С помощью современного gnupg возможно сделать два уровня подключей? Типа, бессрочный мастер-ключ, которым подписываешь действующий год ключ, которым подписываешь действующий три дня ключ, которым тебе люди шифруют. Хочу типа сессионные ключи.
Захотел штоб в графе подписей были видны уровни сертификации. Открыл sig2dot и поблевал от перлятины и непригодного к подобному рефакторингу подхода к рисованию. Быстренько перелабал на хаскеле: https://github.com/l29ah/hsig2dot
Результат работы на вчерашних данных: http://dump.bitcheese.net/files/adebono/sigs.png
Думаю, надо-ли подобный говнокод заливать на хекедж?
Наляпал убогую тулзу для DoS-атаки на кисервер, по совместительству - рекурсивный фетчер ключей по подписям. Для анализа закрытых коммьюнити типа жуйковской pgp-тусовочки и рисования красивых графов в графвизе и фаллометрии. Вот результат работы на условно-бесконечной глубине 20 относительно меня, по мнению кривой тулзы sig2dot (нет, я не знаю, почему sig2dot'у не понравились подписи у пачки няш; мне пришлось скормить ему -u foobar, чтобы увиделись подписи у mva и ко, но подписей, соединяющих два кластера, я не увидел даже с -r foobar; может, они подсосались каким-то иным путём, но так или иначе они имеют отношение к жуйкокоммьюнити): http://dump.bitcheese.net/files/otajixo/sigs.png
#!/bin/sh
# Usage: $0 root-keyid depth
exec >/dev/null
ikf=/tmp/inaccessible-keys
ckf=/tmp/checked-keys
depth=$2
echo Current depth: $depth >&2
keys="`gpg --list-sigs "$1" | sed -ne 's#^sig..........\([^ ]*\) .*#\1#p' | sort | uniq`"
unk_keys="`for k in $keys; do
gpg --list-keys $k >/dev/null || echo $k
done | sort | uniq | sort - "$ikf" "$ikf" | uniq -u`"
echo $unk_keys
gpg --recv-keys $unk_keys | sed -ne 's#^gpgkeys: key \([^ ]*\) not found on keyserver#\1#p' | cat - "$ikf" >> "$ikf"-new
mv "$ikf"-new "$ikf"
[[ $depth -le 0 ]] || for k in $keys; do
grep -q $k "$ckf" || {
$0 $k $((depth - 1));
echo $k >> "$ckf";
}
done
Как оказалось, поддержка pgp в Psi+ тоже сломана. См. http://code.google.com/p/psi-dev/issues/detail?id=531
В связи с этим реквестирую xmpp-клиент под линуксы с рабочей (то есть, не вызывающей вышеописанной проблемы) поддержкой pgp. Для tkabber я написал патч, фиксящий такое говно, но им, видимо, насрать на собственные баги.
http://pgp.mit.edu:11371/pks/lookup?op=v.....8C668E85C8
У бнвача, кстати, есть свой PGP-ключ. Я вам только не расскажу для чего и где он используется.
Фикс ткабберопроблем с криптой:
# Этот патч запрещено применять к транку проекта tclgpg и использовать разработчиками проекта tkabber иначе как для тестирования, покуда на сервисе juick не существует поста, в котором содержится текст "Я - хуй, Лавашик - няша.", подписанный ключом с отпечатком "A82E B67F D166 CD53 A147 C71D 57F2 4B33 72BC D0EC". Остальные условия распространения и использования текста соответствуют лицензии "as-is".
# RTFhttp://bugs.debian.org/cgi-bin/bugreport.cgi?bug=489225
--- tclgpg.tcl 2012-02-11 23:14:06.000000000 +0400
+++ tclgpg.tcl 2012-02-11 23:25:22.000000000 +0400
@@ -1455,16 +1455,6 @@
FinishWithError $channels $commands "Decryption failed"
return
}
- KEYEXPIRED {
- switch -- $operation {
- "" -
- verify {}
- default {
- FinishWithError $channels $commands "Key expired"
- return
- }
- }
- }
KEYREVOKED {
switch -- $operation {
"" -
l29ahZl29ah-home ~ ‰ gpg --delete-key 0C75325D
gpg: there is a secret key for public key "0C75325D"!
gpg: use option "--delete-secret-keys" to delete it first.
l29ahZl29ah-home ~ ‰ gpg --delete-secret-keys 0C75325D
gpg: key "0C75325D" not found: Unknown system error
gpg: 0C75325D: delete key failed: Unknown system error
WTF?
Возможно, репост, но повторю: tkabber - кусок говна, и если у вас среди подключей есть экспайрнувшиеся, то вы не сможете подписывать свои посты, и вам не смогут слать шифровки с формулировкой "Key Expired" от gnupg. При обновлении ключей с кисервера удалённые подключи утягиваются обратно, посему их надо будет каждый раз руками удалять.
http://lexs.blasux.ru/dump/sigs.png
Всем вебофтраст, посоны! Несите ваши паспорта и отпечатки ключей :3
inspired by #1736397
Почитал XEP по реализации PGP в жаббирцах. Поблевал. За несколько месяцев подписывания сообщений (а подписываются _только_ сообщения без какой-либо соли даже в виде жида адресата или таймстемпа) их можно было успеть скопить достаточно, чтобы сферический MITM мог более-менее полноценно общаться с их помощью прикрываясь моей личиной, лол. Пойду выключу нахуй подписывание.
Если хочется аутентичности - просите другую сторону подписать своим ключом вашу случайную строку и включать её в каждое сообщение, иначе несекурно. Дерьмо.
Цоперайт © 2010-2016 @stiletto.