иначе по другому и сделать невозможно, исключительно сырой оригинал до любой обработки.

PS: а мою подпись на сообщениях выше кто-нибудь проверил?

imul ★★★★★ ()
Ответ на: комментарий от Deleted

А зачем нужно подписывать сообщения на ЛОРе не анонимусам?

Чтобы рут мог подать на антика в суд за нарушение публичного договора встретиться на кладбище.

imul ★★★★★ ()
Ответ на: комментарий от amomymous

В толксах уже решили, что все, что она дает - невозможность для модераторов править сообщения пользователей путем изменения базы.

Кстати, огромный плюс. Ради этого ее стОит впилить (на ЛОРе пока не видел, а на других форумах встречались злоупотребления возможностью модераторов редактировать посты).

Deleted ()
Ответ на: комментарий от Deleted

Когда будет актуально, тогда и можно будет обсудить.
Ну кому в здравом уме приспичит редактировать:
ябвдул
закопайте
рип
слакарулед
...
И прочий хлам.

imul ★★★★★ ()
Ответ на: комментарий от imul

PS: а мою подпись на сообщениях выше кто-нибудь проверил?

gpg говорит

gpg: ПЛОХАЯ подпись от  "Michael ....

как ты теги расставил? :)

Harald ★★★★★ ()
Ответ на: комментарий от Harald

Здесь тоже не прокатывает, а тегов нет.
[фич-реквест]цифровая подпись (комментарий)

gpg говорит

Всё верно говорит.
Идентификатор ключа: 914449EA247EE76B
Даже у меня копипаста не проходит проверку, будучи пропущенной через движок ЛОРа.
Поэтому хранить придётся не сырой пост в базе (а вдруг там чего страшного понапихают для инъекций), а base64 преобразование.

Так стоит ли мифическая овчинка выделки? Хотите привести своё неотрекаемое авторское право (кстати, подписывать тогда придётся гостом и никак иначе) на всеобщее обозрение публике, публикуйте с подписями, но только это не работает.

Исходное сообщение кстати тоже битое, уважаемый обладатель ключа с идентификатором E244CA19285166D8, гражданин Harald_at_LOR <nonexisting@email.org>

imul ★★★★★ ()
Ответ на: комментарий от imul

Исходное сообщение кстати тоже битое, уважаемый обладатель ключа с идентификатором E244CA19285166D8, гражданин Harald_at_LOR <nonexisting@email.org>

странно, у меня проходит валидацию

Harald ★★★★★ ()
Ответ на: комментарий от Harald

А мои подписанные сообщения не проходят.
И какой толк от этой балалайки, если работает через раз, а то и через два.

imul ★★★★★ ()
Ответ на: комментарий от imul

Чтобы можно было как улику в суде предъявлять?

Именно.

bbk123 ★★★★★ ()

А почему бы не сделать на ЛОРе опциональную возможность подписывать свои темы и комментарии, используя GnuPG?

Все сообщения и топики и так подписаны. Например: Harald * (28.01.2012 19:29:09)
Авторитетного заявления ЛОРа, к на который я хожу через https лично мне, криптологу-параноику, более чем достаточно.

Еще было бы хорошо сделать эту фичу доступной анонимусам. Тогда один анонимус не сможет выдать себя за другого анонимуса, если тот подписывает свои сообщения. Можно даже разрешить постить анонимусам с цифровой подписью в запрещенные для них сейчас разделы.

Месье, могу я поитересоваться: какая такая религия запрещает кликать на кнопочку «регистрация», что приходится придумывать такие вот извращения?

segfault ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.