"És ÉN hogyan ellenőrzöm hogy pl. az igazi Google-el beszélek? " Ha valóban ellenőrizni akarod, mert nem elég neked a PKI-ba vetett bizalom, akkor ahhoz (ugyanúgy, mint az Extended Validation-ös certificate-k keletkezésekor) személyes kapcsolatfelvétel kell. Ez bizony ilyen.
"ha te ugyanazzal a rendszerrel állsz kapcsolatban, akit a környezeted Google-ként (el)ismer, az számodra biztonságos."
Te összekevered a bizalmat meg a biztonságot. Nem, nem lesz számomra valóban biztonságos az, hogy sokan ugyanabban a 3rd party által megbízhatónak jelölt dologban bízunk meg. ont a DigiNotar példája mutatja meg a rendszerben lévő hatalmas lyukat.
Az EU is elismeri, hogy a HTTPS by design hibás.
https://www.enisa.europa.eu/media/news-items/operation-black-tulip
" In the current setup, browsers and operating systems (e.g. Microsoft’s certificate store) place trust by default in a large number of CAs (hundreds) by default, so a failure with one of them creates a risk for all users and all websites. The security of HTTPS equates to the security of the weakest CA. HTTPS should be modernized, to be more resilient against attacks and more user-friendly. "
"A legtöbb identitás amivel kommunikálsz valójában kitalált fogalom, kreált dolgokat, szolgáltatásokat takarnak."
A szolgáltatások mögött jogi vagy természetes személyek vannak.
"szimmetrikus esetben minden egyes partnerpárhoz tartoznia kell egy kulcsnak (gráf élei), míg aszimmetrikus esetben csak minden egyes parnerhez (gráf pontjai) "
Pont ezt mondtam, de sebaj: minden fél rendelkezik 1-1 kulccsal, így 1 gráf pont bedőlése nem vonja maga után az élek mögött lévő gráfpontok bedőlését. Mesélj, mi másban segít még az aszimmetrikus crypto, ami élesen elkülöníti a szimmetrikus kriptotól. Nincs más valódi különbség.
"Csak ez tényleg egyfajta értelmetlen fanatizmus, annyira nem fedi a valós igényeket."
Nem, a valós biztonsági igény valóban az ilyen biztonság lenne. Azonban a kényelemért hajlandóak vagyunk feladni sok mindent. És minél több kényelmet adunk magunknak, annál kevésbé biztonságos az egész. A PKI a jelenlegi módon (OS és browser vendorok mondják meg, kiben kell megbíznod és kiben nem) egy rendkívül kényelmes dolog - de cserébe rendkívül sérülékeny is.