Van egy saját készítésű titkosításom, egy programhoz, amit E-mailek és jelszavak titkosítására használnék. A kérdés az, hogy le kell teszteltetni vagy aláírni valamilyen szervnek, mint a https tanúsítványoknál a használatához?

"Van egy saját készítésű titkosításom"

Minden harmadik betűt felcserélsz az előző betűvel? 😆

Megosztod egy kriptográfiával foglalkozó csoportban és ott majd meg mondják, hogy miért rossz.

De lehet itt is elég.

Egyrészt erre kész protokollok léteznek, meg a másik félnek is ismernie kell a módszert. Ha te magyarul beszélsz, akkor a másik félnek is magyarul kell beszélnie. Tehát, ha te készítesz egy algoritmust (szimmetrikus vagy aszimmetrikus titkosítást), azt rajtad kívül más nem fogja tudni használni, mert nem rendelkezik vele. Azaz csak házon belül tudod használni.

Szerintem te aszimmetrikus kulcsra gondolsz, amit legeneráltál egy GPG kulcsot vagy "ssh-keygen"-el egy ssh kulcsot, mert lényegében aláírásra is rákérdeztél. A két dolog azért merőben más.

Először is. Az ilyen kulcsok megbízás (mármint, hogy te megbízol-e benne) alapon mennek. Te se vagy köteles bármilyen hitelesítőt elismerni. De jellemzően ezek a "CA key"-k, amik önmagukat írták alá, és közös megegyezéssel a világon mindenki elismeri. Ilyen pl. a magyar NetLock is, de a Google is többek között. (Sok van) Tehát, ha ők aláírnak egy kulcsot, akkor az is garantált, hogy valóban az övé, ha egy cégről vagy emberről beszélünk. De én is létre tudnék hozni egy kulcs párt (akár egy CA kulcsot is) egy neves cég nevével, de nem fogják nekem aláírni. Attól használni használhatnám, de dokumentum aláírás ellenőrzés után elbukna. De, ha saját rendszerembe teszem, hogy én megbízok benne, és a publikus kulcsot elküldöm másnak, akkor a rendszerem elfogja fogadni. Persze importálni kell mindenhova, OS-be, böngészőbe, stb... Ugyanúgy dönthetsz, hogy a NetLock-ra azt mondod, hogy kamu és kitörlöd.

Tehát az aláírásnak a lényege, hogy biztos legyen a túloldali fél, hogy tényleg az amit lát azaz.

Pl.: facebook.com tényleg azaz oldal, nem-e egy DNS eltérítésből származó "Let's Encrypt"-es oldal? Holott mind2nél zöld lakat lesz. Vagy, egy PDF digitális aláítás esetén tényleg te írtad-e alá, vagy egy random generált kulcsal? Nem mindegy.

Persze nem minden kulcsot kell aláírni. Ami kimondottan emberhez vagy rendszerhez kötött, mint egy SSH kulcs, vagy egy GPG kulcs, nem szükséges, mert te alapvetően megbízol benne, mert te hoztad létre és több mint valószínű, hogy a hozzád közel állókkal osztod meg csak vagy aki veled akar kapcsolatba lépni.

Pl.: GPG publikus kulcsát kiteheted facebook oldaladra is, hogy azzal titkosítsanak fájlokat, amiket értelem szerűen csak te tudsz kibontani.

SSH kulcs-al meg a téged azonosít a rendszer, és jelszó nélkül beenged, mert a private kulcs garantálja, hogy te vagy az.

Ezért is tilos kiadni a private kulcsot, mert A) más is vissza tudja fejteni a neked szánt üzenetet B) jogosulatlan belépést tesz lehetővé.

Pl.: GitLab-se kér jelszót, ha feltöltötted a SSH kulcsod: [link]

Kliens oldali használathoz (értsd, adat-állományok saját gépen történő kódolt tárolásához) nem kell semmiféle tanusítvány, se más egyéb.

Ha valaki az emailjeit, jelszavait egy jelszóvédett .zip fájlban tárolja, az az ő döntése, az ő dolga. Az is egyfajta titkosítás.

Más dolog a titkosított kommunikáció, amikor a te eljárásoddal enkódolt adat egy kommunikációs közegen keresztül továbbítódik és a célállomásnak kell azt dekódolnia az értelmezéshez. Hát, ehhez már kell, hogy a célgép is ismerje az enkódolás metódusát.

Ha szeretnéd az eljárásodat általánosan elfogadottá tenni, arra viszont nincs esélyed.

"E-mailek"

Az a legbiztosabb levél amit rajtad kívül senki sem tud elolvasni. Így ha adatszivárgás lép fel biztosan tudni ki a bűnös. :P

(ennál már csak az a biztosabb ha te se tudod elolvasni mit írtál)

Minden másra ott a www.gpg4win.org :)