“Роса”: перенацеливаемая отечественная ОС нового пок

[debi12345]

Там есть стандартный бланк, курьер проверяет правильность его оформления, нельзя не заполнить некоторые графы, нельзя в них написать всякую лажу. Как дальше идет посылка отправителя уже не волнует. Однозначно понятно, кто отправитель, а кто получатель. Этим экспресс-почта (помимо цены) отличается от письма, которое можно бросить в обычный почтовый ящик в почтовом отделении.

Хм, вижу что Вы с сетевыми технологиями знакомы весьма поверхзностно или успели позыбыть, а DNS- и POP/SMTP/IMAP-сервера наверное ни разу не настраивали. Именно чтобы обеспечить доставку (разными путями - напрямую, через промежуточны "ящики" и "накопители",..) и понадобилась куча дополнительных полей в э-мэйле Стандарные поля обеспечивали только прямую (по факту- онлайн) доставку - а она на момент внедрения е-мэйла была дорога из-за повременной тарификации услуг Интернет-а. Также понадобились миллионы е-мэйл адресов, нерегестриуемых у провайдера - а значит появились почтовые домены в масштабе LAN с одной приемо-передающей парой "ящиком" на всю LAN, работающей сеансово...

Добавлено спустя 3 минуты 47 секунд:

Наличие Вашей персонально ответственности (вплоть до расстрела) побудит Вас избавится от ботов навсегда (ища для этого соответствующие методы и технологии).

Например какие ? Будем реалистами %) Антивирусы регулярно ловятся на "0day exploit"-ы. На Линуксе тоже етсь вирусы, а с его расширеним станет еще больше..

Добавлено спустя 7 минут 39 секунд:

Т.е. если будет некий репозиторий, где зарегистрированы все публичные ключи, это не даст кому-то возможность читать письма,

Ну да, там (на центрах сертификации) просто проверяются (удостоверяются) публичные ключи корреспондентов. Но если эти центры генерируют весь комплект ключей и оставляют у себя копии приватных ключей, то они конечно же теоретически могут читать чужую корреспонденцию - если конечно будут ее получать.

Добавлено спустя 2 минуты 46 секунд:

Да, в эпоху банк-клиентов никто не против парочки ботов и троянов на своём компе.

Ну, нормальный бот умеет снимать экран и снифить клавиатуру.

[alexey38]

Достаточно отправить публичную часть ключа всем людям в группе. В данном случае сотрудникам.

Я про это и говорю, что Вы первоначально должны часть ключа каким-то способом отправить получателю. Например, Вы как физическое лицо хотите отправить такое письмо из города Х, страны У, в университет АА, в стране ББ. Как Вы сотрудникам того университета передадите часть ЭЦП?
А если будет публичный репозитарий, то какую информацию, Вас лично идентифицирующую Вы будете сообщать в репозитарий: ФИО, адрес, семейное положение, фото, банковские счета, должность, положение, места где лежат деньги и т.п.?
Весь смысл заключается в том, что если Вы мне написали письмо, то у меня должна быть возможность подать на Вас в суд на основании одного единственного письма. Вы предлагаете раскрыть всю информацию об отправителе заранее, как например, делает налогоплательщик, когда через ЭЦП общается с налоговой (налоговая еще до получения письму уже все знает о налогоплательщике). Я говорю о том, что получатель письма получает только тот объем информации об отправители, который является минимально достаточным для идентификации отправителя на суде. Вам не нужно всегда раскрывать информацию, Вам нужно будет ее раскрыть только в случае, если на Вас подадут в суд. Разницу видите?

Добавлено спустя 1 минуту 28 секунд:

Да, в эпоху банк-клиентов никто не против парочки ботов и троянов на своём компе.

Потеря денег очень сильно увеличивает умственные способности. Украли деньги - эту сумму можно считать платой за обучение. Не хотел думать бесплатно, думай за деньги.

Добавлено спустя 3 минуты 18 секунд:

Хм, вижу что Вы с сетевыми технологиями знакомы весьма поверхзностно или успели позыбыть

При чем здесь сетевые технологии? Я говорю об юриспруденции, об необходимости однозначной идентификации отправителя как физическое или юридическое лицо, по цепочке получатель - провайдер - ... - провайдер - отправитель. Я не говорю о сетевых технологиях, как это реализуется, т.к. таких технологий на уровне стандарта еще нет. Технологии на уровне транспорта и шифрования - это и так очевидно, что не требует обсуждения.

Добавлено спустя 3 минуты 28 секунд:

Например какие ? Будем реалистами

Например:
1. включать компьютер только на время работы с эл.почтой.
2. Не ходить по сайтам и не пользоваться браузером.
3. Не скачивать левые программы.
4. Первоначально нормально настраивать ОС, и обновлять ее по мере необходимости.
Реализация только этого приведет вероятность заражения на уровне 0%. Вероятнее кирпич на голову упадет.

[Лекс Айрин]

1. включать компьютер только на время работы с эл.почтой.
2. Не ходить по сайтам и не пользоваться браузером.
3. Не скачивать левые программы.

1)Тогда и комп не нужен? Ибо иногда хочется и просто поработать.
2) Зачем тогда интернет нужен?
3) Левая, это любая прога не из стандартного набора идущего с осью? Так сейчас первое, что делаешь при первоначальной настройке это деинсталлируешь большую часть прог с купленного компа (особенно ноута).

[alexey38]

1)Тогда и комп не нужен? Ибо иногда хочется и просто поработать.
2) Зачем тогда интернет нужен

Речь идет о возможности реализовать электронную почту в полной персональной ответственностью. Для тех, кому такая почта не нужна, те могут жить как живут сейчас, тогда (15 лет назад) не шла речь об принудиловке. А шла речь о самой возможности организовать нормальную систему для организации переписки. Вне компов никого не шокируют требования об ответственности. Вы же понимаете, что не запирая дверь в квартиру в большом городе у Вас украдут комп. Поэтому Вы идете на затраты, ставите крепкую дверь, хороший замок, при необходимости сигнализацию, видеонаблюдение. Имеете кучу неудобств: нужно ключи носить, нужно платить за охрану и т.п. Почему когда идет речь про ИТ, то все так цепляются за безответственность?

3) Левая, это любая прога не из стандартного набора идущего с осью? Так сейчас первое, что делаешь при первоначальной настройке это деинсталлируешь большую часть прог с купленного компа (особенно ноута).

Левая - это такая, которую не понимаешь, что за такая, для чего нужна. Вначале учишься, а затем ставишь. Можно учится на курсах, можно ставить на виртуальную машину и изучать. Не нужно оправдывать "кривые руки".

[debi12345]

Вне компов никого не шокируют требования об ответственности. Вы же понимаете, что не запирая дверь в квартиру в большом городе у Вас украдут комп

Потому что на уровне физических лиц (99.99% случаев) в IT все - анонимно, все - на веру А как иначе ?

[alexey38]

Потому что на уровне физических лиц (99.99% случаев) в IT все - анонимно, все - на веру А как иначе ?

Именно для этого, и предлагалось создать отдельную систему надежной и ответственной электронной почты, не убивая обычную безответственную.
И там уже каждый пусть решает для себя, какую почту иметь, какую не иметь. Завел ящик с ответственной почтой - взял на себя обязательства, будь добр следи за ним.

Для чего физическим лицам ответственная почта? Да, чтобы надежно получать важные сообщения, или отправлять важные письма. Есть много вопросов, для решения которых приходится ездить, т.к. нет ни какой надежды на получения ответа на запрос по эл.почте. А почему нет надежды? Да потому, что публичные ящики всяких там организаций забиты спамом, и их не очень внимательно читают. А если Вы на него отправите резюме, то оно скорее всего сразу попадет в категорию спама и не будет даже прочитано.

[Mirage]

Я про это и говорю, что Вы первоначально должны часть ключа каким-то способом отправить получателю.

Ну вот и есть такие возможности сейчас. Хотите пользуйтесь, хотите нет. ЭЦП, кстати уже и юридическую силу приобретает. Так что полная ответственность.
Насчет суда - в суд и имея только обычное электронное письмо подать можно. И даже скорее всего найдут отправителя, если там действительно что-то серьезное.
Да что там ЭЦП, уже даже гмайлы и прочие вконтактики настойчиво телефонный номер требуют, чтобы личность привязать.

1. включать компьютер только на время работы с эл.почтой.
2. Не ходить по сайтам и не пользоваться браузером.
3. Не скачивать левые программы.
4. Первоначально нормально настраивать ОС, и обновлять ее по мере необходимости.
Реализация только этого приведет вероятность заражения на уровне 0%. Вероятнее кирпич на голову упадет.

Уже давно есть вирусы, использующие уязвимости микрокода процессора. И им абсолютно плевать какая у вас ОС, антивирус и т.д. Не удивлюсь, если и выключение компа не поможет (технология AMT и аналоги).

[alexey38]

Уже давно есть вирусы, использующие уязвимости микрокода процессора. И им абсолютно плевать какая у вас ОС, антивирус и т.д. Не удивлюсь, если и выключение компа не поможет (технология AMT и аналоги).

Уже тысячелетия идет противостояние меча и щита, и не видно ни конца ни края. Но речь не об этом. Речь о мотивации. Когда для Вас ущерб от меча минимален, то тратить время и силы на щит нет ни какого.

[Лекс Айрин]

Потому что на уровне физических лиц (99.99% случаев) в IT все - анонимно, все - на веру А как иначе ?

Анонимность в сети, на самом деле, почти отсутствует. Проверено анализом спаммерского письма с подмененным адресом. Просто никому, как правило, не нужно доказывать свою личность. А если нужно, то используют доступ по двум каналам. Например, отсылая письмо, заранее договариваются о самом факте отправления по телефону/аське.

Речь идет о возможности реализовать электронную почту в полной персональной ответственностью.

В вашем посте говорилось другое. И в категоричном тоне.

Вы же понимаете, что не запирая дверь в квартиру в большом городе у Вас украдут комп.

Вообще-то, даже факт кражи компа не слишком сильно затруднит мою жизнь. Все нужное дублировано на флешках и, почти полностью, в нете. Пароль от почты привязан к телефону. Пароль от спам-ящика,если он мне вдруг понадобится, выжжен в мозгах до уровня рефлексов. На компе всегда стоит две оси на разных физических дисках. Специфика тренировки "на кроликах". Спам собирается в отдельную папочку... и анализируется на правильность отнесения к этой категории. Письма с левых сайтов отправляются фильтром прямо в корзину. Кому, реально, надо что-то получить/отдать могут точно идентифицировать меня одним из 4-5 способов. В том числе и получить адрес лично от меня. В случае если надо отправить письмо другого человека в теме проставляется его имя и получатель предупреждается, что адрес чужой. О любом письме договариваюсь заранее, если только человек не из очень узкого доверенного списка (но и они предпочитают более быстрые способы связи).


И Вы таки хотите сказать, что я не параноик?

Левая - это такая, которую не понимаешь, что за такая, для чего нужна.

Ну вы загнули... я, например, в последнее время перестаю понимать для чего нужен офисный пакет... почти всю работу, которая мне от него нужна, я могу выполнить и в блокноте и/или его аналоге. Зато ни там, ни там нет некоторых возможностей, которые мне реально нужны. (мне нужен только writer)

Можно учится на курсах, можно ставить на виртуальную машину и изучать. Не нужно оправдывать "кривые руки".

А кто их оправдывает? Комп, за которым я сейчас сижу, ни разу не переустанавливался, хотя экспериментов на нем проведено немерянно. Домашний комп переустанавливается только для проверки новой оси на комфортность или если сильно закосячилось глобальное обновление. Но все это только мои проблемы.

[debi12345]

Анонимность в сети, на самом деле, почти отсутствует. Проверено анализом спаммерского письма с подмененным адресом.

А установка немэйнстримового софта ? Еще та лотерея

[alexey38]

Ну вот и есть такие возможности сейчас. Хотите пользуйтесь, хотите нет. ЭЦП, кстати уже и юридическую силу приобретает. Так что полная ответственность.
Насчет суда - в суд и имея только обычное электронное письмо подать можно. И даже скорее всего найдут отправителя, если там действительно что-то серьезное.
Да что там ЭЦП, уже даже гмайлы и прочие вконтактики настойчиво телефонный номер требуют, чтобы личность привязать.

Технология ЭЦП предполагает, что ключ делится на две части, одна часть у отправителя (составителя), а другая у получателя или удостоверяющего центра. Когда обе части ключа есть только у отправителя, а у получателя иди удостоверяющего центра нет ни какой части, то технология ЭЦП не работает. Понятно? Есть по этой части вопросы или замечания?

Имеем 1 млрд. отправителей с уникальной ЭЦП, и имеем 1 млрд. потенциальных получателей. Заранее неизвестно кто и кому будет отправлять письма. Поэтому получатели не могут иметь вторую часть ключа всех потенциальных отправителей. Поэтому остается вариант с удостоверяющим центром. Именно так это сегодня и работает. А так как письма шлют по всему миру, то удостоверяющий центр должен быть общемировым. И работая по глобальным ЭЦП, все пользователи будут вынуждены заранее выдать свои сведения в этот центр. И этот центр перехватив тем или иным способом любое письмо сразу понимает кто его написал. А это уже смахивает на тотальный контроль и чревато злоупотреблениями, в т.ч. доминированием одних стран над другими.

Другая технология (предложенная 15 лет назад) заключалась в нечто подобном, но только в парах отправитель - провайдер (обменялись своими ЭЦП), провайдер - провайдер (обменялись своими ЭЦП), провайдер - получатель (обменялись своими ЭЦП). Получатель получая письмо не получает ЭЦП отправителя, он получает ЭЦП своего провайдера. Ни получатель, ни глобальный удостоверяющий центр не имеют всей глобальной информации. Получатель получает письмо, в котором указаны определенные идентификаторы отправителя, например, ФИО, адрес эл.почты отправителя и все, и провайдер ему гарантирует, что ФИО указано верно. Чтобы раскрутить всю схему, и получить адрес и паспортные данные - нужно через суд, получить данные по цепочке. Без суда данные не выдаются. Таким образом, обеспечивается и надежность информации, но с сохранением частичной приватности.

Добавлено спустя 2 минуты 48 секунд:

Вообще-то, даже факт кражи компа не слишком сильно затруднит мою жизнь.

Воруют не только компы. У Вас дверь в квартире с замком? Или все (деньги, ценные вещи) продублировано на флэшке.

Добавлено спустя 4 минуты 18 секунд:

Кому, реально, надо что-то получить/отдать могут точно идентифицировать меня одним из 4-5 способов.

Когда Вы не публичное лицо, то такие способы более-менее подходят. Но, если Вы всего-навсего занимаетесь наукой, пишите статьи, участвуете в конференциях, то Ваша технология рушится, Вы получаете спам по полной программе. Аналогично все не работает, если Вы занимаетесь бизнесом.

Добавлено спустя 1 минуту 54 секунды:

я, например, в последнее время перестаю понимать для чего нужен офисный пакет... почти всю работу, которая мне от него нужна, я могу выполнить и в блокноте и/или его аналоге. Зато ни там, ни там нет некоторых возможностей, которые мне реально нужны. (мне нужен только writer)

Для чего тогда его ставите? Не ставьте и все. Лет 10-15 назад я на свой комп ставил много-много разных программ, на всякий случай. Сейчас ставлю только реально нужное.

[Лекс Айрин]

У Вас дверь в квартире с замком?

Конечно, с замком, но это другой вопрос.

Когда Вы не публичное лицо, то такие способы более-менее подходят.

Я публичное лицо. И мой почтовый адрес найти не проблема. Спама почти нет, что я делаю не так? Причем, на рабочей почте, где письма идут без фильтрации, тоже спама мало.

Для чего тогда его ставите?

А лень сносить. Да и как конвертер форматов подойдет.

[debi12345]

Другая технология (предложенная 15 лет назад) заключалась в нечто подобном, но только в парах отправитель - провайдер (обменялись своими ЭЦП), провайдер - провайдер (обменялись своими ЭЦП), провайдер - получатель (обменялись своими ЭЦП). Получатель получая письмо не получает ЭЦП отправителя, он получает ЭЦП своего провайдера.

Хм, эти технологии вовсю уже используютя - через всевозможные мидлтайеры - PPTP, OpenVPN, STunnel, ..

[alexey38]

Хм, эти технологии вовсю уже используютя - через всевозможные мидлтайеры - PPTP, OpenVPN, STunnel, ..

Вы говорите только о технических стандартах. А я говорю об организационном стандарте, который требует подписания отдельных договоров между участниками. Как реализовать - это было ясно и 15 лет назад, и сегодня. И проблема не в том, что никто не знал как это сделать техническую сторону. А в том, что не захотели подписывать бумаги.

Добавлено спустя 7 минут 45 секунд:

Я публичное лицо. И мой почтовый адрес найти не проблема. Спама почти нет, что я делаю не так? Причем, на рабочей почте, где письма идут без фильтрации, тоже спама мало.

Но при этом Вы пишите "Спам собирается в отдельную папочку... и анализируется на правильность отнесения к этой категории. Письма с левых сайтов отправляются фильтром прямо в корзину".
Последнее время спама реально стало меньше, но проблема есть. И проблема скорее не в самом спаме, а в спам-фильтре. Сейчас на многих почтовых серваках, корпоративных и бесплатных стоят спам-фильтры. И ладно, если просто в папку спам попадает нужное письмо. Часто ты просто не можешь отправить. Для людей с не очень высокой квалификацией - это реальная проблема.

По ящикам, у меня под контролем около 10 ящиков, некоторые рабочие, некоторые личные. Спам на них идет по разному, где больше, где меньше. На старые адреса идет больше спама, на новые меньше. Даже на ящик (гугловский), которую использую только для сборки (как архив с нескольких ящиков), туда даже приходит спам, редко, но бывает, хотя с него ни разу не отправлял писем. Явно гугл слил адрес.

[Mirage]

И работая по глобальным ЭЦП, все пользователи будут вынуждены заранее выдать свои сведения в этот центр. И этот центр перехватив тем или иным способом любое письмо сразу понимает кто его написал.

Совершенно необязательно. В хранилище ключей должны храниться ключи. А информация может храниться в другом месте. Какая именно - зависит от целей всего этого.

Другая технология (предложенная 15 лет назад) заключалась в нечто подобном, но только в парах отправитель - провайдер (обменялись своими ЭЦП), провайдер - провайдер (обменялись своими ЭЦП), провайдер - получатель (обменялись своими ЭЦП). Получатель получая письмо не получает ЭЦП отправителя, он получает ЭЦП своего провайдера. Ни получатель, ни глобальный удостоверяющий центр не имеют всей глобальной информации. Получатель получает письмо, в котором указаны определенные идентификаторы отправителя, например, ФИО, адрес эл.почты отправителя и все, и провайдер ему гарантирует, что ФИО указано верно. Чтобы раскрутить всю схему, и получить адрес и паспортные данные - нужно через суд, получить данные по цепочке. Без суда данные не выдаются. Таким образом, обеспечивается и надежность информации, но с сохранением частичной приватности.

Замечательная технология. Фактически, провайдер, получая письмо, переподписывает его от своего имени. И далее неизвестное количество таких провайдеров делают тоже самое. Т.е. если любой из этих провайдеров захочет что-то кому-то написать от моего имени, то ничто ему не помешает и на той стороне будут уверены, что это я писал.

ЭЦП в нынешнем виде гораздо лучше.
Можно даже организовать такую же каскадную схему передачи ключей, где центральный репозиторий знает только другие репозитории, а ключи для него максимально обезличены.