On 2016-03-29 17:46, Piotr Gałka wrote:
> Przyznam, że liczę na odpowiedź od Sebastiana.

Trole nie udzielają odpowiedzi, tylko generują dyskusję.

> Kiedy i jak ten proces się kończy?

Czasem tutaj:

http://www.computerworld.com/article/3007981/securit
y/what-you-need-to-know-about-dells-root-certificate
-security-debacle.html

http://www.computerworld.com/article/3008521/securit
y/a-second-dangerous-dell-root-certificate-discovere
d.html

Ibecyli nie brakuje bez względu na wielkość korpo w których pracują.

> Opis na Wiki "Zasada działania SSL" jest tak napisany, jakby problem
> weryfikacji dostarczonego klucza publicznego nie istniał.
> Czego nie wiem?

Jesli dostarczą Ci zły klucz publiczny, to dane nim zaszyfrowane nie
zostaną poprawnie odtworzone przez klucz prywatny. Czyli nie ma nic
groźniego w podmianie klucza - najwyżej nie zadziała.

> Wiadomo, że generator jest wystarczająco dobry?

Ptaszki ćwierkają że dobre exploity NSA będą bazować (bazują?) na
popsutych generatorach. Warto też wiedzieć że problem jest na tyle
istotny, że można znaleźć kawalki hardware generujące liczby losowe w
sposób bazujący na szumie termicznym, radiowym, inpucie usera itd,
gdzieś widziałem dongla w USB poprawiającego /dev/random.

Ogólnie mieszasz dwa problemy: klucze prywatny/publiczny pozwalają na
bezpieczną komunikację w sytuacji gdy ktoś podsłuchuje. Certyfikaty
natomiast pozwalają usunąc ataki Man in the Middle które bez nich były
by trywialne. Problem w tym że jest to na tyle magiczne że doprowadziło
do debilizmów jak na przykład mój bank twierdzi że wystarczy mieć kłódkę
w przeglądarce i będziemy bezpieczni. Nie tak dawno widziałem lewą
stronę która miała favicon.ico w wiesz-jakim-kształcie...

PS. W tej dyskusji padło chyba już wszystko, więc nie bedę się produkować.