ссылки для программистов (англ.)

[avva]

Немного из недавнего и накопившегося:

• Learning to Program: What are the best sites for learning programming?
  
  Неплохой обзор сайтов с подробными уроками программирования (где видеоуроками, где просто) для тех, кто совсем не умеет и хочет научиться.
  
  
  
• Data Compression Explained.
  
  Нечто среднее между очень длинным FAQ'ом и небольшой книгой. Краткое введение в основы сжатия данных и подробный обзор основных подходов и алгоритмов. Написано, по-моему, ясно и аккуратно, но несколько сжато для совсем неопытного в программировании читателя. Не требует знаний об алгоритмах сжатия.
  
  
  
• You Are Dangerously Bad At Cryptography.
  
  Отличная запись о том, почему опасно самому наивно использовать криптографические алгоритмы, с несколькими наглядными примерами.
  
  В дискуссии на HN есть тоже немало интересного. В частности, Томас Птачек напоминает, что его компания Matasano продолжает предлагать широкой публике Crypto Challenges - набор упражнений по прикладному криптоанализу, не требующих предварительных знаний в криптографии. Я сам не пытался пока делать Crypto Challenges, не нашел на это времени, но несколько моих знакомых, которым я доверяю, очень и очень их хвалят. Думаю, что всем, кому хочется больше знать в этой области, стоит попробовать.

Comments

[cat_mucius]

Если вы пользователь, то, да, вам нужно "хранить" свой сертификат. Это проблема?
Вообщем-то да, проблема.

1. Если хранить его програмно, то при наличии доступа к компьютеру его можно украсть. В виде пруфа позволю себе ещё одну ссылку на свой уютненький, если не возражаете.
2. Эта проблема решается криптоконтейнерами, из которых ключ нельзя извлечь. Таких в общем два: смарткарты и TPM. Но с ними свои траблы:
2.1 Смарткарты - это ридеры, драйвера, проблемы совместимости, короче, деньги и нервы.
2.2. TPM - штука хорошая, но с програмным обеспечением для него швах: я это дело активно копал, нахлебался. Вот разве что на Windows 8 возлагаю надежды, у них там virtual smartcards появились, использующие TPM.
3. Допустим, юзеру надо поменять станцию. Смарткарту перенести с компа на комп легко - но если ключ хранится програмно или в TPM, то это процедура.
4. Если мы используем сертификат не только для аутентификации, но и для шифрования (S/MIME, EFS, ...), то недостаточно запихать его в криптоконтейнер - нужно обязательно ещё и бэкап хранить. А то потеряется смарткарта - и аминь.
5. А если он ещё и expired - то это ещё геморрой.

Добавьте к этому, что при отзыве сертификата может пройти гораздо больше времени до момента, когда он действительно станет бесполезен, чем при смене пароля. Добавьте, что для админа вся инфраструктура PKI куда более громоздкая и сложная в настройке, чем в случае паролей.

Из-за всего этого потенциал PKI и не используется толком, чего мне сильно жаль. Я и сам-то на работе, при всём энтузиазме, его не внедряю толком, из-за всех этих соображений.

[trueblacker.livejournal.com]

это все известные проблемы, однако они занимаются проблематикой, до которой обычная password-based аутентификация не доросла в принципе. У вас тут речь уже не о MIM, а о прямых атаках на рабочее место легального пользователя. Да, такие атаки тоже возможны, но:
1. password-based аутентификация не имеет тут никаких преимуществ и так же является уязвимой (и снова БОЛЕЕ уязвимой, чем аутентификация на основе асимметричной криптографии)
2. в PKI этими вопросами по крайней мере занимаются специально обученные люди и могут предложить варианты, из которых можно выбрать, балансируя между уровнем защищенности и сложность использования, тогда как у симметричной аутентификации выбор гораздо быстрее упирается в довольно низкий потолок защищенности, выше которого прыгнуть невозможно

Впрочем, это все "в идеале", увы. Реальность такова, что законченных решений, универсальных, прозрачных и надежных, о которых тут спрашивают в соседних тредиках, все еще нет и навряд ли таковые появятся.

[cat_mucius]

password-based аутентификация не имеет тут никаких преимуществ и так же является уязвимой
Ну вот разве что сбросить пароль можно быстрее, чем отозвать сертификат - апдейт и распространение CRL берёт время.

О новых технологиях: есть infocards - это такой любопытный гибрид между PKI и claim-based authentication. Все их аспекты я пока не понимаю, но там есть моменты, которые удачно облегчают жизнь по сравнению с традиционным PKI. Микрософт их имплементировала под названием Windows CardSpace, а потом почему-то списала в утиль и дальше поддерживать не будет. Мне жаль, что распространения infocards не получили - идея-то хорошая.

Ещё есть такая новая штука, как U-Prove - Микрософт на неё собирается заменять CardSpace. Там много интересного, разбираюсь потихоньку.

[trueblacker.livejournal.com]

>Ну вот разве что сбросить пароль можно быстрее, чем отозвать сертификат - апдейт и распространение CRL берёт время.

OCSP.

Про новые технологии спасибо за наводку, ознакомлюсь

[cat_mucius]

А знаете, как работает микрософтовский OСSP Responder? Будете смеяться - он читает CRL. :-)

Но в принципе OСSP это решение, конечно. Но оно убивает то преимущество сертификатов, что сторона удостоверителя не должна быть доступна в сети постоянно. Плюс там ещё всякие соображения от privacy.

[trueblacker.livejournal.com]

>А знаете, как работает микрософтовский OСSP Responder? Будете смеяться - он читает CRL. :-)

недостатки реализации не являются недостатками технологии :-)
Впрочем, доступность актуального CRL для OCSP Responder - вполне выполнимое, кмк, требование