Re: certificati SSL vs chiavi gnupg

On Wed, Jul 23, 2003 at 09:12:51PM +0200, Raistlin wrote:
(questo era From: "stupormundi" <callicle@xxxxxxxxxxx>) raist, please
lascia l'attribution senno sembra che io stia quotando te)
> > Scrivo, come profano, per chiedere delucidazioni/pareri sulla
> > sicurezza dei certificati SSL e sul paragone di quest'ultimi con
> > il sistema di chiavi openpgp/gnupg.
>
> Stai facendo confusione tra il protocollo SSL e i certificati X.509.
...

a parte tutte le precisazioni di raistlin la differenza reale (a parte
l'implementazione) e' la modalita' di verifica dell'affidabilita' della
controparte.

Ovvero:
pgp/gpg usa il cosiddetto 'web of trust': io mi fido di tizio (perche la
sua chiave me l'ha data di persona), tizio si fida di caio (infatti ha
firmato la sua chiave), caio si fida di sempronio. quindi caio e' abbastanza
affidabile, sempronio un po meno affidabile di caio.
per verificare l'affidabilita' di caio prendi la sua chiave, verifichi
che sia firmata da tizio...

I sistemi PKI si basano su uno o piu' certificatori che sono fidati a
priori, (Root Certification Authority) questi certificatori firmano il
certificato X.509 (chiave piu' un po di informazioni sul titolare dello
stesso) di tizio. Indicando anche per che funzione si fidano di tizio.
Se tizio e' un certificatore intermedio puo' a sua volta certificare
caio.
Per verificare l'affidabilita' di caio prendi il suo certificato, verifichi
che sia firmato da qualcuno (es. tizio) prendi il certificato di tizio e verifichi che
sia firmato da una Root CA.

in un sistema pki i certificatori possono anche revocare i certificati
rilasciati.

L.

--
Luca Berra -- bluca@xxxxxxxxxx
       Communication Media & Services S.r.l.
/"\
\ /     ASCII RIBBON CAMPAIGN
 X        AGAINST HTML MAIL
/ \

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List