banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Một số vấn đề Chữ ký điện tử (digital signature)  XML
  [Question]   Một số vấn đề Chữ ký điện tử (digital signature) 16/07/2010 13:28:37 (+0700) | #31 | 215477
eff3
Member

[Minus]    0    [Plus]
Joined: 06/07/2010 09:30:32
Messages: 24
Offline
[Profile] [PM]
giờ thì mình hiểu ý mà mrro muốn nói đến rồi. TIếc là mình ko rành lắm về cryptography nên ko thể giải thích rõ đc nhưng chắc là chữ ký điện tử an toàn đc là do discrete logarithm problem smilie ?

nếu nói về tấn công thì chắc là tấng công mấy cái parameter k này nọ .... và kẻ tấn công tuy biết được những cái public như p,q, pub key, signed message này nọ nhưng cuối cùng vẫn ko tài nào tìm ra cái private key hay số k. Mình thật sự ko rõ cái này lắm, mrro giải thích cụ thể, rõ ràng được ko?

Ngoài ra cách tấn công này kiểu gì kiều cũng cần những cryptanalysis chứ gặp mấy ông rành về network ko thì coi như chào thua smilie
[Up] [Print Copy]
  [Question]   Một số vấn đề Chữ ký điện tử (digital signature) 16/07/2010 13:34:19 (+0700) | #32 | 215478
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]

hvthang wrote:

Vậy nên, có thể khẳng định chữ ký của CA (đạt tiêu chuẩn kỹ thuật) sẽ có độ bền vững gần như tuyệt đối (cả về thuật toán, mật mã hoá, an toàn vật lý, con người) - nó khác chữ ký của user thông thường là ở chỗ đó (chữ ký cuả user có thể bị giả mạo nếu dùng khoá không tốt (độ dài, thuật toán,...)

P/s: không phải vô lý mà các CA lớn họ được tin tưởng rộng rãi, họ phải đạt các tiêu chuẩn an toàn kỹ thuật cực kỳ khắt khe của các hiệp hội kiểm định (Webtrust,...),
Bạn có thể tạo một CA, và cấu hình các tham số tuỳ thích (ví dụ dùng MD4, MD5 chẳng hạn), khi đó CA của bạn sẽ không an toàn - trong trường hợp đó dù cho người dùng thuộc CA của bạn có thực hiện các biện pháp an toàn nào nữa thì cũng không còn ý nghĩa.
 


---> mời bạn giải thích tại sao thuật toán và mật mã hoá mà CA sử dụng lại có độ bền vững gần như tuyệt đối. nhân tiện nhờ bạn giải thích thế nào là gần như tuyệt đối luôn.

---> mời bạn giải thích nếu mà các CA ngon lành như bạn nói thì tại sao lại có cái tấn công làm giả một cái CA certificate được tất cả trình duyệt tin tưởng?

về câu hỏi của bạn, mình khẳng định như thế, bởi vì thao tác cơ bản của một CA là ký vào public key của khách hàng. thành ra phải có chữ ký điện tử an toàn thì mới xây dựng được các CA. hệ thống CA được tạo ra là để giải quyết vấn đề xác thực danh tính (và họ làm việc đó bằng cách sử dụng chữ ký điện tử), chứ không phải để làm cho chữ ký điện tử an toàn hơn.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Một số vấn đề Chữ ký điện tử (digital signature) 16/07/2010 14:01:26 (+0700) | #33 | 215481
hywebvn
Member

[Minus]    0    [Plus]
Joined: 08/07/2010 09:43:14
Messages: 3
Offline
[Profile] [PM]
@hvthang:

CA chỉ ký để xác thực cho Public key của một đối tượng khách hàng nào đó thôi. Ai đó có được public key của khách hàng có thể dùng Public key của CA để kiểm tra xem public key của X có tin tưởng được không. Còn những vấn đề về sau, như khách hàng đó lại dùng private key ký để xác thực vào một public key cấp dưới hơn nữa. Sẽ tạo thành tree lên đến gốc.

Còn sau này các đối tượng khách hàng dùng Private Key để ký vào một văn bản M bất kỳ. Người nhận đã biết đích xác Public Key của người gửi thì mới verify được. Và vấn đề ở đây là verify Public Key của người gửi. Có nhiều hình thức, đưa và tin tưởng bằng tay, cũng có thể là thông qua chữ ký của người khác trên cái Public Key nhận được.

Còn khi sinh public key, private key thì phải đảm bảo các tiêu chuẩn (ví dụ về độ dài,...)

Tính an toàn cũng được thể hiện ở thời gian tính nữa (Độ phức tạp tính toán). Ví dụ có public key rồi làm sao tìm ra private key thì độ phức tạp tính toán là bao nhiêu với trường hợp vét cạn.

[Up] [Print Copy]
  [Question]   Một số vấn đề Chữ ký điện tử (digital signature) 16/07/2010 14:45:19 (+0700) | #34 | 215482
hvthang
Member

[Minus]    0    [Plus]
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
[Profile] [PM]

mrro wrote:

---> mời bạn giải thích tại sao thuật toán và mật mã hoá mà CA sử dụng lại có độ bền vững gần như tuyệt đối. nhân tiện nhờ bạn giải thích thế nào là gần như tuyệt đối luôn. 

Điều này bạn có thể đọc các tài liệu liên quan đến mật mã hoá (cả thế giới đã công nhận RSA với 4096 bit và SHA-128, 256 là không thể phá được).
Mình sử dụng khái niệm gần tuyệt đối bởi hiện tại nó là không phá được, tuy nhiên tương lai thì không ai dám chắc cả.

mrro wrote:
---> mời bạn giải thích nếu mà các CA ngon lành như bạn nói thì tại sao lại có cái tấn công làm giả một cái CA certificate được tất cả trình duyệt tin tưởng? 

Bạn muốn nói đến việc giả mạo cert của root dựa vào lỗ hổng sử dụng MD5? Bạn cũng biết MD5 đã không còn an toàn, cho nên nó không được sử dụng trong các hệ thống CA mới xây dựng gần đây (chủ yếu các CA có từ khoảng năm 200).
Cho nên cái CA bạn nói nó không ngon lành đâu bạn.

mrro wrote:

về câu hỏi của bạn, mình khẳng định như thế, bởi vì thao tác cơ bản của một CA là ký vào public key của khách hàng. thành ra phải có chữ ký điện tử an toàn thì mới xây dựng được các CA. hệ thống CA được tạo ra là để giải quyết vấn đề xác thực danh tính (và họ làm việc đó bằng cách sử dụng chữ ký điện tử), chứ không phải để làm cho chữ ký điện tử an toàn hơn. 

Ở đây, có thể bạn đang nói đến khía cạnh khác của chữ ký số. Mình đang hiểu là bạn nói đến độ an toàn của chữ ký dựa vào thuật toán ký.
Tuy nhiên, chứ ký có an toàn không phụ thuộc vào nhiều nhiếu tố, và CA là một yếu tố quan trọng. Nhờ CA mà chữ ký của người dung an toàn hơn ở các góc độ sau đây (ở tầm ứng dụng thực tế và vĩ mô hơn một tí so với các công thức thuật toán):
- Không có CA, các chữ ký sẽ không có chút giá trị nào (và chắc chắn cũng chẳng an toàn vì nó hoàn toàn có thể bị giả mạo - không có CA chẳng có gì để kiểm soát được việc này).
- Không có CA, không ai chứng thực cho cái khoá public của user là của họ cả. Do vậy, độ an toàn của cái chữ ký cũng chẳng có ý ngĩa nữa.
- Tất nhiên, chữ ký được tin tưởng rộng rãi hơn
- ... tạm thời là thế,

Còn trong trường hợp, thuật toán ký bị phá thì cả CA lần user đều bị tổn hại, khi đó phải sử dụng thuật toán ký khác.
P/s: bạn có thể làm rõ hơn quan điểm của bạn về vấn đề này, để tiện trao đổi và học hỏi, không cần phải đánh đố nhau làm gì.

[Up] [Print Copy]
  [Question]   Một số vấn đề Chữ ký điện tử (digital signature) 16/07/2010 15:01:44 (+0700) | #35 | 215483
hywebvn
Member

[Minus]    0    [Plus]
Joined: 08/07/2010 09:43:14
Messages: 3
Offline
[Profile] [PM]
- Không có CA, các chữ ký sẽ không có chút giá trị nào (và chắc chắn cũng chẳng an toàn vì nó hoàn toàn có thể bị giả mạo - không có CA chẳng có gì để kiểm soát được việc này).
- Không có CA, không ai chứng thực cho cái khoá public của user là của họ cả. Do vậy, độ an toàn của cái chữ ký cũng chẳng có ý ngĩa nữa.
 


Tớ tạo ra một cặp PR/PU, tớ đưa cho cậu cái PR tớ bảo cậu gửi cho tớ cái gì thì ký bằng PR. Vậy có tin tưởng được không?

CA chỉ là một kênh để verify PU của User thôi. Còn cách khác verify mà.
[Up] [Print Copy]
  [Question]   Một số vấn đề Chữ ký điện tử (digital signature) 16/07/2010 15:13:11 (+0700) | #36 | 215485
hvthang
Member

[Minus]    0    [Plus]
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
[Profile] [PM]

hywebvn wrote:
- Không có CA, các chữ ký sẽ không có chút giá trị nào (và chắc chắn cũng chẳng an toàn vì nó hoàn toàn có thể bị giả mạo - không có CA chẳng có gì để kiểm soát được việc này).
- Không có CA, không ai chứng thực cho cái khoá public của user là của họ cả. Do vậy, độ an toàn của cái chữ ký cũng chẳng có ý ngĩa nữa.
 


Tớ tạo ra một cặp PR/PU, tớ đưa cho cậu cái PR tớ bảo cậu gửi cho tớ cái gì thì ký bằng PR. Vậy có tin tưởng được không?

CA chỉ là một kênh để verify PU của User thôi. Còn cách khác verify mà. 

Trong trường hợp ví dụ của bạn, hoàn toàn có thể tin tưởng vì mình và bạn đã "biết" nhau quá rõ rồi. Tuy nhiên, bạn nên lưu ý chữ ký là gì và nó sử dụng trong những mô hình thực tế nào, đâu phải để cho 2 người ký và trao đổi nội bộ cho nhau.
Chữ ký của bạn phải hoạt động được trong môi trường mạng public, đó là một trong những nguyên nhân sinh ra cái PKI.
[Up] [Print Copy]
  [Question]   Một số vấn đề Chữ ký điện tử (digital signature) 16/07/2010 15:21:17 (+0700) | #37 | 215486
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]

hvthang wrote:

Điều này bạn có thể đọc các tài liệu liên quan đến mật mã hoá (cả thế giới đã công nhận RSA với 4096 bit và SHA-128, 256 là không thể phá được).
Mình sử dụng khái niệm gần tuyệt đối bởi hiện tại nó là không phá được, tuy nhiên tương lai thì không ai dám chắc cả.
 


smilie. mỗi khi mình hỏi đến mấu chốt vấn đề tại sao lại như thế, thì bạn kêu là có thể đọc sách để hiểu. mình muốn hỏi ngay chính bạn, tự vì bạn là người đưa ra cái nhận định đó. nếu bạn không thể tự bảo vệ được nhận định của mình, thì mình nghĩ không nên đưa ra những nhận xét như đúng rồi.

hvthang wrote:

Bạn muốn nói đến việc giả mạo cert của root dựa vào lỗ hổng sử dụng MD5? Bạn cũng biết MD5 đã không còn an toàn, cho nên nó không được sử dụng trong các hệ thống CA mới xây dựng gần đây (chủ yếu các CA có từ khoảng năm 200).
Cho nên cái CA bạn nói nó không ngon lành đâu bạn.
 


Ha ha ha chính là vì nó không ngon lành, mà nó vẫn được tất cả các browser tin tưởng, nên mình mới nói nhận định của bạn "không phải vô lý mà các CA lớn họ được tin tưởng rộng rãi, họ phải đạt các tiêu chuẩn an toàn kỹ thuật cực kỳ khắt khe của các hiệp hội kiểm định" là sai sự thật.

hvthang wrote:

Tuy nhiên, chứ ký có an toàn không phụ thuộc vào nhiều nhiếu tố, và CA là một yếu tố quan trọng. Nhờ CA mà chữ ký của người dung an toàn hơn ở các góc độ sau đây (ở tầm ứng dụng thực tế và vĩ mô hơn một tí so với các công thức thuật toán):
- Không có CA, các chữ ký sẽ không có chút giá trị nào (và chắc chắn cũng chẳng an toàn vì nó hoàn toàn có thể bị giả mạo - không có CA chẳng có gì để kiểm soát được việc này).
- Không có CA, không ai chứng thực cho cái khoá public của user là của họ cả. Do vậy, độ an toàn của cái chữ ký cũng chẳng có ý ngĩa nữa.
- Tất nhiên, chữ ký được tin tưởng rộng rãi hơn
- ... tạm thời là thế,
 


mình có cái keyword dành cho bạn: web of trust. trong cái mô hình web of trust, chẳng có thằng CA nào cả, nhưng chữ ký vẫn có giá trị đó bạn smilie.

-m

PS: mình chẳng đánh đố bạn làm gì, mà chẳng qua mình thấy bạn có nhiều phát biểu như đúng rồi, nên mình thắc mắc thôi.
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Một số vấn đề Chữ ký điện tử (digital signature) 16/07/2010 16:11:42 (+0700) | #38 | 215488
hvthang
Member

[Minus]    0    [Plus]
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
[Profile] [PM]

mrro wrote:

smilie. mỗi khi mình hỏi đến mấu chốt vấn đề tại sao lại như thế, thì bạn kêu là có thể đọc sách để hiểu. mình muốn hỏi ngay chính bạn, tự vì bạn là người đưa ra cái nhận định đó. nếu bạn không thể tự bảo vệ được nhận định của mình, thì mình nghĩ không nên đưa ra những nhận xét như đúng rồi.
 

Mấu chốt là cả thế giới công nhận và đã được chuẩn hoá (còn chuẩn nào thì mời bạn tự search), mình nghĩ bạn là người ham đọc sách nên mình mới viện dẫn đến các tài liệu sách giao khoa cho bạn đỡ phân vân như trường hợp wiki thôi.smilie

mrro wrote:

Ha ha ha chính là vì nó không ngon lành, mà nó vẫn được tất cả các browser tin tưởng, nên mình mới nói nhận định của bạn "không phải vô lý mà các CA lớn họ được tin tưởng rộng rãi, họ phải đạt các tiêu chuẩn an toàn kỹ thuật cực kỳ khắt khe của các hiệp hội kiểm định" là sai sự thật.
 


Từ đầu mình đã nói, CA sử dụng MD5 mới bị hình thức tấn công này. Một số CA vẫn còn được trust ở trình duyệt trong khi vẫn sử dụng MD5 có thể do họ đã được pass từ trước khi MD5 bị coi là không an toàn. Hiện giờ chắc chắn sử dụng MD5 sẽ bị loại.
Bạn nói sai sự thật, nếu vậy bạn cho cái CA của bạn tạo ra được trust như trên thử xem.

mrro wrote:

mình có cái keyword dành cho bạn: web of trust. trong cái mô hình web of trust, chẳng có thằng CA nào cả, nhưng chữ ký vẫn có giá trị đó bạn smilie.
 

Đồng ý với bạn về nội dung này. Nó cũng không mâu thuẫn với những lập luận ban đầu của mình khi nói về vai trò của CA và độ an toàn của chữ ký số.
Vậy bạn có thể giải thích tại sao mô hình WOT không được dùng rộng rãi bằng mô hình PKI không?

[Up] [Print Copy]
  [Question]   Một số vấn đề Chữ ký điện tử (digital signature) 16/07/2010 16:30:46 (+0700) | #39 | 215489
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]
@hvthang: chính vì mrro đã đọc sách nên mới thắc mắc về các nhận định của bạn, thế nên việc bạn viện dẫn tên các tài liệu sách vở mà không đi sâu chi tiết hầu như chẳng có ý nghĩa gì. Mình cho rằng bạn đã đi lệch trọng tâm của vấn đề, bởi vì chúng ta đang bàn về độ an toàn của chữ kí số, chứ không phải là của một hệ thống PKI. Nếu nói về an toàn của PKI thì không chỉ liên quan đến chữ kí số, mà còn có rất nhiều vấn đề khác, tỉ như physical security, database security, communication security, etc.

Ngoài ra, như mrro đã nói, khi bạn đưa ra nhận định về độ an toàn, thì trước đó bạn cần thiết phải định nghĩa thế nào là an toàn, chứ không bạn cứ nói an toàn tuyệt đối, hay gần tuyệt đối gì gì đó như vậy thì chả khác gì mấy tay nhà báo.

Một điều quan trọng nữa, là mrro đang thảo luận câu hỏi tại sao, trong khi bạn toàn đưa ra các facts để trả lời câu hỏi như thế nào.
Mind your thought.
[Up] [Print Copy]
  [Question]   Một số vấn đề Chữ ký điện tử (digital signature) 16/07/2010 16:45:41 (+0700) | #40 | 215490
hvthang
Member

[Minus]    0    [Plus]
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
[Profile] [PM]

StarGhost wrote:
@hvthang: chính vì mrro đã đọc sách nên mới thắc mắc về các nhận định của bạn, thế nên việc bạn viện dẫn tên các tài liệu sách vở mà không đi sâu chi tiết hầu như chẳng có ý nghĩa gì. Mình cho rằng bạn đã đi lệch trọng tâm của vấn đề, bởi vì chúng ta đang bàn về độ an toàn của chữ kí số, chứ không phải là của một hệ thống PKI. Nếu nói về an toàn của PKI thì không chỉ liên quan đến chữ kí số, mà còn có rất nhiều vấn đề khác, tỉ như physical security, database security, communication security, etc.

Ngoài ra, như mrro đã nói, khi bạn đưa ra nhận định về độ an toàn, thì trước đó bạn cần thiết phải định nghĩa thế nào là an toàn, chứ không bạn cứ nói an toàn tuyệt đối, hay gần tuyệt đối gì gì đó như vậy thì chả khác gì mấy tay nhà báo.
Một điều quan trọng nữa, là mrro đang thảo luận câu hỏi tại sao, trong khi bạn toàn đưa ra các facts để trả lời câu hỏi như thế nào. 


Cảm ơn bạn,
Có lẽ mình hơi lệch đề thật, mình không có ý định trả lời các câu hỏi tại sao của mrro mà chỉ muốn làm rõ quan điểm "sự tồn tại của cơ quan CA có ảnh hưởng trực tiếp đến độ an toàn của chứ ký số".
[Up] [Print Copy]
  [Question]   Một số vấn đề Chữ ký điện tử (digital signature) 16/07/2010 16:54:25 (+0700) | #41 | 215491
eff3
Member

[Minus]    0    [Plus]
Joined: 06/07/2010 09:30:32
Messages: 24
Offline
[Profile] [PM]
haizz mình nghĩ là CA ko nhiều thì ít cũng ảnh hưởng đến mức độ an toàn của chữ ký điện tử. Nhưng chắc chắc là trong câu hỏi đầu tiên, mrro ko có ý nói đến điểm này. Mình nghĩ là ở đây mrro đang muốn nói đến mức độ bảo mật ở trong cụ thể cài hàm dùng để ký 1 văn bản.

Và những khả năng tấn công mà mrro nói đến ở đây là tấn công trực tiếp vào cái hàm này để có thể tạo ra một văn bản giả đc ký giả nhưng vẫn đc verify thành công.

Có điều cách thức tấn công cụ thể ra sao hay điểm yếu từng có trong cái hệ thống ký điện tử này chỗ nào thì chờ mrro vào làm rõ thêm ...

ps: sao mrro ko trả lời câu hỏi post trước của mình smilie ?
[Up] [Print Copy]
  [Question]   Một số vấn đề Chữ ký điện tử (digital signature) 16/07/2010 17:04:25 (+0700) | #42 | 215492
[Avatar]
invalid-password
Member

[Minus]    0    [Plus]
Joined: 09/03/2010 21:22:46
Messages: 161
Offline
[Profile] [PM]

hvthang wrote:
về vai trò của CA và độ an toàn của chữ ký số 

Để mình lấy ví dụ gần giống vậy để minh hoạ cho : 2 người ký hợp đồng với nhau là đủ tin tưởng nhau rồi, tuy nhiên cần có thêm người làm chứng thì mới có giá trị smilie

hvthang wrote:
Vậy bạn có thể giải thích tại sao mô hình WOT không được dùng rộng rãi bằng mô hình PKI không?  

Để mình giải thích ở khía cạnh không thuộc kỹ thuật nhé : công nghệ nào muốn phổ biến rộng rãi thì nó phải có đặc điểm là kinh doanh phải có lời, hơn là có kỹ thuật ưu việt. Nếu triển khai mô hình có CA thì thằng CA sẽ thu tiền, nếu xài mô hình mạnh ai nấy trust nhau thì sẽ khó thu được tiền. Vậy nếu công ty tui muốn bán dịch vụ chứng thực chữ ký số thì chọn mô hình nào ? Ví dụ truy cập internet bằng công nghệ Wimax thì có vẻ chạy nhanh và xa hơn 3G nhưng ở VN chẳng ai cung cấp cả, vì buôn bán sóng Wimax không có lời bằng 3G. Vậy có hợp lý chưa ? smilie

Spam thêm một bài là góp một viên gạch xây diễn đàn lớn mạnh
[Up] [Print Copy]
  [Question]   Một số vấn đề Chữ ký điện tử (digital signature) 17/07/2010 08:03:51 (+0700) | #43 | 215532
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
hahaha hay thật. nhờ bạn SG nói vài lời mà cuối cùng bạn hvthang cũng đã hiểu ý mình.

@eff3: mình đọc câu hỏi của bạn rồi mà không biết trả lời thế nào. nhìn chung thì bạn đang đi đúng hướng, nhưng để từ câu hỏi "tại sao X lại an toàn trước các tấn công đã biết" đến câu trả lời "tự vì bài toán Y được xem là khó (nghĩa là không có giải thuật chạy trong thời gian đa thức)" thì phải trải qua nhiều bước nữa. có lẽ mình sẽ viết một bài giới thiệu về những bước này.

@invalid-password: bài trả lời của bạn rất hay.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Một số vấn đề Chữ ký điện tử (digital signature) 17/07/2010 16:27:54 (+0700) | #44 | 215578
hvthang
Member

[Minus]    0    [Plus]
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
[Profile] [PM]

mrro wrote:
hahaha hay thật. nhờ bạn SG nói vài lời mà cuối cùng bạn hvthang cũng đã hiểu ý mình.
 

hahaha, bạn đã biết mình đã hiểu ý bạn, nhưng hình như bạn vẫn chưa hiểu ý mình smilie.
Mình hỏi tại sao mô hình WOT nó không được dùng rộng rãi trong thực tế là ở phương diện kỹ thuật. Bạn lại lấy trả lời theo ý của invalid-password.
Mình cho rằng, mô hình WOT gặp vấn đề ở non-repudiation. Do đó, nó không được dùng rộng rãi, bạn có thể đưa các chứng minh để làm rõ điều này (các chứng minh cần gắn với thực tế) giúp mình nếu bạn không đồng ý.
Do đó, có CA chữ ký số mới an toàn hơn. hahaha

p/s: cười hahaha thật là đã đó. smilie
[Up] [Print Copy]
  [Question]   Một số vấn đề Chữ ký điện tử (digital signature) 17/07/2010 19:38:28 (+0700) | #45 | 215590
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]
@hvthang: bạn có thể nói rõ hơn về vấn đề non-repudiation trong trường hợp WoT so sánh với PKI được không?

Mình thì mình cho rằng lí do WoT không được dùng rộng rãi như PKI, nếu chỉ tính trên phương diện security, thì chẳng có tí dính dáng gì đến vấn đề kĩ thuật hết. Quan điểm của mình là: WoT và PKI được thiết kế với 2 mục đích khác nhau, trên thực tế mỗi cái hoạt động ở một môi trường của riêng nó, nơi mà cái kia hoàn toàn không được ưa thích.

À, mà nếu mà nói về việc cái nào dùng rộng rãi hơn dựa trên số lượng certificates của mỗi bên, thì mình cũng không chắc là PKI hay WoT nhiều hơn đâu nhé.

Ngoài ra, mình cho rằng có một thứ còn yếu hơn PKI và WoT rất rất nhiều mà nó vẫn được dùng hết sức phổ biến, mà hình như chưa bao giờ bị than phiền về vấn đề security. Mình để bạn đoán thử coi nó là cái gì?
Mind your thought.
[Up] [Print Copy]
  [Question]   Một số vấn đề Chữ ký điện tử (digital signature) 18/07/2010 00:20:29 (+0700) | #46 | 215614
[Avatar]
K4i
Moderator

Joined: 18/04/2006 09:32:13
Messages: 635
Location: Underground
Offline
[Profile] [PM]

hvthang wrote:

Do đó, có CA chữ ký số mới an toàn hơn. hahaha
 


Bản thân việc thực hiện chữ kí số (thuật toán gốc, kí, xác nhận chữ kí) đã an toàn. Còn CA được thêm vào với mục đích chỉ làm cho chữ kí số có giá trị cao về mặt xác thực mà thôi.

Tóm gọn lại nhé: chữ kí số có CA thì đáng tin hơn chứ chả có thêm tí trọng lượng an toàn nào cả.

Sống là để không chết chứ không phải để trở thành anh hùng
[Up] [Print Copy]
  [Question]   Một số vấn đề Chữ ký điện tử (digital signature) 20/07/2010 16:42:32 (+0700) | #47 | 215828
hvthang
Member

[Minus]    0    [Plus]
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
[Profile] [PM]

StarGhost wrote:
@hvthang: bạn có thể nói rõ hơn về vấn đề non-repudiation trong trường hợp WoT so sánh với PKI được không?

Mình thì mình cho rằng lí do WoT không được dùng rộng rãi như PKI, nếu chỉ tính trên phương diện security, thì chẳng có tí dính dáng gì đến vấn đề kĩ thuật hết. Quan điểm của mình là: WoT và PKI được thiết kế với 2 mục đích khác nhau, trên thực tế mỗi cái hoạt động ở một môi trường của riêng nó, nơi mà cái kia hoàn toàn không được ưa thích.

À, mà nếu mà nói về việc cái nào dùng rộng rãi hơn dựa trên số lượng certificates của mỗi bên, thì mình cũng không chắc là PKI hay WoT nhiều hơn đâu nhé.

Ngoài ra, mình cho rằng có một thứ còn yếu hơn PKI và WoT rất rất nhiều mà nó vẫn được dùng hết sức phổ biến, mà hình như chưa bao giờ bị than phiền về vấn đề security. Mình để bạn đoán thử coi nó là cái gì? 

Có thể mình đã phát biểu sai khi nói về khía cạnh kỹ thuật của non-repudiation (mình nghĩ lại thấy đây cũng đơn thuần là vấn đề pháp lý, con người khi xảy ra tranh chấp), lý giải của mình là:
- Mô hình PKI tồn tại một cơ quan chứng thực tập trung (CA) cơ quan này sẽ chịu trách nhiệm cho các thông tin họ chứng thực, khi xảy ra tranh chấp họ sẽ là đối tượng được căn cứ để đưa ra các cơ sở để giải quyết.
- Mô hình WoT, theo mình biết thì vấn đề trust nó dựa trên sự tích luỹ của nhiều đối tượng (phân tán) dó đó, khi xảy ra tranh chấp giữa các bên tham gia giao dịch thì sẽ khó tìm được đối tượng có thẩm quyền cao nhất để giải quyết.

P/s: đọc lại các thảo luận của mình, mình cảm thấy hơi cố chấp trong việc bảo vệ ý kiến cá nhân. Mình nhận khuyết điểm này, cũng như khuyết điểm đưa ra một số phát biểu chung chung hơi cảm tính, thiếu cơ sở khoa học. Mình sẽ rút kinh nghiệm. Cảm ơn các bạn đã thảo luận cùng.
[Up] [Print Copy]
  [Question]   Một số vấn đề Chữ ký điện tử (digital signature) 20/07/2010 17:05:52 (+0700) | #48 | 215830
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]

StarGhost wrote:

Ngoài ra, mình cho rằng có một thứ còn yếu hơn PKI và WoT rất rất nhiều mà nó vẫn được dùng hết sức phổ biến, mà hình như chưa bao giờ bị than phiền về vấn đề security. Mình để bạn đoán thử coi nó là cái gì?
 


mình đoán nha: chữ ký tay. tệ hơn nữa: chữ ký tay gửi qua fax.

@hvthang: mình không trả lời bạn, chứ không phải là mình chỉ lấy ý của bạn invalid-password để trả lời. mình nghĩ đơn giản lắm, sai mà không chịu nhận thì phải trả giá thôi, nên mặc dù mình biết nhưng mình sẽ không thèm nói.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Một số vấn đề Chữ ký điện tử (digital signature) 29/07/2010 17:38:25 (+0700) | #49 | 216794
[Avatar]
invalid-password
Member

[Minus]    0    [Plus]
Joined: 09/03/2010 21:22:46
Messages: 161
Offline
[Profile] [PM]

mrro wrote:

StarGhost wrote:

Ngoài ra, mình cho rằng có một thứ còn yếu hơn PKI và WoT rất rất nhiều mà nó vẫn được dùng hết sức phổ biến, mà hình như chưa bao giờ bị than phiền về vấn đề security. Mình để bạn đoán thử coi nó là cái gì?
 


mình đoán nha: chữ ký tay. tệ hơn nữa: chữ ký tay gửi qua fax.

-m 

Mình thấy kỹ thuật của chữ ký tay cũng ưu việt suốt mấy ngàn năm qua đó chứ. Cụ thể cách làm như sau :
+ Chống làm giả văn bản : sau khi ký xong gửi cho lính thì gọi điện cho nó nói "ê tao vừa gởi cho mày cái văn bản đọc đi mà làm", còn khi nhận được công văn từ sếp thì gọi điện hỏi "dạ có phải anh vừa gửi cho em cái công văn ?" > như thế thì giả sao nổi smilie
+ Chống chối cãi nguồn gốc : sau khi sếp ký thì nhân viên văn thư phải cấp số công văn, đóng dấu và ghi sổ; văn bản phải có chữ ký và con dấu thì mới được. Nếu một văn bản không phải do anh ký thì chắc chắn số của nó sẽ không tồn tại hoặc bị trùng với văn bản khác đang lưu trong sổ văn thư, anh chối sao được ? smilie

Chỉ có thể là văn thư giả chữ ký của sếp đi lừa tiền. Văn thư có vai trò giống CA, thằng CA chứng nhận public key mà còn kiêm luôn chức năng nhớ giùm private key của người dùng (để cấp lại khi người dùng bị mất key) thì chỉ có nó mới làm giả được văn bản.
Spam thêm một bài là góp một viên gạch xây diễn đàn lớn mạnh
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|