ראשי > Debian GNU/Linux, Information Science, Mozilla > הצפנה בתוכנה חופשית

הצפנה בתוכנה חופשית

במסגרת סמינריון בנושא תקשורת ואבטחת מידע במחלקה ללימודי מידע, כתבתי עבודה על הצפנה בתוכנה חופשית. העבודה זמינה ברישיון CC-BY-SA 3.0.

במהלך העבודה הסברתי את עקרונות הצפנה (בלי מתמטיקה) תוך דגש על נושא של הצפנה א-סימטרית. לאחר מכן, סקרתי את המימושים והשימושים השונים הקיימים בתוכנה חופשית בנושא הצפנה.

בין השאר, העבודה מתארת את השימוש בהצפנה בנושא העלאת חבילות תוכנה לפרוייקט דביאן מצד חברי הפרוייקט ואימות החבילות המתבצע בזמן הורדת החבילות מצד המשתמשים. כמו כן, היא מפרטת אודות רכיביה של OpenSSH והתהליכי ההזדהות המתרחשים בה.

GPG והשימושים הרבים בו נסקרים בהרחבה בעבודה, כולל ממשקים כמו Enigmail ו-FireGPG ורעיונות להצפנת HTTP באמצעות GPG במקום SSL. מעבר לתוכנה, מתואר הרעיונות מאחורי רשתות אמון והדרכים בהם אנשי תוכנה חופשית בונים אותם. לבסוף, מוסברים העקרונות של SSL/TLS ושלושת המימושים בתוכנה חופשית הקיימים עבור התקן.

באופן אישי. העבודה סיפקה לי הזדמנות להעמיק בשני תחומים שמעניינים אותי (הצפנה ותוכנה חופשית). יצא לי לגלות למה חשוב לשלוח חתימות על מפתחות GPG במייל ולא להעלות אותן לשרת המפתחות, ללמוד איך עבוד OpenSSH, ללמוד שנטסקייפ המציאה את ה-SSL והמימוש המקורי שלה עדיין חי וקיים.

אשמח לקבל הארות והערות על העבודה.

  1. 07/09/2009 ב- 10:20 pm

    במה השתמשת כדי לערוך את העבודה? יש מלא משפטים שנחכתים, ועוד דברים מצחיקים כאלו.

    בנוגע לתוכן (עיון ממש מהיר…) אני באמת מבין כמה המתמתיקה חסרה כאן. כל היופי של שדות מודולו n והבעייה של DLP פשטוט נעלמו, הפשטת את זה למשהו טכני וזה נראה כמו וודו שעובד, במקום עיקרון מתמטי מוכח ובעל חור ענק שבטעות עוד לא מצאו אותו.

  2. dalit
    07/09/2009 ב- 11:40 pm

    עדיין לא קראתי את העבודה אך שאלה כבר עלתה – האם מותר אצלכם להסתמך על וייקיפדיה כמקור מהימן? חלק מהפקולטות אוסרות על כך.

    כמו כן – יש עידכונים בנוגע לחוק ולתקנות החתימה האלקטרונית בארץ – האם מעניי אותך?

  3. 08/09/2009 ב- 6:11 am

    הבעיה בייצוא ל-PDF סודרה, זה מה שגרם למשפטים להיראות מוזר.

    הורדת המתמטיקה היתה מבחירה, וזאת כדי להתמקד במימוש של ההפצה בתוכנה חופשית. מי שרוצה לראות את הצד הפרקטי של הנושא, לא ממש צריך את המתמטיקה. בנושא שגם ככה מלבל, לפעמים צריך להסביר ישירות בלי נוסחאות, אליהן תמיד אפשר לחזור אח"כ.

  4. 08/09/2009 ב- 6:14 am

    במחלקה למידענות מתייחסים לויקיפדיה קצת אחרת. יש אנשים במחלקה שחוקרים את האמינות של ויקיפדיה, מנסים לבנות כלים להערכה של התוכן שלה וכו'. חוץ מזה, יש דברים רבים שויקיפדיה הם מקור אמין יותר מאשר גורמים אחרים, בעיקר כאשר כותבים על תחומים הקשורים לפרוייקטים אינטרנטיים.

    כן, מעניין אותי החוק והתקנות בארץ, אם כי הם לא יכנסו לעבודה.

  5. ZooZ
    08/09/2009 ב- 9:16 am

    יש מצב לפורמט אחר? נניח html?
    או אפילו טקסט נקי?

  6. 08/09/2009 ב- 9:36 am

    יצרת לי חשק לקרוא בעקבות גילוייך ש"חשוב לשלוח חתימות על מפתחות GPG במייל ולא להעלות אותן לשרת המפתחות"

    אבל לא ראיתי מסקנה או סיבה מכך מהמדריך.

    כמו כן בסעיף 2.2 סוף פיסקה 4 רשמת GPG במקום PGP : "לאחר מספר גלגולים ורכישות, GPG המקורית הפכה למוצר…" (מתי כבר יפתרו את הבאג של העתקת עברית מPDF

  7. meorero
    08/09/2009 ב- 4:25 pm

    העבוד מעניינת וכתובה בצורה בהירה למדי. כל הכבוד. ותודה על הפרסום.

    זה טריגר מצויין בשבילי לחזור אל הספר "סודות ההצפנה" (כפי שכבר נאמר פעם: "קניתיו, אך טרם הספיקותי לעיין בו" :-> ).
    אבל קודם אסיים לקרוא את העבודה הזו בעיון!

    בעניין הכנסת הצד המתמטי: נראית לי החלטה טובה … זה לא החוג למתמטיקה, או למדעי המחשב, והסבר מתמטי היה מנפח את העבודה.

    אולי הייתי מכניס הפניה להסבר מתמטי איך זה עובד. חצי שורה.

    החלקים המעניינם בעיני הם הנסיון האישי שלך

  8. 08/09/2009 ב- 5:56 pm

    נדב – עמוד 13, פסקה אחת לפני הסוף.

    הסיבה היא לאמת את הקשר בין האדם לבין כתובת הדואר שרשומה אצלו במפתח. ככה אתה יודע שהחתימה תגיע אליו רק אם הוא הבעלים של הדואר שכתוב במפתח. אחרת היא "תלך לאיבוד" ולא ישתמשו בה.

  9. 09/09/2009 ב- 8:12 am

    אבל זה לאימות ראשוני, אבל אתה מתנגד לעלות לשרת מפתחות בעוד שבמדריך כתבת שאחרי בדיקת האימות הוא יכול לעלות, ומלבד זאת שרת המפתחות יכול לעזור לך לראות את הקשרים ברשת האימון, לא?

  10. 09/09/2009 ב- 11:05 am

    אני חותם על המפתח, ושולח אותו לבעל המפתח במייל שמצויין במפתח עצמו. אם החתימה הגיעה, אז מבחינתי כתובת הדואר שלו מאומתת, ויש רצף של אדם-> מפתח (כחלק ממסיבת המפתחות) והקשרים בין מפתח-> כתובת מייל.

    בשלב זה, האדם יכול להעלות את החתימה שלו לשרת המפתחות בעצמו. אם אני אעלה אותה במקומו, אני מדלג על השלב של אימות המייל. זאת גם הסיבה שחשוב לשים במייל כתובת תקינה ולא כל מיני קומבינות.

  11. 09/09/2009 ב- 1:41 pm

    קצת חסר לי מידע במאמר שלך על מפתחות ציבוריים ללקוחות דרך SSL/TLS. השימוש בזה לא נפוץ במיוחד, אבל כל הדפדפנים כוללים מימוש של זה, וישנם מספר אתרים שעושים בזה שימוש. טכניקה זו מאפשרת לאתר לזהות את המשתמש ללא צורך בהקלדת סיסמה, וגם ללא שימוש ב־Session cookie שניתן ליירוט בצורה פשוטה יחסית.

  12. 10/09/2009 ב- 6:31 am

    תומר, אתה מתכוון לשימוש במפתחות פרטיים ע"י המשתמש ב-SSL/TLS? כי לא נתקלתי בזה כשחיפשתי מידע. זה גם דורש העברה של המפתח מראש לשרת או חתימה עליו ע"י CA כדי שהשרת יזהה אותך… לא פשוט באינטרנט.

  13. 10/09/2009 ב- 9:26 am

    משתמשים בזה לאימות משתמשים. האימות של השרת מתבצע בעבודה מול ה־CA, וזה של הלקוח מול השרת שחתם לו על התעודה.

    ב־myopenid.com יש שימוש בזה. אתה מוזמן לנסות.

  1. 27/07/2011 ב- 2:52 am
  2. 30/11/2011 ב- 11:48 pm

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s

%d בלוגרים אהבו את זה: