Re: certificati SSL vs chiavi gnupg

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2003 ml@sikurezza.org
Soggetto: Re: certificati SSL vs chiavi gnupg
Mittente: Raistlin
Data: 24 Jul 2003 03:28:01 -0000

> Scrivo, come profano, per chiedere delucidazioni/pareri sulla
> sicurezza dei certificati SSL e sul paragone di quest'ultimi con
> il sistema di chiavi openpgp/gnupg.

Stai facendo confusione tra il protocollo SSL e i certificati X.509.

> Con gpg, la sicurezza della cifratura e' garantita dai robusti
> algoritmi che conosciamo.

SSL utilizza algoritmi analoghi. X.509 e' un formato di certificato
digitale, dentro puo' esserci la chiave pubblica per l'algoritmo che
preferisci. Tipicamente e' RSA, sia in un caso che nell'altro.

> 1A- Outlook Express dice:

Basi le tue considerazioni sull'help di un prodotto fatto per gli utenti
finali, scritto da qualcuno che probabilmente manco ha mai visto il software
e ritradotto dall'inglese ?

> "You can send your message as encrypted signed messages or clear
> text message. The encryption is not really an encryption as the
> message contains everything needed to decrypt the message, but
> it ensures that the recipient won't read the message if he does
> not have an s/mime compliant reader."

Non significa granche'. Se non hai il certificato del destinatario, non puoi
criptare il messaggio, ma solo offuscarlo. Questo vale anche per PGP, se non
hai la chiave del destinatario, non ci puoi fare molto ;)

> Vorrei delucidazioni su questi punti, anche perche' si trova
> in giro meno materiale di quanto si possa pensare, sull'argomento.

Sicuro di avere cercato bene ? :)

> Mi interesserebbe sapere, soprattutto, se la cifratura a chiave
> asimmetrica tramite certificati SSL e' meno sicura di quella di
> gnupg.

I certificati SSL non esistono - forse e' per questo che non trovi
informazioni ? ;)

> Pero', il tutto e' gratuito e non vengono richiesti dati anagrafici.

E allora che CA sarebbe ?

> Sarebbe interessante anche sapere se esiste un meccanismo di
> firma dei certificati/chiavi pubbliche, come su gnupg

No, se il sistema si chiama PKI (Public Key INFRASTRUCTURE) e' perche'
esiste un ente (la CA) che fa da garante.

> Poi, sono ben accette anche riflessioni sull'uso di SSL e gpg in
> ambiente windows e linux (gpg, su windows, per esempio, non e'
> molto ben supportato,

Pero' c'e' PGP che fa le stesse cose ;)

Stefano "Raistlin" Zanero
System Administrator Gioco.Net
public PGP key block at http://gioco.net/pgpkeys



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- certificati SSL vs chiavi gnupg, stupormundi

Data:
- precedente: Re: Antivirus e normativa italiana, Gelpi Andrea
- successivo: Re: VPN e fastweb, Luca Maranzano
- indice

Argomento:
- precedente: certificati SSL vs chiavi gnupg, stupormundi
- successivo: R: Firma digitale (forse OT), MultiMedia it - Claudio Caprara
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005