Почему так много людей беспокоятся о безопасности ничего в ней не понимая?

Question

[beduin01]

Уже который раз натыкаюсь на людей, которые обладая лишь базовыми знаниями в системном администрировании и практически ничего не понимающими в криптографии устраивают настоящие квесты с открытыми-закрытыми ключами чтобы передать что-то.

Один вопрос. Зачем? Ну ок. Прочитал человека что открытые ключи это хорошо. И что дальше? Все равно же 99% из этих людей ровным счетом ничерта не понимает в криптографии. А без глубокого понимания вопроса эти ключи ни чем не лучше (а то и хуже наверно) связки логин-пароль.

Пароль он хотя бы в голове обычно, а тут подошел к кому файлик с закрытым ключем скопировал и все. Считай поимел всю систему.

Ну или вариант с разными уязвимости, когда отсутствие\наличие ключа мало какую роль играет.

Comments

[ololo pishpish]

Это не технический, а философский вопрос.

[DVoropaev]

Аналогичный вопрос: Почему люди беспокоятся о своем здоровье, ничего в нем не понимая?

Answer 1

[Руслан Федосеев]

Ответ прост - это модно

Comments

[АртемЪ]

Руслан Федосеев: Написал ответ, потом увидел, что такой уже есть :)

Answer 2

[Александр Синицын]

Если вы упадете с корабля в море и увидите плавник акулы, то ничего не понимая в их видах, степени опасности и оптимальности мер защиты, вы все-равно будете искать укромную клетку или что-то плавающее, потому как от этого вам будет немного спокойнее... даже если китовая акула проплывет мимо, не заметив вашей клетки без дна, а белая слопает вместе с вашим надувным матрасом ))

Answer 3

[АртемЪ]

Почему так много людей беспокоятся о безопасности ничего в ней не понимая?

Ну это вроде как модно.

А без глубокого понимания вопроса эти ключи ни чем не лучше (а то и хуже наверно) связки логин-пароль.

Вот это в корне не правильно. Они не могут быть лучше или хуже пароля.
Ну не может быть колбаса быть лучше или хуже кислорода. Это просто абсолютно разные вещи, для совершенно разных задач.

Пара логин- пароль обеспечивает аутентификацию клиента, и нужны только для этого.
Открытый и закрытый ключи нужны для организации безопасного канала передачи данных.

Ну нельзя с помощью логина и пароля обеспечить безопасную передачу данных, Так же с помощью открытого и закрытого ключа невозможно обеспечить аутентификацию.

Пароль он хотя бы в голове обычно, а тут подошел к кому файлик с закрытым ключем скопировал и все. Считай поимел всю систему.

Неправда. Какой файлик с закрытым ключом? Он генерируется перед сеансом, и актуален пока активен сеанс. Новый сеанс - новый закрытый ключ.

Comments

[АртемЪ]

Артём Петренков, Ну не совсем так.
Аутентификация идет по корректному ответу. Вы запрашиваете аутентификацию, сервер отправляет вопрос, получает ответ.
Ключ служит только для организации защищенного канала фактически.

Т.е сервер отправляет вам вопрос подписанный публичным ключом, и чтобы его прочитать вы должны иметь приватный ключ, если он у вас есть, вы отвечаете и проходит аутентификация.

[АртемЪ]

Артём Петренков, Вообще несимметричные ключи используются именно для передачи конфиденциальных сведений по открытым каналам.
Т.е они созданы не для аутентификации, и не для чего-то еще, а именно для того, чтобы можно было передать конфиденциальные данные по открытому каналу не прибегая к предварительному обмену ключами по защищенному каналу.
Создал пару ключей - приватный оставил себе, публичный опубликовал.
И кто угодно берет публичный ключ, шифрует им данные, и прочитать эти зашифрованные данные может только владелец приватного ключа.

А .ssh/id_rsa - это частная реализация доступа к серверу использующая несимметричное шифрование.
И тот факт что кто-то может получить доступ к файлу - ну это проблема просто конкретной реализации, а не алгоритмов криптографии.

Есть простой парольный доступ - хорошая вещь, но пароль передается по открытым каналам, могут перехватить. Это не безопасно.
Чтобы было безопасно перед передачей пароля устанавливают защищенное соединение - с помощью нессиметричного шифрования, а потом по нему передают пароль. Это намного безопасней. Хотя тоже есть проблемы - можно установить защищенное соединение не с тем, с кем надо, и слить пароль.
В ssh реализован немного другой механизм, тоже работающий на несимметричном шифровании, там пароль вообще не используется. У этого метода тоже есть свои преимущества, и свои недостатки.

Просто нужно выбирать метод который больше устраивает вас.
В некоторых случаях безопаснее использовать пароль - если вероятность перехвата пароля ниже, чем вероятность получения злоумышленниками доступа к вашему ПК и файлам на нем. Иногда наоборот.

Answer 4

[NSA-bot]

Потому что это необходимо. На автомобилях же ездят ничего в них не понимая, потому что нужно перемещаться. А тут нужно защищать свои данные, это же очевидно.