Mimochodem, kdyz tak koukam na mnozstvi pokusu vymamit pristup k CMD.EXE na nasem UNIXu, napada me, ze by se to dalo resit analogicky. Kazdy HTTP pozadavek by musel byt "podepsan" a predavan vyhradne prostrednictvim WWW proxy ve firme nebo u materskeho ISP.
Zajimave je, ze zatimco tohle kazdemu pripada jako hloupost na prvni pohled (coz tak eje) - a prakticky kazdy v tomto pripade respektuje, ze spravnym resenim je tlacit na "zdrojoveho ISP" aby si udelal ve sve siti poradek a "nehodneho uzivatele pacifikoval", u emailu se tentyz princip s pochopenim nesetkava a hledaji se specificke cesty. O kterych se navic vi, ze ledacos neresi a navic jsou nekompatibilni s nekterymi bezne pouzivanymi zpusoby uzivani posty. Zrejme za tim bude nejaky silny komercni tlak. Tusim, ze jen co se system objevi, tak nekdo zacne vehementne prodavat "bezpecne MTA" ...
Zda je priklad s HTTP mimo nebo nikoliv je nepochybne vec nazoru, a mozne jsou v zasade dva, a to zcela protichudne.
Samozrejme, ze nepotrebuji urcovat, zda pozadavek prisel od toho, kdo o sobe tvrdi, ze od nej prisel - pokud na teto informaci nechci stavet ochranu proti pokusum "zavirovat" a DoS utokum. Ja ale myslim, ze i tam by se mnozstvi utoku omezilo, kdyby si nemohl volne komunikovat kazdy klient s kazdym serverem (navic anonymne), ale kazdy klient byl hezky jednoznacne oznacen a jeho komunikaci zprostredkoval (kontroloval a filtroval) konkretni pro nej urceny stroj. To, ze se technicke detaily konkretnich utoku a jejich nazvy lisi od tech, ktere probihaji na SMTP nic nemeni na tom, ze ucinna metoda obrany je stejna ...
V soukromem dopisu jsi napsal, ze motorem teto technologie je patrne spise snaha zabranit "kradezi zdrojovych adres" nez snaha "omezit SPAM". V tom svetle cely ten navrh vypada hned daleko pochopitelneji. Pak ale DomainKeys nejsou novou antispamovou technologii - i kdyz to Lupa nakrasne pise do nadpisu. Pak jsou predevsim metodou jak zabranit "kradeni adres". Jenze, mam dojem, ze tohle zase daleko lepe resi elektronicky podpis.
Nemuzu se zbavit intenzivnoho dojmu, ze DomainKeys vznikla v umyslu vyresit neco, co uz reseno je - a lepe. A jelikoz to v prubehu casu asi zjistil i nekdo dalsi, vznikaji snahy zduvodnit jeji vznik i necim jinym - treba ochranou proti SPAMu. Jenze, na to ta technologie prilis dobra neni. Takze si opravdu nejsem jisty, zdali skutecne nejsme svedky pokusu o "vytvoreni poptavky". Mozna nekomu lezi v zaludku, ze el. podpis nema patentovany a nemuze na nej prodavat licence. Mozna je motivace uplne jina.
Mozna jsem to, co nabizi DomainKeys prostudoval nedostatecne. Ale zatim opravdu nemohu prijit na to, ktery nevyreseny problem se tato technologie pokousi resit. Krome SPAMu - a ten neresi nijak zvlast dobre ...
Co se druheho odstavce tyce - ano, to je presne to, co ja te technologii vycitam. Jednou vetou by se skutecne dalo rict, ze DomainKeys se snazi dosahnout "hlavne abyste za SPAM nepovazovali dopisy, ktere maji ve FROM moji domenu". To je ale dost nezajimavy problem. Podivejte, soucasny email proste jakoukoliv autenticitu FROM adresy nezarucuje. Kdyby se tohle pokousely DomainKeys resit, pak dobra. Ale pokud spravne chapu DomainKeys, tak ani ty se ji nepokousi na urovni jednotlivych uzivatelu zajistit (ano, je mozne, ze to odesilaci MTA udela, ale neni to povinne a z pohledu prijemce tedy jiste) - ty se snazi zajistit jen to, ze dopis "odesel z nejake domeny", nikoli "od nejakeho uzivatele". Takze DomainKeys opravdu resi shora uvedeny velmi uzce izolovany problem. No, a troufam si trochu odvazne tvrdit, ze jeho reseni mozna pali par spolecnosti, ale minimum beznych koncovych prijemcu emailu ...
No a prave proto, aby se prekonal tento "nezajem" o "skvelou technologii", je "SPAM" pomerne umele zduvodneni, ktere ma zajistit, ze vec zacne zajimat prave je. V tom, ze DomainKeys nejsou nastroj na boj proti SPAMu (i kdyz pokud budou zavedeny budou mit URCITY dopad i v teto oblasti) se, mam ten dojem, shodneme.
MOzna jen doslo k nedorozumeni - ja nejsem proti nove technologii jako takove. Ja jen upozornuji, ze nei az tak vhodna pro to, pro co jest vam predkladano, ze vhodna je, a soucasne upozornuji na to, ze zajem na zavedeni teto technologie ve skutecnosti patrne nemate az takovy, jak se vam snazi vnutit. Jinymi slovy, ze tu do jiste miry dochazi k urcite manipulaci za ucelem prosazeni zajmu relativne male skupiny zajemcu - mensi nez se na prvni pohled zda.
To, ze se k zajisteni autenticity nepouziva elektronicky podpis neni nutne dukaz toho, ze by to, co je treba zajistit nezajistil daleko lepe nez DomainKeys. To muze byt stejne dobre dukaz prave toho, ze vetsinovy uzivatel na zajisteni takove autenticity skutecne proste zajem nema. Mozna jsem neco prehledl a rad si necham poradit - ale reknete mi, v co DomainKeys zajistuji lepe nez prosty podpis odesilaneho dopisu ? Hlavni vada EP je, ze uzivani nelze koncovemu uzivateli vnutit, pokud sam nechce. A praxe ukazuje, ze on prilis nechce. A tim se vracime k memu puvodnimu podezreni - hlavni cil DomainKeys je zameren na oblast, kde masove kraluje techologie, ktera neni nikym patentovana a software, ktery je zcela zdarma - a zni "najit zpusob jak v teto oblasti zacit alespon neco prodavat". EP tento cil samozrejme splnit nemuze - protoze uzivatele si mohou prilis vybirat - jak v tom smyslu, ze si mohou prilis vybrat od koho si klic poridi, tak to, ze so vubec mohou vybrat zda si ho vubec poridi.
Uz jen kratce k te odpovednosti ISP. Nekdo koncoveho uzivatele, ktery pak dela bordel a obtezuje ostatni, do site pustil. Nevim, co je nepatricneho zadat po onom dotycnem, aby zajisti, ze ti, ktere do site pousti (a bere za to od nich penize) budou dodrzovat nejaka pravidla. Mozna je nedorozumeni v tom, ze ja nepzoaduji, aby ISP zajisti, ze jim pripojena osoba neporusi zakon, nebo nebude obtezovat nekoho *poprve*. Ale myslim, ze jakmile to dotycny dela opakovane a dany ISP mu i nadale pripojeni k siti umoznuje, s tim, ze dotycny preci plati a jeho zajimaji jedine penize, pak je za takove jednani moralne spoluodpovedny. Vim, ze analogie jsou vzdy nepresne a diskutabilni, ale pokud ja jako nozir prodam nekomu nuz a on jeste v tom krame pred myma ocima tim nozem nekoho zapiche, tak za to odpovedny nejsem. Az toho cloveka pusti a on ke me znovu prijde koupit nuz, ja mu ho prodam - a on obratem znovu nekoho zapichne, pak, s urcitou mirou tolerance, stale odpovedny nejsem. Ale az si po propusteni prijde ten nuz koupit potreti - a ja mu ho prodam - pak za tu treti mrtvolu uz odpovedny, tim myslim moralne, v kazdem pripade jsem.
P.S. Podcenujete me - samozrejme, ze vim, ze firewall by, problem resil stejne. Jenze firewall je reseni mozne jen teoreticky. Zeptejte se nektereho vetsiho ISP, co udela s vykonem jeho hranicniho routeru nekolik set firewallovych pravidel. Ne vsechno, co lze jako reseni vymyslet na papire, je se soucasnou technologii zvladnutelne i v praxi...
Co se vaseho pripadu tyce, kdyby byl onen dopis podepsany a dotycny mel dobrou povest (proc bych mel posuzovat povest jednotlivce na zaklade udaju o jinych, jemu naprosto cizich lidech - a i pokud vam takove "kolektivni posuzovani" pripada rozumne, muzete posuzovat povest cele CA, ktera jeho podpis vydala) pak by nebyl nejmensi problem zaridit aby filtr dopis propustil take ...
Ja netvrdim s jistotou, ze DK prosazuje nejaka lobby. Jen s ohledem na jeho vlastnosti tvrdim, ze nejpravdepodobnejsi vysvetleni smyslu jeho existence je "komercni zajem". Protoze ze vsech cilu, ktere me napadaji, tento jediny cil resi bez vetsich problemu a zadrhelu. A ten nemusi byt jen primy - v tomto pripade by take mohlo jit o "natruc aktivitu" snazici se vyvazit aktivity Microsoftu.
No, v neposledni rade se skutecne mohou pokouset resit nejaky realny problem - jako treba kradeni adres. Pak je ale skoda, ze je ten navrh takovy trochu "nedodelany". Nebo vam snad pripada, ze dopravat takhle sirokou propagaci systemu, ve kterem spatne funguji konference a prakticky vubec nelze dopis auto-forwardovat je "bezne" a v prumeru k tomu, jak se typicky rozsiruji "nove veci" na Internetu "normalni" ?
Domain keys tedy "lepe" resi neco, co uz "lepe" vyresene je. Tedy, v pripade firem. V ostatnich pripadech resi "jak centralne indivudualnim uzivatelum natlacit neco, co by si mohli zajistit i sami, jenze to nechteji - coz je problem, ktery DK resi 'lepe'". Nicmene, je zrejme, ze v tom se asi neshodneme.
Zatimco ja jsem v podezreni, ze nevim presne, co je DK a jak funguje, v opacnem smeru vas zase podezrivam z toho, ze vy nevite jak funguje el. podpis. Nevim, co je na tom pracneho, dlouheho - a dokonce draheho. Neni jasne, jaky je rozdil v zapisu, oprave, vyjmuti zapisu do/z jedne databaze (DK) a zapisu do jine databaze (vydanych klicu - pricemz CRL je jen podepsany seznam klicu zrusenych - jinak zadna zvlastni veda). Takze se, zrejme, neshodneme ani v tehle komplikacich - ja je, tak nejak, nevidim.
Jak jsem ale vyrozumel, vlastne mi rikate, ze mezi DK a EP neni vlastne velkeho rozdilu - jen DK je administrativne jednodussi. Musim rict, ze me obvykle neni sympaticke presouvani jakychkoliv pravomoci na "centrum" tam, kde ho muze snadno a jednoduse vykonavat jednotlivec osobne. Jelikoz ja nesouhlaism s argumentem o "administrativni jednoduchosti", zbyva mi, u jinak rovnocennych metod, vyse zmineny zapor - jako jediny zapor. Asi jsem opravdu prilsi paranoidni. Neverim nejakym "centrum", kdyz tvrdi, ze musi pecovat o me blaho a ze to delaji z lasky ke me ...
Ale to je problem, ktery uz diskusi nevyresime ...
Co prosim ? Tak to si tedy reknete. Ja vam vystavim podpis podle PKCS za 80Kc a dobu platnosti muzete mit treba stovku let. Nehodlam se tim zivit, takze vam jich udelam nejvys pet. Pak vam zdarma predam klic CA co je vystavila, kterou specialne pro tento ucel vytvorim. A vy sam si dalsi klice dokazete vystavit zadarmo, pouze za cenu lidske prace. Rozdil mezi touto cenou a vami uvadenou "beznou cenou za klic a rok" budeme povazovat za dar. Darovaci dan platite vy. Domluveno ?
Jednomu z nas tady z problematiky PKI neco zasadniho unika. Bez ohledu na pocet clanku napsanych na WWW nebo kdekoliv jinde. (Ja zase absolvoval prednasku z bezpecnosti a mam z toho i zkousku. Tak se snad nebudeme predhanet v tom, kdo ma vic cervenych prukazek.) Odkud porad berete ta desiva a dost nerealna cisla ? Pak se nedivim, ze vam vychazi tak obrovske rozdily v motivaci. Ale do jiste miry prekvapujete vlastne jen sam sebe, protoze ty ohromne rozdily jste si nejprve umele vytvoril vy sam ...
Stale nechapu ani to, odkud berete predstavu, ze v systemu DK udelate neco jednou a navzdy, zatimco PKI vyzaduje nejakou neustalou pozornost. Vy snad budete propoustet pres svuj MTA jakykoliv dopis, ktery se pres nej kdokoliv pokusi prenest ? A k cemu by pak DK v tom pripade bylo ? Nebo budete mit nejakou databazi "opravnenych" a propoustet budete jen jejich maily ? A pokud ano, nebudete muset snad do te databaze nove uzivatele pridavat a po ukonceni vztahu je zase rusit ? A pokud ano, jaky je rozdil mezi touto peci, kterou nazyvate "jednou nastavim a dost" a peci, kdy zavadite noveho klienta (tim, ze mu vyrobite 100 let platny klic) a rusite klienta (tim, ze seriove cislo toho klice pridate do seznamu neplatnych) v systemu PKI - coz nazyvate "potrebou neustale pece" ? Me pripada, ze pocet ukonu je v obou pripadech stejny. Jeden pri prichodu, jeden pri odchodu klienta. Zrejme me nebo vam mi cosi zasadniho unika.
Jestlize ma byt system DK k necemu dobry, tak se ti, kteri pres vase MTA budou muset, zrejme, autentizovat. Nebudete, nahodou, muset vsem svym uzivatelum vyrobit navod jak nastavit MUA aby se autentizoval ? Jestli sve uzivatele naucite navodem nastavovat autentizaci, nebo je naucite naimportovat zaslany blok dat je, co do obtiznosti totez.
Jedinec bude muset, tak jako tak, v souvislosti se zavedenim tohoto systemu, cosi delat. Jestlize to je ta prekazka, ktera brani pouzivani PKI, pak se, ze stejneho duvodu, neprosadi DK ...
Na druhou stranu, pokud to spravne chapu, velkymi "tlacici" DomainKeys jsou provozovatele webmailu - a ti maji nastaveni "MUA" sveho klienta plne pod kontrolou. Ten nedela zminene a pro klienta udajne obtizne prenastaveni problem vubec zadny. At na to koukam zleva nebo zprava, ty technologie jsou schopny byt, co se tyce koncovych uzivatelu i funkci, dost identicke. Zasadni rozdil je opravdu v te centralizovanosti - a tim nemyslim jen to, ze u DK si jedinec s konkretni emailovou adresou nemuze vybrat, zda technologii pouzivat bude ci nikoliv. Zejmena je rozdil v tom, ze vsichni musi odesilat postu pres misto, ktere je pod plnou kontrolou a dohledem toho centralniho nekoho. Kvuli jednomu z techto rozdilu se nepouzije hotova celkem funkcni technologie, ale vytvari se zcela nova, kterou navic bude potreba prosadit. No, klidne mi rikejte paranoik - ja vim, ze jim jsem, a jsem v tom dobry. Mam to uz leta v pracovni naplni a zivi me to ...
Nestaci, ze vec je snadno a jednoduse dostupna. Nutnou podminkou stale musi byt, ze dotycny o takovou sluzbu vubec stoji. Ujistuji vas, ze je plne v mych moznostech veskerou postu, kterou odesilam, podepisovat. Nedela mi problem ani nastaveni MUA a ni ziskani klice - at uz zakoupenim u komercni CA, nebo tim, ze si CA a klic vytvorim sam. Presto svou soucasnou korespondenci nepodepisuji. Proste pro to nevidim dostatecny duvod. Ani pri sve profesionalni paranoie. S ohledem na zisky, ktere to prinasi, je mi vic lito tech par byte prenasenych (a u prijemce skladovanych) navic, zcela zbytecne ...
Jen pro uplnost, pracoval jsem ale take dost let ve financi instituci (i tam na pozici "paranoika") - a tam, kdyz uz je potreba zajistit "jistotu" v odesilateli (a ani tam to zdaleka neni potreba vzdy), pak ta jistota musi byt naprosto osobni - "sdilene" jistoty nikdy nefunguji dobre.
Reputacni hodnoceni zalozene jen na domene odesilatele ...
DK zajistuji, pokud to spravne chapu, ze postu MTA predal skutecne nejaky regulerni uzivatel domeny. Nikoli, ze to byl ten uzivatel, jehoz adresa je uvedena ve FROM. V zasade je tak garantovano, ze "driztel domeny" nema nic proti tomu, aby konrektni uzivatel uzil prave tuto konkretni emailovou adresu (ale neni garantovano, ze je jeho a nepatri nekomu jinemu). Nebo jsem neco prehledl (coz se stat klidne mohlo) ?
A co se tyce chybovych hlaseni ("nedorucenek") a jejich negativniho vlivu na filtry - chybove hlaseni se preci rozezna naprosto snadno a spolehlive, podle MAIL FROM: <> hlavicky v SMTP. Jak muze neco takoveho vadit nejakemu filtru ? Ten preci vi, nebo prinejmensim snadno muze vedet, ze prave zpracovava chybove hlaseni. Nicmene, i kdyby ne. Jak v tomto pripade pomuze DomainKeys ? Presneji receno - na cilovy MTA dojde hlaseni, jehoz DK signatura "nesedi". Z toho duvodu nebude dorucen do cilove schranky. Duvodem, proc signatura muze "nesedet" muze bty samozrejme to, ze dopis odeslal nejaky utocnik. nebo muze jit o chybu pri jejim vytvareni, nebo se pri prenosu mohlo stat, ze nejaky MTA udelal, kvuli jakekoliv chybe (treba ve svem nastaveni) nejakou transformaci, ktera je nekompatibilni s vypoctem DK. Ktera z techto moznosti to je samozrejme ten "posledni" MTA nevi. Takze co udela ? Zahodi zpravu "jen tak" a ja, jako odesilatel, se nikdy nedozvim, ze moje zpravy kamsi nedochazeji, protoze po ceste je nejaky zparchantely MTA, ktery zpravu vzdycky nakopne ? Nebo mi o tom nedoruceni posle chybove hlaseni ? Pak by ale DK problem poctu chybovych hlaseni nijak neresila ...
Mimochodem, ja preferuji byt informovan o kazdem nedoruceni - i za tu (pomerne velkou) cenu, ze jsem, nanestesti, informovan i o nedoruceni tech dopisu, ktere jsem ve skutecnosti neodeslal. Predstava, ze se mnou (skutecne mnou) odeslane dopisy nekde "jen tak" tise zahazuji a ztraceji je mi opravdu krajne neprijemna. DK nam v tomto pripade nepomuze - a jestli pomuze, pak zpusobem, ktery me ponekud desi ...