Home » Media / Tech » Citesti:

Certificate, TLS /SSL, incredere

Mihai Badici decembrie 13, 2014 Media / Tech
26 comentarii 2,139 Vizualizari

Deși afectată de implementări nefericite și de trecerea timpului, criptarea TLS /SSL, pe care o folosim zi de zi pentru accesarea site-urilor web pare să reziste bine cel puțin din punct de vedere al principiilor utilizate. Probleme cu implementările tot apar; despre unii algoritmi nu știm prea bine cât de siguri sunt. Dar în general pare să fie destul pentru lucrurile pentru care o folosim zi de zi.
Există suspiciuni legate de capacitatea unor guverne de a decripta astfel de comunicații; dealtfel am mai vorbit și eu despre asta în trecut. Însă cum guvernul poate oricum accesa la nevoie atât situația mea bancară cât si forumurile pe care mă conectez de obicei, chestiunea aceasta nu e atât de critică încât să ne producă prea mari rețineri. Să zicem că e un risc asumat.
Algoritmii de criptare sunt doar o parte a problemei. Așa cum sunt, se pare că sunt suficient de puternici pentru uz comun. Cealaltă parte a problemei este un pic mai delicată și la ea mă voi opri în cele ce urmează.
Este vorba de autentificarea site-ului pe care ne conectăm. Degeaba folosim un algoritm impenetrabil dacă cel cu care comunicăm nu este cel care credem că este. Pentru aceasta s-a dezvoltat sistemul de certificate, așa zisa PKI (public key infrastructure).
Certificatele digitale sunt emise de instituții care acționează oarecum asemanător cu birourile notariale. Ele ne furnizează un certificat care va fi instalat pe serverul nostru ( să zicem pe magazinul nostru virtual) , certificat care ne garantează că a fost emis pentru site-ul nostru ( de obicei conține numele acestuia) de către respectiva instituție. Această verificare se face în principiu online de către browser.
De unde vine însă autoritatea “morală” a acestor instituții? Aici intervine problema delicată: dacă în cazul notariatelor, autoritatea este cumva reglementată și verificată de stat ( nu zic că nu ar putea exista notari infractori, dar având un set de reglementări clare la dispoziție la nevoie aceștia pot fi identificați și pedepsiți) problema autorităților de certificare este mai complexă. Ca peste tot în Internet, reglementări nu prea există. Autoritățile de certificare sunt globale, nu locale, deci chiar daca se supun juridic legislației din țara de reședință, aceste reglementări vizează în general funcționarea lor ca întreprindere, nu procedurile de validare și emitere a certificatelor.
În teorie, ar trebui să ne bazăm pe reputația acestor companii. Cum însă în general nu prea avem de-a face cu ele, în practică decidentul este altul: browserul pe care îl folosim. Browserul conține o listă de certificate root de încredere, menținută de dezvoltatorii acestuia. În cazul firefox, de exemplu, putem găsi aici procedura prin care un doritor poate să aplice pentru a fi inclus în această listă. Cum fiecare dezvoltator are procedura și criteriile lui, și cum există maxim cinci browsere majore, vom avea cinci liste de autorități de certificare mai mult sau mai puțin asemănătoare.
Bineînțeles că un eventual cumpărător de certificate se va orienta mai degrabă spre cei care se află pe toate aceste liste; în acest fel a apărut un fel de cvasimonopol ( lista nu e totuși așa de mică, dar e destul de dificil să reușești să înființezi o autoritate nouă).
În definitiv ce vând aceste companii? Orice administrator de sistem își poate construi relativ simplu propria autoritate de certificare și de multe ori chiar o face pentru a-și securiza propria rețea; criptarea este la fel de solidă . Însă e vorba de încredere. Dacă în propria rețea administratorul este autoritatea supremă și dictatorul omnipotent, coborât pe pământ, în mijlocul mulțimii, acesta nu poate oferi același produs: încrederea.
Este însă această încredere justificată? Dacă privim lucrurile din punct de vedere istoric, în general da: cazurile de autorități de certificare compromise nu sunt prea multe, incidentele destul de puține.
În ultima vreme observ însă o supralicitare a acestei încrederi. Devine din ce în ce mai complicat să îți menții propria autoritate de certificare: pe unele dispozitive mobile este de-a dreptul imposibil sa adaugi manual certificatul acesteia la lista autorităților; unele browsere sau aplicații tind să îl ignore sau cel puțin folosesc “codul culorilor” pentru a te avertiza că certificatul tău e emis de o autoritate “de mai puțină încredere”. Tindem să avem de-a face cu un fel de “cartel” favorizat de atitudinea înțelegătoare a dezvoltatorilor browserelor.
O limitare a SSL este că din punct de vedere tehnic pe o adresa de IP se poate rula un singur certificat. În general firmele de hosting rulează zeci, poate chiar sute de site-uri pe o singură adesă. Putem deci autentifica un singur site pentru acel IP, asta daca nu ar fi fost inventate certificatele “wildcard”. Aceste certificate se pot cumpăra și ne asigură că cine rulează la acea adresă este cine pretinde, oricum s-ar numi el. Foarte de încredere, nu? Browserul nu va avea nimic de comentat, chiar dacă același certificat autentifică și Vasile SRL și ivanivanovici.ru. În schimb va fi foarte drastic și va speria clienții dacă certificatul serverului de mail este emis de vreun oarecare bădici.
Sistemul există și funcționează, e greu să îl contești; în general principiile sunt solide, așa cum practica o demonstrează. Numai că uneori, în detalii, simți cum diavolul își încurcă răsucita lui codiță….

Ai informatii despre tema de mai sus? Poti contribui la o mai buna intelegere a subiectului? Scrie articolul tau si trimite-l la editor[at]contributors.ro



Currently there are "26 comments" on this Article:

  1. Adrian spune:

    Interesant articolul, dar nu stiu cati din cititori sunt cu adevarat interesati si cunosc subiectul suficient incat sa il inteleaga. In al doilea rand, articolul sumarizeaza alte vreo 3 pe care le-am vazut recent in spatiul public sau partial public (unul e scris de mine pe un forum de specialitate cu acces partial restrictionat, deci sigur nu l-ati citit). Cred ca e doar o concidenta data de faptul ca printre cei interesati de criptografie e un subiect fierbinte in ultima vreme.

    • Mihai Badici Mihai Badici spune:

      Puteati sa dati un link :)
      Articolul sumarizeaza mai degraba o serie de nemultumiri personale legate de semnele de “boicot” al PKI-urilor self made care zic eu ca au la baza o ratiune evident financiara, cu complicitatea dezvoltatorilor de browsere ( dintre care unii au nevoie de donatii). Sub pretextul intaririi securitatii utilizatorii sunt isterizati cu texte alarmiste, desi mi s-ar parea mai firesc sa fiu avertizat atunci cand accesez un certificat wildcard, chiar daca e emis de verisign. Utilizatorii se sperie si ma suna; oricat de bine le-as explica, tot raman cu o farama de indoiala iar la primul incident fara nici o legatura cu asta devin si mai suspiciosi.

  2. Vali spune:

    “O limitare a SSL este că din punct de vedere tehnic pe o adresa de IP se poate rula un singur certificat.”

    Server Name Indication rezolva asta.

    • Mihai Badici Mihai Badici spune:

      Da, merci de sugestie, stiam despre ceasta extensie dar stiam ca nu e implementata de majoritatea produselor de pe piata. Se pare insa ca intre timp a ajuns in principalele browsere si servere, deci aveti dreptate, eram usor ramas in urma. Dar certificate wildcard tot se vand, ca despre asta era vorba :)

      • Vali spune:

        Certificatele wildcard au avut o idee destul de buna in spate: daca o organizatie are mai multe servere in acelasi domeniu atunci un wildcard le-ar putea salva ceva banuti. Evident browserul va protesta daca se incearca accesarea unui server care nu se “incadreaza”. Ar fi o problema foarte serioasa altfel.

        Insa da, problema pleaca de la cartelul CA-urilor si mai precis de la preturile practicate. Teoretic ar trebui fiecare cu certificatul lui dar la cati bani se cer…

        “cazurile de autorități de certificare compromise nu sunt prea multe, incidentele destul de puține.” Corect, insa si cand s-a intamplat…oi, oi, oi…

        • Mihai Badici Mihai Badici spune:

          S-a intamplat, unii au muncit mai mult in zilele urmatoare, altii au platit mai mult dar am luat-o de la capat, tehnologia a supravietuit. Cand a luat foc zeppelinul deasupra New-York-ului, toata lumea a stiut ca e ultima cursa…

  3. Doe, John spune:

    Din vara lui 2015 va exista posibilitatea de a obtine gratuit certificate SSL valide (si recunoscute de browsere automat) prin intermediul platformei Let’s Encrypt. Asta rezolva problema costurilor.

    https://www.eff.org/deeplinks/2014/11/certificate-authority-encrypt-entire-web

    Certificatele ‘wildcard’ pot functiona corect daca sunt implementate corespunzator (big if). Numeroase infrastructuri web de dimensiuni mari le utilizeaza cu succes, fara a afisa erori in browser. Tinand cont de raspandirea si utilitatea certificatelor ‘wildcard’ nu ar fi normal ca browserul sa afiseze un mesaj de alerta atunci cand detecteaza astfel de certificat. Daca personalul IT / IT Security nu poate nici sa instaleze corect un certificat pe un load balancer …

    • Mihai Badici Mihai Badici spune:

      Problema mea e tocmai ca nu afiseaza erori in browser. Certificatul are scopul de a identifica site-ul; daca pun un wildcard in certificat si browserul nu reactioneaza mie mi se pare ca avem de-a face cu o fractura logica: site-ul e ok, e oricine :)
      In schimb daca eu imi intretin propriul CA, in loc ca browserul sa anunte ” acest certificat e emis de o autoritate care nu e in lista noastra. Daca aveti incredere in badici.ro tastati y” imi afiseaza ceva de genul ” fugiti, astia va iau banii, va parjolesc holdele si va iau caiii la CAP” :)

      • Vali spune:

        De fapt e o diferenta, in prima situatie browserul spune: te-ai conectat la un server apartinand unui domeniu cu administrator cunoscut adica are nume si adresa cunoscute.

        In cel de-al doilea caz, browserul spune: te-ai conectat la un server al carui administrator e necunoscut, pretinde ca e Badici dar ar putea fi absolut oricine. A dat si o adresa din Belize. Transfer funds?

        • Mihai Badici Mihai Badici spune:

          :)
          Macar de-ar fi asa. De fapt browserul afiseaza niste avertismente, desi e perfect posibil sa verifice adresa la care au dat get, sa o compare cu cea pretinsa in certificat si sa lase clientul sa aleaga. De obicei clientii mei ma cunosc :) Nu am pretentia sa emit eu certificatele pentru site-uri de e-commerce sau alte activitati care implica acces public , dar tendinta e sa induca ideea ca e mai putin sigur sa comunici cu serverul firmei la care lucrezi daca folosesti propriul PKI ( nu vorbesc de certificate self signed, ci de un PKI corect configurat.).
          In cazul celalalt, te-ai conectat la un server al carui administrator e cunoscut ( de Comodo de exemplu), care gazduieste mai multe site-uri pe care presupunem ca administratorul serverului le controleaza, ca de aia a dat bani la noi , asa ca puteti avea deplina incredere. Transfer funds!

          • Mihai Badici Mihai Badici spune:

            mesajul din google chrome este asa:
            “Your connection is not private” (ceea ce de altfel e o minciuna) :)
            Attackers might be trying to steal your personal information, for example passwords, messages or credit cards”

            Ce sa zic, don’t be evil :)

          • Vali spune:

            Din cate stiu, verificarea ca adresa de domeniu la care vrei sa te conectezi corespunde cu cea din certificatul primit e unul din primele lucruri facute de browsere. Atunci cand nu se intampla e de rau.

            Dar daca exista deja PKI si numarul de clienti e restrans, de ce nu s-ar putea distribui manual certificatul CA-ului fiecaruia dintre ei?

            In cazul administratorului de server cu multe site-uri pe cap, fie le controleaza (e si web admin pentru ele) si atunci e ok, fie nu, caz in care fiecare site ar trebui sa aiba certificatul sau si asta nu ar trebui sa fie sarcina lui ci a web adminilor respectivi.

            • Mihai Badici Mihai Badici spune:

              “in vechea paradigma” puteam distribui certificatul printr-o politica de AD. Acum lucrurile sunt mai complicate, oamenii circula, isi cumpara laptopuri noi, tablete, telefoane etc. In final cam asta fac, distribui manual certificatul CA, solutii tehnice exista, dar ceea ce vreau sa zic e ca mi se pare ca jocul tinde sa devina din ce in ce mai “unfair”.

  4. Andrei spune:

    Autoritatea “morala” a institutiilor de certificare (cel putin din Romania) este data de spaga pe care acestea au dat-o pentru a putea deveni “autoritati acreditate”. Legea semnaturii electronice a fost facuta dupa chipul si asemanarea acestor firme (UTI, digisign etc). Efectul il simtim cu totii, la portofel. In Romania, semnatura electronica costa 30 euro+TVA in fiecare an, pentru a avea “privilegiul” de a putea depune de 12 ori declaratiile firmei la fisc. Si perioada de valabilitate scurta, de numai un an, mi se pare ridicola, ce sa mai vorbim de birocratia legata de obtinerea sau prelungirea valabilitatii semnaturii electronice. In Slovacia de exemplu, semnatura electronica costa 8 euro pe an, iar in Germania se poate obtine gratuit, de la fisc, cu perioada de valabilitate de 3 ani.

    • Mihai spune:

      Au început să apară mulți, la nivel global, care vând certificate ieftine. Dar asta nu contrazice ceea ce spui tu.

      Perioada de valabilitate de un an, în experiența mea, e foarte bună. Pentru că, de foarte multe ori, cei care administrează certificatele o fac după ureche și folosindu-și o parte a corpului ce asigură o mare stabiltate atunci când stau pe scaun. Ca să nu mai vorbim puțini au auzit de liste de revocare și și mai puțini le folosesc (plus că implementarea lor uneori mai lasă de dorit).
      Așa că bine că expiră destul de repede.

      • RazvanM spune:

        In interactiunea cu statul Roman nu exista alt motiv decat jecmaneala victimei – contribuabilului. Notiunea de securitate este secundara.
        Nu inteleg de ce un certificat cu valabilitate de un an de zile este mai bun decat unul de 4 ani – lasand la o parte probabilitatea mai mare de a fi spart care este oricum foarte aproape de 0.

  5. Un arficol interesant. Iti multumesc ca ti-ai luat timp sa il scrii intr-un limbaj netehnic. Tind insa sa nu fiu de acord cu tine ca sistemul este bazat pe principii solide. Banuiesc ca te-ai referit la principiile criptografice si nu la principiile care guverneaza “certificates of authority”. In 2011 Moxie Marlinspike, care a facut cercetari in domeniul de CA si certicate, analizeaza modul in care el a aparut in primul browser Netscape (Vezi in Youtube BlackHat USA 2011: SSL And The Future Of Authenticity min. 16)
    La fel si articolul http://www.thoughtcrime.org/blog/ssl-and-the-future-of-authenticity/).
    Tind sa fiu de acord cu el ca e greu sa ai incredere ca “Hongkong Post CA Root Certificatete”, care se afla preinstalat in browserele Internet Explore,r poate fi crezut in aceeasi masura cu Verisign sau cu Comodo. Mai ales ca Comodo sau Diginotar au fost compromise in perioada 2010-2011, aratand ca modelul de increderea intr-un CA este eronat.
    Exista metode alternative cum ar fi “Convergence (http://convergence.io/details.html)” sau CACert care propun alte abordari de a stabili identitatea site-uluipe care incerci sa-l accesezi, dar aceste modele au nevoie de timp pentru a putea fi acceptate si incluse in browserele existente. Au nevoie sa fie aceptate moral si auditate tehnic pentru a putea sa inlocuiasca modul in care noi, ca utilizatorii de internet, acordam increderea noastra.

    • Mihai Badici Mihai Badici spune:

      Ma refer la principiile criptografice, desigur. Schema ssl e valabila, chiar daca unii algoritmi sunt discutabili ( iar altii au devenit slabi pe masura ce puterea de calcul a crescut) Problema autoritatilor de certificare e delicata ; daca in propria mea retea prefer sa imi emit singur certificatele (dictonul meu favorit e “daca nu ai incredere in admin, da-l afara” :) ) , in relatiile cu lumea exterioara am incredere intr-un amic ( firefox) care are un amic ( Comodo) caruia nu-i poate refuza nimic, asa ca imi coloreaza bara in verde. Iar uneori amicul amicului e o loaza, precum in schitele lui nenea Iancu :)

  6. Vlad spune:

    Solutia GnuTLS cu retelele web of trust formate din chei schimbate in prealabil cu oameni in care ai incredere.

    Din pacate modelul de licentiere Gnu este si el o inchisoare a “libertatii”.

  7. Ion spune:

    UE a emis Regulamentul 910/2014 privind identificarea electronica unde este tratata si emiterea certificatelor pentru servere web.

    Se va aplica din 2016 iar atunci se va abroga Directiva privind semnatura electronica, care e la baza legii semnaturii electronica din Romania si din celelalte state membre.

    Regulamentul 910/2014 prevede ca certificatele sa fie emise de “prestatorul de servicii de încredere calificat”. In felul asta se protejeaza si detinatorii legali ai domeniilor – nu sunt emise aiurea certificatele fara ca ei sa solicite – si utilizatorii care stiu ca intra pe un site legitim, in special cand e vorba de banci, procesatori de plati etc.

  8. sfinx spune:

    In primul rand ca asertiunea asta:”Browserul nu va avea nimic de comentat, chiar dacă același certificat autentifică și Vasile SRL și ivanivanovici.ru. În schimb va fi foarte drastic și va speria clienții dacă certificatul serverului de mail este emis de vreun oarecare bădici.” este complet falsa si dovedeste ca nu prea stiti ce e ala un certificat wildcard. daca e wildcard verifica un sufix de domeniu; asta ar trebui sa stiti ce inseamna.

    Trecand peste asta, spuneti dvs urmatoarele:
    “In schimb daca eu imi intretin propriul CA, in loc ca browserul sa anunte ” acest certificat e emis de o autoritate care nu e in lista noastra. Daca aveti incredere in badici.ro tastati y” imi afiseaza ceva de genul ” fugiti, astia va iau banii, va parjolesc holdele si va iau caiii la CAP” ”
    ORICINE poate pretinde ca este badici. Unde verifici ca e asa?
    Pentru asta exista acele liste de incredere in browser.

    Oricum niste citit (de RFC-uri) ar ajuta inainte sa scrieti.

    • Mihai Badici Mihai Badici spune:

      Exista wildcard-uri care nu se refera doar la sufixul domeniului (first level suffix)
      Ce ziceti de astea?
      https://www.godaddy.com/ssl/ssl-certificates-config.aspx?origin=pod&plan=ssl_std_3_5
      Verificarea ca certificatul e emis de Badici se face la fel ca ca si in cazul celorlalte, prin instalarea certificatului autoritatii respective. Aditional, pot mentine si eu pe site-ul meu CRL-ul si certificatul CA-ului. Evident, vorbesc de o autoritate restransa la cei cu care lucrez, nu ma refer la site-uri destinate publicului larg . Tendinta e de a ma forta sa cumpar certificate pentru task-uri unde nu se justifica.
      Exista si CA-uri publice gratuite precum http://www.selso.com/ din cate am vazut destul de popular in Franta. Daca poti avea sau nu incredere in ele… e dificil de zis pentru ca depinde de utilizare.

      • sfinx spune:

        Domnule, nu o sa va emita nimeni un certificat care sa fie valabil pentru *.ro
        Daca va emite, vreau sa-l vad si eu.
        Si verificare se face intr-adevar prin instalarea lantului, insa exista asa numitele “root certificates”, alea care sunt in browsere. Alea nu mai trebuie instalate nicaieri ca vin browserele cu ele. Orice certificate emise sub ierarhiile alea, “sunt bune”, daca indeplinesc niste conditii (nu sunt revocate, nu sunt expirate, au extensiile care trebuie, etc.)
        Ori pentru badici, trebuie instalat acel certificat de “root” pe toate masinile pe care vreti sa se valideze un certificat de server.
        Dumneavoastra ati punctat niste probleme tehnice (unele false) mergand in sfera comerciala.
        Intr-adevar, exista servicii care emit aceste certificate in mod gratuit, avand in vedere tendinta de a se migra inspre criptarea comunicatiilor.
        Ce trebuie sa stiti dvs este ca o autoritate “hapsana” nu confirma decat faptul ca dumneavoastra sunteti badici (prin hartiile pe care le prezentati) ca detineti domeniul “badici.ro” (tot prin hartii) si certificatul ala contine o cheie publica (cheia privata o generati dvs, deci problema cu increderea in cine a emis certificatul e falsa ).
        Uitati-va un pic peste WebTrust for CA, si auditurile pe care trebuie sa le treaca un CA ca sa ajunga un certificat de root in browser sa vedeti acolo ce costuri sunt. Dupa aia vorbim de cine isi permite sa ofere aceste certificate gratis.

        Cat priveste autoritatea dvs personala, evident ca puteti sa faceti asta (si eu tot asa fac) insa nu puteti avea pretentia ca eu care intru pe site-ul dvs, si care nu am ierarhia emisa de CA-ul dvs sa am incredere ca am ajuns unde trebuie. Poate sunt pe site-ul unui hacker din afganistan care a decis el sa emita certificate pentru http://www.badici.ro. Se poate, nu?

        • Mihai Badici Mihai Badici spune:

          Daca cititi raspunsul anterior o sa vedeti ca nu spun nici eu altceva. Sigur ca se poate ca un hacker afgan sa cumpere domeniul badici.ro ( ma rog, asta e luat :) ) si poate chiar cumpara de la verisign un certificat, pentru ca pentru certificatele obisnuite nu se cere cazierul. Nu stiu la extended verification ce se face exact dar se fac niste verificari, am cumparat recent pentru cineva unul si a durat cam o saptamana ( nu m-au verificat pe mine ci pe client, evident)
          Problema mea este ca dvs sa fiti corect informat: de ex: “ati intrat pe un site securizat cu certificatul lui Mihai Badici. CA-ul respectiv nu figureaza in root certificates deci daca nu aveti incredere in acesta parasiti navigarea”.
          Dvs care nu imi sunteti client probabil ca va veti opri aici; clientii mei ar trebui sa aiba incredere sau cel mult sa ma sune. Dar cand ii afisezi mesaje de genul celui dat de Chrome ( l-am postat intr-un alt raspuns dar puteti verifica personal) cam care credeti ca va fi reactia clientului? Pe mine ma suna periodic cate unul speriat ca cineva vea sa ii fure banii, asa zice Chrome.

          Cat despre certificatele wildcard, cel putin acum vreo doi ani stiu sigur ca se vindeau; la o cautare simpla nu le-am mai gasit, dar am gasit “certificatele care securizeza peste 100 de domenii” din link-ul atasat. Cata incredere aveti dvs intr-un site de pe un server care securizeaza peste 100 de site-uri cu un singur certificat? Si totusi, browserul nu va comenta in acest caz.

        • Mihai Badici Mihai Badici spune:

          La postarea articolului, editorul a “pierdut” link-ul la politica de inregistrare ca trusted root ca la mozilla pe care o dadusem ca exemplu. Am observat acum si am remediat, propozitia respectiva nu avea nici un sens fara link. Avand link-ul veti intelege ca stiu despre ce vorbesc; o data depasit acest aspect veti intelege ca nici nu vreau sa iau locul root CA-urilor, nici sa sustin ca sunt mai sigur decat ei ci doar punctez un aspect care mi se pare “unfair”. L-as asemana cu lupta micilor producatori cu cei globali: cei mari se folosesc de forta “supermarketurilor” pentru a-i sufoca pe cei mici.

  9. Pâi să ne facem un CA zic:

    https://bugzilla.mozilla.org/show_bug.cgi?id=647959

    A se citi și comentariile, sunt savuroase.

    Mihai, sunt convins că îți amintești ce anume a generat acest bugid

    PS:
    Cel puțin un browser verifică anumite certificate după o listă internă “hardcoded”, indiferent de ce se găsește în lista de “Trusted Root CA”



Comenteaza:







Do NOT fill this !

Autor

Mihai Badici


Mihai Badici

Absolvent al Facultății de Electronică si Telecomunicații București ( 1991) si doctorand al aceleiași facultăți. Administrator de sistem cu peste zece ani de experienț... Citeste mai departe


MIHAI MACI – Cel de-al doilea volum din Colectia Contributors.ro

"Atunci când abdică de la menirea ei, școala nu e o simplă instituție inerțială, ci una deformatoare. Și nu deformează doar spatele copiilor, ci, în primul rând, sufletele lor. Elevul care învață că poate obține note mari cu referate de pe internet e adultul de mâine care va plagia fără remușcări, cel care-și copiază temele în pauză va alege întotdeauna scurtătura, iar cel care promovează cu intervenții va ști că la baza reușitei stă nu cunoașterea, ci cunoștințele. Luate indi­vidual, lucrurile acestea pot părea mărunte, însă cumulate, ele dau măsura deformării lumii în care trăim și aruncă o umbră grea asupra viitorului pe care ni-l dorim altfel." - Mihai Maci

E randul tau

cu ani in urma un prieten cambodgian mi-a povestit cum a fost omorat pe taica-sau pe vremea khmerilo...

de: r2

la "Ce-ar fi să vorbim cu-adevărat corect politic despre Fidel Castro?"

Cauta articole

decembrie 2016
Lu Ma Mi Jo Vi Du
« Noi    
 1234
567891011
12131415161718
19202122232425
262728293031  

Valentin Naumescu – Marile schimbari. Crize si perspective in politica internationala. Editie bibliofila

contributors.ro

Contributors.ro este intr-o permanenta cautare de autori care pot da valoare adaugata dezbaterii publice. Semnaturile noi sunt binevenite cata vreme respecta regulile de baza ale site-ului. Incurajam dezbaterea relaxata, bazata pe forta argumentelor.
Contact: editor[at]contributors.ro

(An essay by Vladimir Tismaneanu and Marius Stan)