Vlákno názorů k článku Odpočúvanie šifrovaných spojení od Teddy - Dakujem autorovi za tento clanok, uzaj posielam linku...
-
Teddy (neregistrovaný)Dakujem autorovi za tento clanok, uzaj posielam linku do VUB-cky. Ich internet banking je totiz krasny priklad na to, co autor nazval "takmer self-signed certifikát" (vydane akousi "1 CA VUB", cize VUB vydala sama sebe certifikat ze je VUB).
Hovoril som s niekolkymi "expertmi na bezpecnost" z VUB, ale ani po niekolkych hodinach rozhovoru som ich nebol schopny presvedcit o tom, ze ten ich internet-banking predstavuje "vdaka" tomu ich self-made certifikatu bezpecnostne riziko. Dufam, ze ked si ti ich "experti" precitaju tento clanok, tak konecne pochopia, o co ide... -
IMS (neregistrovaný)Polozim kacirsku otazku?
Kto podisal certifikat Root CA napr. VeriSign?
Root CA si vzdy podpisuje certifikat sama sebe.
VUB ma postavenu vlastnu RootCA, ktora podpisala certifikat pre podriadenu CA, ktora podpisala certifikat pre SSL.
Takze nie je to jeden self-sign certifikat.
Ked uz som pritom VeriSign, tak v clanku je pekny priklad jednej default "doveryhodnej" CA, ktorej certifikacne a overovacie procesy akosi nezafungovali, ked chlapik ziskal pár certifikátov od VeriSignu ako fiktivny clovak z MS. -
haremheb (neregistrovaný)Akurat to ma hacek:
1. Certifikaty VeriSign su zabudovane do browsera, a silne pochybujem, ze by ich vedel niekto zmenit cez nevybudovane SSL spojenie....
2. certifikat VUB je podpisany certifikatom VUB CA. no a pr**er je v tom ze certifikat VUB CA je SELF-SIGNED. takze bezpecnost certifikatu VUB je ekvivalentna typu self-signed.
3. A okrem toho, poznate postup VeriSign pri overovani ziadatela ??? To nie je "vyplnim formular na webe a poslem". Chlapik mohol byt sice vtipalek, ale podla mna musel mat velmi dobre kontakty v Microsofte alebo priamo vo VeriSign, aby sa dostal k potrebnym udajom, pripadne je extremne nadany v tzv. socialnom inzinierstve :-)))). -
ivan (neregistrovaný)ad3.
A ako sa potom stalo, ze Verisign vydal neprave (nie na zaklade Microsoftu) certifikaty Microsoftu, Microsoft to potom riesil v XP tak, ze doplnil ulozisko Untrusted publishers, kde tieto falosne certifikaty zaradil (mozete si overit) aj je k nim nastavene Fraudulent, NOT Microsoft Friendly Name, je to ulozisko CryptoAPI, takze si to pozriete len v IE, ostatne prehliadace (nepouzivajue MS CryptoAPI) toto nenimplementovali.
Spravna otazka znie: "Ako su chranene CA kluce, ktorymi sa podpisuju certifikaty?" a to na vsetkych urovniach (min. Cipova karta / token, lepsie HSM modul s FIPS).
Zalistovanie CA do IE si moze zaplatit kazdy, je to komercna zalezitost a u distribucii s otvorenym kodom moze byt upravena distribucia tak, aby tam ten ca certifikat bol (a kde je tu zaruka doveryhodnosti).
Co ak sa nejakym trojanom do uloziska CA certifikatov naimportuje falosny certifikat ? Kontroloval si niekto niekedy ci certifikaty z uloziska su naozaj prave ? A to nemusi byt ani trojan, niektory chronicky klikaci si improtnu CA certifikat ani nevedia ako. Takze argument "je to bezpecne lebo CA certifikat je zabudovany do browsera" stoji na vode. To uz si radsej vyhadzem vsetky CA certifikaty a dam si tam len tie, ktore potrebujem a z casu na cas si skontrolujem ich hashe.
ČLÁNKY DO MAILU