В продолжение предыдущей записки, про сертификаты от Let’s Encrypt. RSA и ECDSA – это распространённые в Интернете криптосистемы, которые используют различную математическую основу. ECDSA имеет целый ряд преимуществ. Однако в случае TLS-сертификатов существенный смысл в использовании ECDSA возникает тогда, когда вся цепочка сертификатов использует эту криптосистему.

Дело в том, что валидация (то есть, процесс установления подлинности) серверного сертификата подразумевает проверку подписи на одном или нескольких других сертификатах – это сертификаты удостоверяющих центров (УЦ). Технически, можно серверный (то есть, оконечный) сертификат с ECDSA-ключом подписать при помощи RSA. Именно так и делает Let’s Encrypt. При этом корневой доверенный сертификат с ECDSA у них уже есть, но вот оконечные сертификаты с ECDSA для обычных пользователей не выпускаются. Допускаю, что я не нашёл, где такую возможность включить, но, на мой взгляд, для оконечного сертификата с ECDSA автоматом должна выбираться вся цепочка с ECDSA – использование RSA, в этом случае, выглядит весьма странно (впрочем, учитывая, что сейчас 2022 год, RSA и в других случаях выглядит странно). Тем не менее, сертификат для dxdt.ru, который я вынужден был выпустить через Let’s Encrypt, содержит RSA-подпись. Ничего не поделать. Раньше, когда были доступны и другие УЦ, я использовал PositiveSSL, для которого есть ECDSA-цепочка.



Комментировать »

Поскольку добывать платные долгоживушие сертификаты от “хорошо известных УЦ”, корни которых есть в браузерах, стало очень неудобно, да ещё и по совсем неадекватным ценам (это связано с общим современным состоянием интернетов и, в частности, применимо к российским пользователям и доменам внутри .RU), поменял сертификат dxdt.ru на Let’s Encrypt. В этом бесплатном УЦ пока что .RU не заблокировали. Не факт, конечно, что это надолго (не заблокировано), но там и сертификаты-то по три месяца. Кстати, довольно занятно будет, когда сертификаты .RU перестанет выдавать и Let’s Encrypt – почти вся зона .RU, в смысле веб-серверов, использует сертификаты именно этого УЦ.

При переходе на Let’s Encrypt удалось даже без проблем применить особый ключ ECDSA, который я специально подобрал (запись открытого ключа содержит некоторую hexspeak-подстроку в самом начале; если вы, вдруг, интересуетесь экзотической занимательной арифметикой на эллиптических кривых и умеете смотреть серверные ключи TLS-сертификатов (это несложно сделать браузером), то обратите, как говорится, внимание). Но всю цепочку в ECDSA Let’s Encrypt делать отказался – этим пришлось пожертвовать.



Комментировать »

Заметка на dxdt.ru из 2009 года, рассказывающая о том, как идентифицировать пользователя приложения по отметкам геолокации:

Прежде, отметим один момент: формальной анонимности пользователя вовсе не противоречит создание на сервисе уникального аккаунта, привязанного к данной копии программы. Это необходимо и для обновлений, и для придания устойчивости системе в целом (помогает бороться с “поддельными запросами” злых хакеров и т.д.) Только по аккаунту личность пользователя установить нельзя.

Теперь о том, как же вычислить пользователя. Вот как: фиксируются его места пребывания в рабочее время, и в не рабочее время. Приехал человек на работу, находится долго “на одном месте” – несложно вычислить и место, и, собственно, рабочее время, так как людям свойственно действовать по некоторому графику. Вычисляется всё автоматически, никакой “сложной эвристики”.

За прошедшие годы актуальность только выросла: вспомните про суперпопулярные нынче приложения для “анонимного отслеживания контактов”.



Комментировать »

А вот десять лет назад, в мае 2012 года, на dxdt.ru, например, была опубликована заметка про автономный персональный навигационный компьютер:

Итак, речь о достаточно компактном электронном устройстве, которое выполняет функции типичного современного GPS-навигатора (карты, экран, показывает местоположение в реальном времени), но при этом не зависит от рукотворных внешних источников навигационной информации. Понятно, что электронная начинка, операционные системы подходят от современных навигаторов. С исходными картами тоже более или менее понятно: загрузили файлы в память, используем. Конечно, карты будут устаревать. Это особенно вероятно в ситуации, приведшей к разрушению важных для Цивилизации элементов инфраструктуры – GPS, сотовой связи. Они явно отключились неспроста. Но леса, реки, холмы, поля и озёра – заведомо остаются на своих местах. Как и многие здания, кстати. Да и прочие изменения происходят не столь быстро, чтобы картографические файлы оказались совсем бесполезны.



Комментировать »


Комментировать »

Надо заметить, что записок десятилетней давности, за апрель 2012 года, на dxdt.ru не очень-то много. Но вот, всё же, цитата из небольшой заметки по теории методов РЭБ: “Это означает, что состоянием комплекса можно манипулировать, создавая активные помехи (так выстраивается один из путей активации аппаратных закладок, если таковые имеются в вычислительных системах)”. За прошедшее время тема аппаратных закладок развилась и перешла в область гражданских вычислительных систем. Впрочем, каких-то технически содержательных “обнаружений” “в публичной печати” так и не случилось, но случились известные “разоблачения Сноудена”.



Комментировать »

День Космонавтики

Ракета (из прошлых записок):



Комментировать »

Перенёс на другие серверы сайт с техническим описанием TLS и тестовый сервер TLS 1.3. Не совсем уверен насчёт глобальной доступности, но, вроде, пока всё работает нормально.



Комментировать »

Сегодня, ближе к вечеру, планируется изменение в настройках DNS для dxdt.ru. Некоторое время сайты, которые адресуются именами в зоне dxdt.ru, могут быть недоступны. Хотя я надеюсь, что перерыва не будет.

Причина изменений, как ни странно, в мероприятиях, вызванных “санкционной деятельностью” некоторых западных компаний (“не будем показывать пальцем”) – ресурсы, адресуемые dxdt.ru, я бы хотел пока что сохранить в доступности, а это нынче требует замены имён и адресов. А самое занятное, что замену нужно тщательно планировать, потому что сервисы регулярно падают, то тут, то там. (В общем, вряд ли это всё для кого-то прямо сильно критично, но, тем не менее, надеюсь, что всё пройдёт гладко.)

Update: настройки поменялись, работает.



Comments Off on Техническое: изменение сетевых параметров dxdt.ru
Навигация по запискам: Раньше »