просто TLS 1.2 / 1.3

а его не ссыкотно юзать? в нем так же часто находят дыры

помещение

Хм, если сидишь в офисе и админишь, значит эникей - так?))

а, ещё QUIC есть

QUIC не для того сделан

а его не ссыкотно юзать? в нем так же часто находят дыры

Ну да, я думаю бага в OpenSSL это повод написать своё =))

Никто не знает чат, где тусят 1с программисты? ))

Но 1с часто обсуждают на русисадмине.

Хм, если сидишь в офисе и админишь, значит эникей - так?))

нет, если обслуживаешь офис

я не настоящий сварщик) я просто ради фана))

QUIC не для того сделан

А для чего он сделан? =)

Ну да, я думаю бага в OpenSSL это повод написать своё =))

да почему свое, функции те же

я бы спросил в крипто и на http://security.stackexchange.com/

там ребята умные

А для чего он сделан? =)

как замена TCP + TLS

на базе UDP

да почему свое, функции те же

Я тут скидывал в чатег людей которые просто RSA.gen_key использовали, ага

1с программисты не тусят в телеграмме

Печально. (

Печально. (

Это закономерно. Телеграмм это по большей части чат для гиков и креаклов

1сники для него слишком прагматичны

1сники для него слишком прагматичны

олдскуллеры :)

http://zdnet4.cbsistatic.com/hub/i/r/2015/04/18/8e842538-a29f-422f-b5d1-8cdd31ed2166/resize/770xauto/0e51d66477a87f141d341e0a8e9fd9dc/quic-google-connections.png

блин, хочется вопросы позадавать, а некому ?

На рцсисадмине задай

в общаг кидай

Если что тряпками закидаем, а так не ссы )))

Лошадко щас ссылку кинет

Лошадкой!

Хм, если сидишь в офисе и админишь, значит эникей - так?))

Ау

quic это типа http/2, соединение устанавливается один раз, запросы передаются по нему пока оно живо

плюс куча оптимизаций (т.к. tls в любом случае, не нужно спрашивать, нужен ли апгрейд итп)

На рцсисадмине задай

да я про 1С же.

да я про 1С же.

И я про 1с

Там половину времени 1с обсуждают...

а что за рцсисадмин?

DTLS — Википедия https://ru.wikipedia.org/wiki/DTLS Протокол датаграмм безопасности транспортного уровня - Datagram Transport Layer Security (DTLS) обеспечивает защищённость соединений для ... Веды — Википедия https://ru.wikipedia.org/wiki/Веды Ве́ды (санскр. वेद, véda — «знание», «учение») — сборник самых древних священных писаний индуизма на санскрите. Веды относятся к категории ...

есть предложить альтернативу?

Хотел найти материал, где сравнивается стойкость ЭК алгоритмов, чтобы подкрепить, ну да ладно... В качестве альтернативы вариант, который сейчас реализую сам: Curve25519, очень быстрая и проверенная кривая. PBKDF с hmac sha-256

Киньте ссылку кто нибудь

Я не умею

RU.SYSADMIN. С любовью к близким! (твоим) Бородатые и не очень, виндузятники и красноглазики, заббикс и графана, эникейщики и труЪ-админы. Это мы. Список интересных групп и каналов: https://github.com/goq/telegram-list https://telegram.me/ru_sysadmin

Спасибо Александр

quic это типа http/2, соединение устанавливается один раз, запросы передаются по нему пока оно живо

QUIC это транспорт, что ты по нему пускаешь - дело твоё

http://zdnet4.cbsistatic.com/hub/i/r/2015/04/18/8e842538-a29f-422f-b5d1-8cdd31ed2166/resize/770xauto/0e51d66477a87f141d341e0a8e9fd9dc/quic-google-connections.png

а как сертификат сливается?

QUIC это транспорт, что ты по нему пускаешь - дело твоё

>transport layer network protocol >designed to provide security protection equivalent to TLS/SSL >QUIC's main goal is to improve perceived performance of connection-oriented web applications that are currently using TCP.

И?

вообще я не спорил, что по нему можно что-то еще пустить

но он изначально разрабатывался как альтернатива tls поверх tcp

так что я аналогично могу сказать "и?"

Он, разрабатывался как замена TCP, без HOL и контролем над congestion control'ом в userspace

Спасибо Александр

Спасибо! :)

Он, разрабатывался как замена TCP, без HOL и контролем над congestion control'ом в userspace

What is QUIC? QUIC is the name for a new experimental protocol, and it stands for Quick UDP Internet Connection. The protocol supports a set multiplexed connections over UDP, and was designed to provide security protection equivalent to TLS/SSL, along with reduced connection and transport latency. An experimental implementation is being put in place in Chrome by a team of engineers at Google.

То что они написали своё шифрование, это из-за того что TLS 1.2 говно, с DTLS 1.3 они наверняка на него перейдут

с чего бы

А ты не плохо копипастишь! Отличный скилл!

я не плохо юзаю поиск, копипаста - это не скилл

с чего бы

Что бы не делать как ты и не изобретать свою криптографию =)

лол

Что бы не делать как ты и не изобретать свою криптографию =)

Да там не шло речи про свою криптографию, вообще

Чувак просто собирает криптосхему из проверенных криптопримитивов

есть два вида людей: - которые доверяют тому что им втюхивают под криптографией - и те, кто разбираются в том, что и зачем нужно

Чувак просто собирает криптосхему из проверенных криптопримитивов

Это и есть своя криптография =) то что ты используешь DHE не значит что твоя штука секюрна end-to-end

Вот у тебя задача сделать end-to-end шифрование в чатике, поди возьми готовое решение

Это и есть своя криптография =) то что ты используешь DHE не значит что твоя штука секюрна end-to-end

то что ты используешь tls не значит, что tls секьюрно

особенно если не настроишь правильно

есть два вида людей: - которые доверяют тому что им втюхивают под криптографией - и те, кто разбираются в том, что и зачем нужно

Их три: есть ещё те которые думают что разбираются, когда на самом деле -- нет.

Их три: есть ещё те которые думают что разбираются, когда на самом деле -- нет.

это ты про себя сейчас, видимо

Это и есть своя криптография =) то что ты используешь DHE не значит что твоя штука секюрна end-to-end

Если ты не совершаешь откровенных глупостей, выбирая самостоятельно параметры кривых или что-то в этом роде - ничего особо страшного в этом нет

Я знаю криптографию достаточно хорошо, чтобы понимать, что я её не знаю

Я знаю криптографию достаточно хорошо, чтобы понимать, что я её не знаю

тогда какого черта суешься в разговоры тех, кто хочет знать?

ERROR: S client not available

чтобы показать свое незнание?

Если ты не совершаешь откровенных глупостей, выбирая самостоятельно параметры кривых или что-то в этом роде - ничего особо страшного в этом нет

Так думали все те люди которые юзали AES CBC а их потом поломали

Так думали все те люди которые юзали AES CBC а их потом поломали

Это и есть откровенные глупости, использовать cbc, не зная, что из этого следует

чтобы показать свое незнание?

Чем скорее ты поймёшь что тоже не знаешь, тем лучше для интернета =)

Так думали все те люди которые юзали AES CBC а их потом поломали

бля, 99% населения, использовавшие сайты со старыми алгоритмами

их и сейчас полно

Это и есть откровенные глупости, использовать cbc, не зная, что из этого следует

Описался, перепутал с ecb

глянь на сайт с проверкой ssl - там сплошные оценки F

а вот представь себе, что ты админ и тебе нужно ёбнуть нестандартную хуйню. лезешь в ядро, подпиливаешь. лезешь в апач, подпиливаешь. лезешь в пхп, подпиливаешь. в целом-то то решаешь админскую задачу

Апач и пхп можно просто закопать.

я хуй знает, каких вы тут себе админов напредставляли, но некоторые умеют больше, чем заучить кучу манов

К сожалению, большинство нифига не умеет.

глянь на сайт с проверкой ssl - там сплошные оценки F

Ну проверь мой сайт =) там не будет F =)

Ну проверь мой сайт =) там не будет F =)

ну может тогда и на мой?

Ну, давай померяемся пиписьками, скидывай свой =)

только толку, от того, что ты умеешь следовать рекоммендациям, знаний не прибавится

Апач и пхп можно просто закопать.

ну лан, закопай

только толку, от того, что ты умеешь следовать рекоммендациям, знаний не прибавится

А от чего прибавится? =)

К сожалению, большинство нифига не умеет.

к сожалению, большинство людей так же ничего не умеют. программисты - не исключение

А от чего прибавится? =)

от изучения документации

Так думали все те люди которые юзали AES CBC а их потом поломали

Немного не понял, что в aes cbc (было?) плохо?

Гугланул быренько, только уязвимость старой версии openssl

от изучения документации

К сожалению, в криптографии единственный способ получить реальные знания а не эллюзию понимания -- это начать своими руками ломать криптосистемы, ломать карл, а не создавать

Там где вектор инициализации был уязвим

К сожалению, в криптографии единственный способ получить реальные знания а не эллюзию понимания -- это начать своими руками ломать криптосистемы, ломать карл, а не создавать

Для этого есть пентестеры

К сожалению, в криптографии единственный способ получить реальные знания а не эллюзию понимания -- это начать своими руками ломать криптосистемы, ломать карл, а не создавать

это не повод игнорировать накопленные знания

Он, разрабатывался как замена TCP, без HOL и контролем над congestion control'ом в userspace

+много.

Немного не понял, что в aes cbc (было?) плохо?

Вот поэтому и не нужно писать своё крипто, юзай TLS, обновляйся и всё будет хорошо. Почитай почему в TLS1.3 CBC убрали

Вот поэтому и не нужно писать своё крипто, юзай TLS, обновляйся и всё будет хорошо. Почитай почему в TLS1.3 CBC убрали

Там же ещёи rsa убрали

Что вызвало батхерт у банковской сферы

Там же ещёи rsa убрали

? Пруфлинк?

это не повод игнорировать накопленные знания

https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2009/july/if-youre-typing-the-letters-a-e-s-into-your-code-youre-doing-it-wrong/

https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2009/july/if-youre-typing-the-letters-a-e-s-into-your-code-youre-doing-it-wrong/

кто это

А это так важно? =)