E-mail QSL

[RK0CXE]

Вы привели цитату, начали её комментировать и перешли на другую тему без абзаца.

Как все сложно... По моему: вы уже забыли о чем говорите и зачем говорите...
Посему рискну напомнить о чем идет речь... уж если и это не поможет... тогда - абзац.

Сообщение от RX4CD
Там подтверждаются связи с несуществующими станциями. Попробуйте набить туда любой позывной, Z52WW, например.И вам подтвердят его.
Не верно. "Там" вам ничего не подтверждают "автоматом". Лишь приходит список пришедших для вашего позывного "eQSL". А подтвердить или отклонить их ваше право и обязанность. В соответствии с данными своего первичного документа и... моральными принципами Поэтому это действительно - слабое место eQSL в смысле средства валидации QSL. А вот в lotw - как-раз - все "автоматом": совпали записи ваша и вашего корреспондента - получИте подтверждение. Не совпали - вы и не увидите, что кто-то что-то вам прислал.

Добавлено через 8 минут

Так что можно и без грибов такого написАть...

Да, верно... Вы на "колеса" намекаете? Увы... ближайшая аптека тоже далеко...

[UT4UKW]

Все таки вы не понимаете смысла ЭЦП.
Например, вы - злоумышленник, от имени Пети вы отправляете Саше письмо с картинкой о подтверждении связи. В вашем случае хидер картинки содежит скрытое от Саши зашифрованное сообщение и, как вариант, не достоверное.

А зачем мне от имени Пети отправлять письмо Саше?.... мне нужно отправить самому себе dQSL от dx с валидной строкой QSO... а как это сделать если я не знаю ключа DX?

То есть Петя, подписывая свою картинку с карточкой, дает возможность удостовериться в подлинности как докумета так и себя не только держателю программы, но и Саше.

т.е. подразумеваются некоторые спамеры, которые будут слать qQSL от dx за несуществующие QSO?.... Саше это не нужно... попробуйте объяснить старшему поколению радиолюбителей, что такое электронная подпись, генерация ключей SSL и прочее.... вопрос в том что не нужно все так усложнять.... мы не миллионами ворочаем... тот кто захочет подделать не будет взламывать пароли и сервера... он просто распечатает на принтере и заявит QSL в бумажном виде... и все....

Еще один минус вашего решения в том, что вы пытаетесь создать пропиетарное закрытое решение. Если вы хотите сделать услугу вашего сайта популярной, вам следует придерживаться открытых стандартов: потребуется разработка клиентов под различные платформы (Win, Mac OS, Linux), их поддержка. Не все захотят работать с вашим логгером и т.д.

Как раз наоборот... все алгоритмы шифрования открыты... закрыты только ключи...

Все возможно. Все зависит от популярности услуги и приследуемых целей. А так вы еще больше оставляете шансов. Тем более используя семмитричный шифр. Симметричный шифр для несколько иных задач используется, а тут вы еще больше компрометируете ключи. Да и менять скомпрометированые ключи вы как собираетесь?

Не будет этим никто заниматься... почему описал выше... хотите дам ссылку попробуете взломать... а я засеку время?

[RK0CXE]

LoTW требуют ксерокопию по обычной почте.... eQSL по электронной.... как быть в случае dQSL?

Исключительно посредством личного визита с накрытием "поляны"...

[UA3WFO]

Посему рискну напомнить о чем идет речь.

Речь идёт о том, что eQSL.cc подтверждает связи(в смысле пересылает eQSL) с НЕсуществующими станциями. Вопрос о том, что eQSL сс подтверждает , что QSO имелo место, вообще не может быть решён на этом уровне. Следовательно по отношению к eQSL cc может рассматриваться только вопрос AG, не более.

[UT4UKW]

Исключительно посредством личного визита с накрытием "поляны"...

Интересная мысль... запишем как вариант

[RA3PPV]

+1

Отсылается мгновенный денежный перевод - в городе X - отправил, через 10мин. в городе N - эту же сумму наличными получил. Подлога нет. Так в чем проблема?

Проблема в комиссии банка.

[R3ABM]

А зачем мне от имени Пети отправлять письмо Саше?.... мне нужно отправить самому себе dQSL от dx с валидной строкой QSO... а как это сделать если я не знаю ключа DX?

У вас, извитите, QSL карточка чья? Вот его подписью она и должна быть заверена. Это будет и вам подтверждением и менеджеру диплома, что связь между вами и кореспондентом достоверна. Карточку может не только корреспондент подписать, но и вы свою подпись оставить, если будете пересылать менеджеру диплома (карточка подписана двумя операторами).

т.е. подразумеваются некоторые спамеры, которые будут слать qQSL от dx за несуществующие QSO?....

Не спамеры, а злоумышленники. Например, я, зная то что вы собираете карточки на диплом RDA, к примеру, хочу, чтоб вас дисквалифицировали в виду каких-то эфирных обид. Кейсов много.

Саше это не нужно... попробуйте объяснить старшему поколению радиолюбителей, что такое электронная подпись, генерация ключей SSL и прочее.... вопрос в том что не нужно все так усложнять.... мы не миллионами ворочаем... тот кто захочет подделать не будет взламывать пароли и сервера... он просто распечатает на принтере и заявит QSL в бумажном виде... и все....

Приувиличиваете. Сделайте одну кнопку "запросить личный ключ", к которому аттачмент со сканом свидетельства прилагается, и все. Думать нужно разработчику.
При отправке изображения по e-mail-у подпись - такой же приаттачиваемый к письму файл, как и файл изображения. Хотите - используйте, хотите - нет. Формат и содержание графического файла никак не изменяется.
А вот по поводу того, что никто ломать не станет - это вы зря. Сами же радиолюбители все ломают, только повод дай. MixW вот все что-ли легально купленный используют? А вопрос 500 рублей только.

Как раз наоборот... все алгоритмы шифрования открыты... закрыты только ключи...

Сами себе противоречите. Если вы используете стандартные алгоритмы шифрования, но скрываете ключи - решение закрытое. Никто не может кроме вас воспользоваться ключами и разработать альтернативное программное обеспечение. Отдадите ключи - сразу скомпрометируете все решение, вы же симмитричное шифрование планируете использовать - ключ един на всех. Опять, получается, что толку никакого.
Вижу, абсолютно не пытаетесь вникнуть в концепцию криптографии с открытыми ключами.
При ЭЦП только отправитель использует частный ключ для подписи. Частный ключ находится только на его компьютере, даже когда он отправляет запрос на сертификат в издательство. Все остальные довольствуются электронным сертификатом, содержащий публичный ключ и подписаный частным ключем издательства, которому доверяют все участники обмена сообщениями (сертификат издательства находится у всех в списке доверенных). Частный ключ издательства храниться только в издательстве. Код может быть сколь угодно закрытым и открытым, криптографической надежности в такой ситуации решение не потеряет.
Понимаете? То есть если вы получите мой сертификат, с его помошью вы сможете лишь удостовериться в подлинности моего документа, но никак не сможете использовать его для подписи.
Шифрование с открытым ключем идет от обратного: вы, имея мой сертификат, шифруете документ моим открытым ключем и никто кроме меня, обладателя закрытого ключа, никто не сможет его прочитать.
Зачем вам в схеме с публичным документом в виде QSL-карточки нужно шифрование в замен ЭЦП мне совсем не понятно... Шифровать от кого? Чтоб не подделали - есть ЭЦП.

[UT4UKW]

Вижу, абсолютно не пытаетесь вникнуть в концепцию криптографии с ассиметричными ключами.

Для асимметричность шифрования нужно как минимум 2 ключа... основа PGP, но я думаю что это из другой оперы...

Как предлагаю я...
Любой радиолюбитель желающий получить AG, должен подтвердить подлинность позывного и пройти очень простую регистрацию в системе.... после чего он получает ключ.... который допустим ложит на жесткий диск... далее логгер или программа отсылки dQSL к каждому изображению прикрепляет информацию
Позывной, Позывной корреспондента, Дата и время QSO, диапазон, мода... зашифрованную этим ключем... все...

Если он захочет заявится на диплом... программа собирает из изображений эту информацию и в таком виде отсылает на сервер... а владелец дипломной программы получает эту информацию в открытом виде...

Дальше подкинули идею... например люди которые у себя на сайтах размещают онлайн логи... с поиском могут там-же разместить форму с полем e-mail и кнопкой "Получить dQSL"... если вам нужно подтверждение, вы находите себя в его журнале вводите e-mail и жмете на кнопку... и через время получаете dQSL на свой почтовый ящик.....

теперь принимается критика....

кстати домен я уже зарегистрировал http://www.dqsl.org/

[R3ABM]

Для асимметричность шифрования нужно как минимум 2 ключа... основа PGP, но я думаю что это из другой оперы...

Как предлагаю я...
Любой радиолюбитель желающий получить AG, должен подтвердить подлинность позывного и пройти очень простую регистрацию в системе.... после чего он получает ключ.... который допустим ложит на жесткий диск... далее логгер или программа отсылки dQSL к каждому изображению прикрепляет информацию
Позывной, Позывной корреспондента, Дата и время QSO, диапазон, мода... зашифрованную этим ключем... все...

Да, PGP и GPG из той оперы, но используются ныне редко. OpenSSL оттуда же
Вы предлагаете хрантить ключи симмитричного шифрования всех пользователей на сервере? Далеко пойдете! Поймите, что при малейшем взломе кем угодно (даже далеком от радиолюбительства человеком) вы компормитируете все ключи! То есть ни один из ключей при первом же взломе перестанет быть персональным и с такого момента нельзя будет считать данные вашего сервера достоверными - их сможет подделать кто угодно! Система не работает. После этого могу только предположить, что и об использовании хэш-функции с сальтом при хранении паролей вы ничего не знаете... Система дырява в двойне.
А всего-то требуется на клиентском ПО сгенерировать пару ключей, да отправить публичный ключ на сервер.

Если он захочет заявится на диплом... программа собирает из изображений эту информацию и в таком виде отсылает на сервер... а владелец дипломной программы получает эту информацию в открытом виде...

И как в этом случае подтверждается достоверность того, что данные загружены именно этим лицом? Никакой! Только коллейтом в БД. Рай для подделки. На сервере вам нужно хранить так же оригинальную копию данных с подписью владельца. LOTW делает именно так. Когда данные нужны кому-то на диплом - отправляются вот именно эти подписанные файлы.
Еще раз - ЭЦП, это не зашифрованное исходное сообщение (= QSL-карточка), а лишь дополнительный файл с криптографическими данными, позволяюзщий удостовериться как в подлинности данных, так и в подлинности их отправителя.

Дальше подкинули идею... например люди которые у себя на сайтах размещают онлайн логи... с поиском могут там-же разместить форму с полем e-mail и кнопкой "Получить dQSL"... если вам нужно подтверждение, вы находите себя в его журнале вводите e-mail и жмете на кнопку... и через время получаете dQSL на свой почтовый ящик.....

Нет никакого противоречия для ЭЦП. Даже сплошные приимущества.

[UT4UKW]

Да, PGP и GPG из той оперы, но используются ныне редко. OpenSSL из той же оперы
Вы предлагаете хрантить ключи симмитричного шифрования всех пользователей на сервере? Далеко пойдете! Поймите, что при малейшем взломе кем угодно (даже далеком от радиолюбительства человеком) вы компормитируете все ключи! То есть ни один из ключей при первом же взломе перестанет быть персональным и с такого момента нельзя будет считать данные вашего сервера достоверными - их сможет подделать кто угодно! Система не работает. После этого могу только предположить, что и об использовании хэш-функции с сальтом при хранении паролей вы ничего не знаете... Система дырява в двойне.
А всего-то требуется на клиентском ПО сгенерировать пару ключей, да отправить публичный ключ на сервер.

В случае ассиметричного шифрования, как владелец дипломной программы проверит валидность QSO, ведь ему необходимо тоже знать private key верно? ну а на счет взлома я уже говорил нет мотива.. тем более не радиолюбителем... и предлагал попробовать взломать....

И как в этом случае подтверждается достоверность того, что данные загружены именно этим лицом? Никакой!

Как никакой... загружаться будут данные qso в которых есть 2 позывных... и все атрибуты QSO...
И не нужно никаких дополнительных файлов с криптографическими данными....

[UR3LPP]

Если я сработал с корреспондентом YY#ZZZ и получил от него dQSL, то зачем мне валидация. Я распечатаю эту карточку и заявлю её на диплом

А зачем вообще связь проводить Сразу распечатайте себе карточек с разными странами и заявляйте

[R3ABM]

В случае ассиметричного шифрования, как владелец дипломной программы проверит валидность QSO, ведь ему необходимо тоже знать private key верно? ну а на счет взлома я уже говорил нет мотива.. тем более не радиолюбителем... и предлагал попробовать взломать....

Я же говорю - у вас каша в голове, извините. Для проверки подлинности владельцу дипломной программы нужно знать только открытый ключ! частный ключ только у того, кто карточку отправляет вам и никому ни при каких обстоятельствах не передается!

Как никакой... загружаться будут данные qso в которых есть 2 позывных... и все атрибуты QSO...
И не нужно никаких дополнительных файлов с криптографическими данными....

Достоверность данных чем докажете?

Добавлено через 3 минуты

А зачем вообще связь проводить Сразу распечатайте себе карточек с разными странами и заявляйте

+1

[UR3LPP]

Хорошо Например, собирали вы карточки на тот же RDA. А тут взяли Вашу почту и взломали безвозвратно... Как тогда быть???

[RK0CXE]

Речь идёт о том, что eQSL.cc подтверждает связи(в смысле пересылает eQSL) с НЕсуществующими станциями.

ёПРСТ...
Речь идет о том, что eQSL не подтверждает никакие связи. Это делает сам юзер. Насколько добросовестно он это делает - зависит от каждого конкретного юзера. Поэтому и было сказано о "моральных принципах" и о том, что "...это действительно - слабое место eQSL в смысле средства валидации QSL"
Далее. Вам в инбокс "свалился" запрос от "несуществующей станции", вопрос: откуда он взялся? Вариантов два:
1. Кто-то подшутил над вами. Но в таком случае этой "связи" нет в вашем логе. Что делать с таким запросом? Решает юзер.
2. Связь с "несуществующей станцией" есть в вашем логе. Что это означает - думаю, не надо объяснять... Что делать с таким запросом - вопрос риторический... Этот юзер все уже решил для себя.
А для чего это надо? А икс-три... В условиях демократии, каждый имеет право на собственных тараканов в голове...

[UT4UKW]

Я же говорю - у вас каша в голове, извините. Для проверки подлинности владельцу дипломной программы нужно знать только открытый ключ! частный ключ только у того, кто карточку отправляет вам и никому ни при каких обстоятельствах не передается!

Владелец дипломной программы должен проверить данные QSO которые по Вашей логике будут передаваться в зашифрованном виде отдельным файлом.... как он расшифрует этот файл зная только открытый ключ?

Достоверность данных чем докажете?

Давайте промоделируем ситуацию... я дам строку с зашифрованным QSO, ключ будет знать предположим я как DX и сервер dQSL, а Вы мне в открытом виде дадите строку... а я засеку время.... идентичность доказывается тем, что ключ кроме позывного которому он выдан и сервера больше никто не знает... а следовательно и подделать никто не может...

Добавлено через 1 минуту

Хорошо Например, собирали вы карточки на тот же RDA. А тут взяли Вашу почту и взломали безвозвратно... Как тогда быть???

Ну и что... dQSL уже на Вашем компьютере давно... они скачиваются и сохраняются локально... и даже если взломают ваш компьютер... то в подписи то QSO только с Вашим позывным... это аналогично краже мешка бумажных карточек