Talalkozo: CAcert & GNUPG & Thawte alairas

Közösségi kerekasztal

Szervusztok!

CAcert tanúsítvány és GNUPG aláírás, valamint Thawte talalkozót szervezünk Budapesten 2008 Június 27-én. A gyülekező a Moszkva Téren lesz, onnan majd a SUN Microsystems irodájába vonulunk át (1027 Budapest, Kapas utca 11-15). Ha kérdésetek van írjatok nekem, vagy keressetek meg minket IRC-en a #cacert.hu freenode.net csatornán.

Bovebb info es jelentkezes itt: http://wiki.cacert.org/wiki/Budapest

Szerk: Pontositottam

  • 3734 megtekintés

( bigacsiga | 2008. 05. 19., h – 21:44 )

Én mindenképpen mennék. Csak ötletként beugrott a Mongolian Barbecue svédasztalos étterem...Persze olyan szemontból nem jó, hogy nem ehtcsak egy aláírásra beugrani hanm hamár ott van az ember akkor fizetni kell (legalábbis elég hülyén jön ki ha csak a papírmunka miatt jön...) Megugye oda foglalni is kellne asztalt.... Lehet,hogy mégsem ez a legjobb hely e van viszont fincsi vacsi is. Meghát a pia is benne van az árban...

http://bigacsiga.net

Szia! Pont azért nem tartom szerencsés ötletnek, mert ilyenkor sokan csak azért nem jönnek el, mert sajnálják az aláírásért azt a 3000HUF-ot, a cél pedig az, hogy minél többen jelenjenek meg, anyagi helyzettől függetlenül. Szerintem sokkal szerencsésebb lenne, ha a hup és ubuntu sörözésekhez hasonló helyen tartanánk, ahol a kutyát nem érdekli, hogy valaki rendel-e vagy sem.

-1

Biztos csak nekem nem jön be a zenei stílusuk. Egyszer voltam Morissons-ba. Akkor sem sokáig. Egy Michael Jackson számnál léptem le. Nem éjszakaival utaztam.

Szerintem csendes hely kell.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

+1

Tudom ajánlani a munkahelyemet a Moszkva tértől 3 busz/villamos megálló illetve 10 perc gyalog. Aki pedig költeni akar, az utána beülhet sörözni.

Ha beszélgetni is akarunk, akkor: CD+Fű. A fű a teára utal. Cigizni nem lehet, alkohol csak a ruzmos teájukban van.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Néhány oldalt tudunk fénymásolni és nyomtatni is lehet.

Most már csak azon kell majd igyekeznem, hogy időben hazaérjek Pécsről...

Üdv,
Dw.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

( onyx v | 2008. 05. 19., h – 23:31 )

Meseljetek mar el, hogy ez most konkretan mirol szol? Tudom, tudnom kene, de sajnos nem tudom biztosan. A cacert resz erdekelne, mert azt hasznalom rendszeresen, jopar certem van toluk. Milyen elonyokkel jar, ha elmegyek erre az esemenyre? Bocs a lama kerdesekert :)

megmondom oszinten a cacert-hez nem sokat szagolok hozza, engem a gpg resz erdekel.
azert segitek a rendezesben, mert a magyar open source scene semelyik masik tagja nem tette meg ezt (sajnos jellemzo).

de megha nem is szarmazik belole semmilyen elonyod, akkor is nyugodtan gyere el, max dumalunk egy jot. :)

--
/* MD_Update(&m,buf,j); */

+1 a masodik sorhoz. Ha az urge nem jon fel IRCre lehet semmi nem lenne az egeszbol. (#hup.hu @ freenode)

En elso korben fsf-et javasoltam neki, ott meg is bukott az egesz. Az LME-t nem mertem javasolni :) sorry. Bar ezek utan talan mar FSFet se? :)

Egyebkent meg jo hogy vannak ilyen "szervezeteink".

Na mind1, nem akarom szetoffolni a topicot :)

replacednek meg thx hogy szant ra idot es foglalkozik a kerdessel. :)

Udv
-krix-

Tegyük fel, hogy szeretnél aláírt üzeneteket küldeni, titkosított üzeneteket fogadni, vagy webes dokumentumokat kiszolgálni https protokoll segítségével. Különben valószínűleg nincs sok szükséged erre :).

Ilyenkor több lehetőséged van:

  • Self-signed certificate / keypair

    Külön aláírás nélküli nyilvános kulcsot használsz (technikai okokból te mindig aláírod a sajátodat). Ezt persze megteheted, de ha valaki nem személyes úton kapja meg a nyilvános kulcsodat, akkor nem lehet biztos abban, hogy tényleg te vagy. Bárki más ugyanúgy készíthet kulcspárt a neveddel, és nem feltétlenül tudsz mindenkivel személyesen találkozni. Továbbá https-nél a látogatók egy idegesítő felugró ablakot kapnak, mert nem ismerik a kulcs hitelesítőjét.

  • Üzleti alapon működő hitelesítők

    Meglátogatod a Thawte, Verisign, NetLock, stb. cég irodáját, kifizeted a megfelelő összeget, bemutatod az igazolványaidat és ők aláírják a kulcsodat. Az OpenPGP-nél nem tudok ilyenről, csak az X.509 tanusítványoknál. Az iroda fenntartása és a felelősségvállalás miatt ez csak fizetősen működik. Ha például nagyforgalmú https-es weboldalt üzemeltetsz és fontos, hogy a gyökértanusítvány minden böngészőben benne legyen, akkor ez az egyetlen járható út.

  • Web of Trust rendszer

    Néhány másik ember, akinek már van érvényes, mások által aláírt kulcspárja, hitelesíti a tiédet - vagy személyes ismeretség alapján, vagy valamilyen hasonló rendezvényen az igazolványaidat megnézve. A Thawte-nak és a CaCert-nek van olyan szolgáltatása, hogy ha a "Web of Trust"-ból kellő számú ember hitelesít téged, akkor te is bekerülsz és a te X.509-es tanusítványodat is aláírják. Ehhez nincs szükség arra, hogy egy alkalmazott külön foglalkozzon veled, így ezt ingyenesen tudják biztosítani. A GnuPG esetén pedig eleve annak az aláírását tekinted érvényesnek, akihez vezet tőled (kellően rövid és "vastag") lánc.

Ennyit dióhéjban. Igyekeztem közérthetően fogalmazni, néhol ez a precizitás rovására megy. Ha részletesebben érdekel, olvasd el mondjuk ezt és ezt.

A PGP-s web of trust dolgot értem. Erről nem is kérdeznék, majd sokan aláírják a kulcsomat, én meg sok emberét, világos.

De mi a helyzet a https és imaps meg ilyesmi szolgáltatások titkosításához használt kulcsokkal?

Van egy közös gépünk (baráti társaság), és a webmail, meg a levelezés titkosítva megy, de idegesítőek a self-signed cert figyelmeztetések.

Eddig van self signed kulcsom, illetve elméletileg csináltam a startssl-nél aláírt saját kulcsot, amit elméletileg a firefox elfogadna kiabálás nélkül, de az IE nem. (viszont ezt a kulcsot a lighttpd utálkozva visszadobta, hogy invalid - szóval nem tudom használni).

Tehát tegyük fel, készítek magamnak egy új kulcsot, meg egy sign requestet.

Ezután elviszem, találkozunk.

Ezután mi lesz? Aláírják sokan, és a végén ha elég aláírásom lesz, akkor a Thawte is aláírja automatán, és onnantól se a FF, se az IE nem fog pampogni?

Jól értelmezem?

A Cacert az mire jó? Ezt nem teljesen értem. Ugyanolyan aláíró, mint mondjuk a startssl? De ha jól látom, ez sincs benne alapból IE-ben (FF-et nem kerestem). A felhasználók meg sírnak, hogy bonyolult root CA-t telepíteni. :-(

Sziasztok,
G

Kicsit későn válaszolok, de hátha még aktuális.

A böngésző támogatás tényleg kritikus pont. Bizonyos disztrókban alapból benne van a root certificate, de az ismertebb böngészőkben sajnos nincs. A Mozilla-alapú böngészőkkel kapcsolatban a bugzillában van egy hosszú szál a bekerüléssel kapcsolatos - egyébként jogos - problémákról, és abban egyeztek meg, hogy felkészítik a CAcert-et egy auditálásra. Ez jelenleg is folyamatban van, a legutóbbi beszámoló 5 napos. Remélhetőleg előbb-utóbb sikerül nekik, utána már több értelme lesz. Viszont ilyen találkozó ritkán van (2005 óta ismerem a cacertet, azóta nem volt), tehát szerintem addig is érdemes eljönni.

A PGP-vel szemben itt nem a kulcsodat hitelesítik a résztvevők, hanem az accountodat.
1. regisztrálsz a cacert weblapján és nyomtatsz egy hitelesítési űrlapot, amit aláírsz
2. személyesen megkeresel egy hitelesítőt (assurer), megmutatod az okmányaidat és átadod a lapot
3. a hitelesítő akár a helyszínen, akár később otthon meglátogatja a cacert honlapját és jóváírja neked a pontokat
Egy assurer legfeljebb 10-35 pontot adhat, attól függően, hogy hány embert hitelesített már korábban, de ha úgy látja jónak, adhat kevesebbet is. Ha eléred az 50 pontot, akkor a cacert honlapján igényelhetsz tanusítványt a csr-ed feltöltésével. (Előtte is, de csak "anonim" tanusítványt.) 100 ponttól pedig te is hitelesítővé válsz. Részletesebben itt, ez a wikiben is be van linkelve. Ha a találkozón lesz elég hitelesítő, akkor azonnal elérheted az 50 vagy 100 pontot és nem kell 3-4 embert egyenként megkeresni.

A Thawte web of trustja hasonlóan működik, a szabályok szinte teljesen megegyeznek. Az előnyük a CAcerttel szemben, hogy nagyok és ismertek, tehát itt nem kapsz figyelmeztetést az ismeretlen gyökértanusítvány miatt. A hátrányuk, hogy csak S/MIME tanusítványt kapsz ingyen (e-mail aláíráshoz/titkosításhoz), a HTTPS, code signing és egyéb típusokért fizetni kell. Nekik ez így jó reklám.

Na akkor most egy kérdés, remélem, nem túl ostoba:

Egy tanúsítványt tud több root is hitelesíteni?

Tehát mondjuk az ember készít egyet, és azt alá lehet íratni a CAcert-tel is, meg mondjuk a startssl-lel is?

Arra gondoltam, háha az egyik browser az egyiket ismeri, a másik meg a másikat....

Mindenesetre eddig még csak odáig jutottam, hogy készítek egyet, és készítek egy certificate request-et. Az aláírt cuccról nem tudom, tudok-e új request-et készíteni. Nem néztem meg.

Ez csak egy hirtelen ötlet volt, azt se tudom, van-e értelme :-)

G

szia!

remelem nem ertetted felre a szandekunkat, nem szeretnenk toletek elorozni semmit, csak most adodott ez a lehetoseg, hogy a web-of-trust -ot jobban ativelhessuk a hatarokon tulra is egy ilyen talalkozoval :)

orulnek ha tudnatok ti is segiteni es ti is ott lennetek.

--
“A well placed underscore makes the difference between a s_exchange and a sex_change”
— 8048 Users Manual, Intel 1977.

( Dwokfur v | 2008. 05. 20., k – 09:25 )

Subscribe.

5-10 ember nyugodtan beugorhat papírmunkázni a munkahelyemre is. Moszkva térről 10 percre.

Mit kell tennem a dolog előtt, hogy felkészülten érkezzek (KEY-ID feltöltés)?

Üdv,
Dw.
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

( bertom | 2008. 05. 20., k – 15:26 )

+1 subscribe

Vinném egyik haveromat is. Remélem nem gond. :D

( bigacsiga | 2008. 05. 20., k – 17:40 )

Mit kell vinni? Útlevél, személyi + űrlapok. Tudom még igazolni magam valamivel? (jogsim még nincs)
Ha nem vgyok hitelesítő csak beugranák a szignókért (cacert) akkor is fel kell iratkozni a listára? (mi az az assurer?)
http://bigacsiga.net

Sziasztok!
Új vagyok itt a hup-on.
És CaCert hitelesítő. Ha tudok azzal segíteni, hogy elmegyek és aki kéri azt hitelesítem szívesen megteszem.
Hozni két fényképes igazolványt kell. Pl. útlevél és személyi jogsi stb.
Előtte fel kell lépned a http://www.cacert.org/-ra és ott a csatlakozás menüpontban regisztrálni. Ha ez megvan és
bejelentkeztél, akkor a CAP/TTP űrlapok menüben válszd az A4 WOT űrlap almenüt. Töltsd le és nyomtasd ki, majd hozd ezt is magaddal. A hitelesítő ellenőrzi személyazonosságodat, majd fellép a cacert-re
(én ezt már otthon szoktam csinálni) és hitelesít. Ha ez megtörtént erről levelet kapsz és Te lépsz fel, a saját accountoddal és letöltöd a kulcsaidat.
A gyökér tanusítványt is innen lehet letölteni. Ez kell mások aláírásának az ellenőrzéséhez

Nekem szerverhez (is) kéne cert. Nem világos, hogy a fent leírt dolgok elegek-e hozzá, vagy kell még valami a domain hitelesítéséhez - vagy mi?

Üdv,
Dw.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Régen valóban két arcképes igazolványra volt szükség, a jelenlegi szabályzat szerint elegendő egy, viszont ha a hitelesítő úgy gondolja, akkor kevesebb pontot ad. A diákot bemutathatod, de nem számít arcképes igazolványnak, tehát egy személyi mindenképp kell. Minden más úgy van, ahogy nagysa leírta.

Pontositas:

Gondolom az urnak meg nincsen szemelyije, azert kerdezte a diakot.

Idezet:
17/2005. (II. 8.) KORM. RENDELET
A diákigazolványról

2. § (1) A diákigazolvány igazolja
...
e) azok esetében, akik számára az első személyi igazolvány még nem került kiállításra, a személyazonosságot.

( gee v | 2008. 05. 20., k – 19:36 )

Hát, nekem nagyon jól jönne egy ilyen...

És még az is lehet, hogy Magyarországon leszek.

Szóval szeretnék jelentkezni.

G

( phanatic | 2008. 05. 20., k – 23:23 )

subscribe (egyelőre csak itt, aztán majd a wiki oldalon is, ha már biztos, hogy el tudok menni)

( petya | 2008. 05. 21., sze – 19:53 )

Sziasztok. A Sun Magyarorszag biztositana nektek ehhez helyet. A Sun iroda a Moszkva ter es a Batthyany ter kozott van. Kave, udito lenne, persze a drinking and socialization resz utana mar mashol lenne:). A nagytargyaloban kb 20 ember le tud ulni egyszerre kenyelmesen, kerekasztal szeru megoldas van. Ha erdekes lehet ez, irjatok, es leszervezem a reszleteket.

( spymorass v | 2008. 05. 22., cs – 10:46 )

subscribe

A CaCert működését értem, a Thawtéről tud valaki felvilágosítást adni?

Rendes X.509-es tanúsítványt ad, a root CA certje benn van a böngészőkben levelezőkben, nem mint a cacert.org. Ingyen van, és ha hitelesítenek (pl. a találkozón), akkor a nevedet is beírják az egyébként Freemail member vagy valami hasonló név helyett a tanúsítványba.

( hrgy84 | 2008. 05. 24., szo – 07:31 )

Small off topic: Valaki tud ilyen ceges PGP alapok oktatasrol? Nalunk a cegnel muszaj hasznalni, de a dolgozoknak igencsak vegyes fogalmaik vannak a PGP pontos hasznalatarol. Arrol nem is beszelve, hogy meg PGP5-ot hasznalunk, ami a vilagon semmit nem tud kezdeni egy jo GPG kulccsal, ahhoz minimum 6-os kell. De a levelezoben mar pl. keptelenek hasznalni, pedig a Thunderbird + Enigmail tenyleg mindent alatolna az embernek, amit kell. Szoval amit keresek: egy olyan lehetoseg, hogy valami tanar kijon hazhoz, es elmagyarazza kozertheto nyelven egyfelol a PGP mukodesi elveinek alapjait, masfelol pedig a mindenapos hasznalathoz ad tippeket, otleteket, tanacsokat.

A "Google rulz", meg hasonszoru hozzaszolok kimeljenek, egy atfogo osszefogott ceges oktatasra lenne szukseg, szoke titkarno included.

( Replaced | 2008. 05. 29., cs – 00:27 )

up

--
“A well placed underscore makes the difference between a s_exchange and a sex_change”
— 8048 Users Manual, Intel 1977.

Sziasztok!
Többen kérdezték, hogy ha a cacert.org-on hitelesíve vannak, akkor tudnak e weboldalt hitelesíteni.
Igen.
Ha már hitelesítve vagy, akkor belépsz az accountoddal a cacert.org-ra és megcsinálhatod. Persze nyilatkoznod kell, hogy jogosult vagy az adott domain kezelésére. Mások ezt akár el is vitathatják tőled.
Csináltam egy mintát: https://tbr.hu:8443
Ha letöltöd a cacert.org-ról a gyökértanusítványt és telepíted a böngészőbe akkor működik.

Ez jól hangzik.

Van egy általam felügyelt gép (atoth.egyetem.hu), de természetesen az egyetem.hu domain-nel az egyetem rendelkezik. Akkor most az egyetemnek kellene a nevemben eljárnia, vagy elégséges az általad említett nyilatkozat?

Üdv,
Dw.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

( Replaced | 2008. 06. 02., h – 11:54 )

bump

--
“A well placed underscore makes the difference between a s_exchange and a sex_change”
— 8048 Users Manual, Intel 1977.

( _Borisz_ | 2008. 06. 05., cs – 22:16 )

A tervezett időpontok mennyire fixek?
--
"my mind had skipped town and left me behind to pay the rent"

( tamsa | 2008. 06. 05., cs – 22:34 )

Ha szükség van CA-Cert hitelesítőre, megpróbálok ott lenni....

Van egy általam felügyelt gép (atoth.egyetem.hu), de természetesen az egyetem.hu domain-nel az egyetem rendelkezik. Akkor most az egyetemnek kellene a nevemben eljárnia, vagy elégséges az általad említett nyilatkozat?

Üdv,
Dw.

Megnéztem ezt írja mikor a domain hozzáadás menübe megyek:

Megjegyzés: a doménednek csak a fő, vagy lényegi részét kell megadni, pl. mydomain.hu és nem www.mydomain.hu. Ha már sikeresen ellenőriztetted a doménedet, akkor megadhatsz aldoméneket is, pl. www.mydomain.hu, mail.mydomain.hu, mivel a rendszer jobbról balra haladva keres egyezést, nem pedig a teljes hosztnévre, amikor CSR-t (tanúsítványaláírási kérelmet) küldesz.
:(

szia!

orulnenk, ha ott lennel!
noha, mar tobb assurer is jelzett, hogy jonne, jo lenne, ha minel tobben ott lehetnenk es megismerhetnenk egymast.

--
“A well placed underscore makes the difference between a s_exchange and a sex_change”
— 8048 Users Manual, Intel 1977.