Reklama
Nepřihlášený uživatel | Zaregistrovat se
 

Téma:

Počítače a Internet

Spravuje:

harry_x

Může vás zajímat



Reklama



tohle je diskuse o pocitacove bezpecnosti, prispevky typu 'naucte me hackovat' budou ihned mazany!
odkazy:
securityfocus.com
securiteam.com
secureroot.com
.:[packet storm]:.

violetelephant グッバイ、ミスターティーポット 
ano, jelikoz CSR neobsahuje prvni klic, pouze public fingerprit a subject metadata (a nejakej dalsi nepodstatnej bordel) tak ano, je uplne jedno, jak se dostane k vystaviteli certifikatu ... dal bych to nerozebiral, temne doby internetu, kdy bylo rychlejsi nosit tcp pakety v kyblikach, nez cekat az se modem dopipa jsou doufejme pryc.

co se tyce posilani certifikatu + hesla mailem ... ano neco takoveho jsem ocekaval, ze je to spatne a kazda vec by mela jit jinym kanalem .... no nezijeme v idealnim svete. bud rad, ze to alespon neposlali jako jeden email.

co se tyce MITM, tak jisteze, pokud mezi tebou a serverem prijemce je vic nez jeden hop ... jde vsechno (teda on jde mitm udelat i lokalne na pocitaci), na druhou stranu pokud pouzivas certificate pinning, je to o dost slozitejsi se mezi vas dostat.
neprihlaseny_OC  
K té odlišné CA a midlemanovi — je vůbec nějakým způsobem na současném internetu možné, aby, odesílám-li request na pevně dané URL O2, někdo třetí nějak zařídil, že ten request skončí u něj místo toho správného serveru? Lze v tomto směru nějak zblbnout DNS, nebo nwm? Dík!
neprihlaseny_OC  
CSR: oprav mne prosím, pokud něco špatně chápu, ale mám za to, že je úplně jedno, jak se CSR na server dostane. Generátor certifikátů jej tam může poslat, nebo jej můžeme poslat jako datovou přílohu obyčejného otevřeného mailu — vše bude fungovat stejně dobře. Mohli bychom klidně CSR vystavit na své stránky a producentovi jen říci, ať si jej ztama stáhne. Ta flashka (či před lety disketa, CD-R, whateva) zafunguje taky, akorát je zbytečně nepohodlná. A risiko odposlechnutí není žádné (přesněji, vůbec nevadí, když si CSR odposlechne kdokoli). Tedy flashka je sice vždy možná, ale naprosto zbytečná, a nikdy pro ni nebyl žádný důvod, ne?

P12: heslo poslali (nešifrovaným e-mailem!!! A přesně stejně předtím poslali ten P12 :( ). Je tam skutečně certifikát, PK, a také CA odlišná od té, na kterou nám dali odkaz dříve (WTF, z funkčního hlediska je to samozřejmě jedno, ale smysl mi dokonale uniká, pokud to ovšem celé nepřichází od nějakého middlemana, pak bych to chápal :)).

Fungovat by to asi mělo (samozřejmě to otestuji, ještě mi chybí nějaké doplňkové údaje), ale klient se halt teď musí rozmyslet, zda chce riskovat, že ten PK má i někdo (víceméně kdokoli) jiný, nebo tím martyriem s generováním certifikátu u někoho, kdo tomu zjevně vůbec nerozumí, procházet znovu :( Achjo...

violetelephant グッバイ、ミスターティーポット 
dnes uz neni, tehda byl, neco jako elektronicka podatelna a podobny veci, o tom se mluvilo jakoze nekdy v budoucnosti.

jak rikam, ted ti staci id requestu, protoze CSR se odesle na server automaticky.


ad to p12, ano pokud chce heslo, je pravdepodobne ze to udelali kvuli PK, proc vam heslo nedali ... no mozna dali, ale nekomu jinemu, poslali mailem ci sms, v horsim pripade prijde za 2 karticka, kde to bude napsane.
neprihlaseny_OC  
(Naopak, ta P12 heslo chce, ale oni nám je nedali :) Tudíž co obsahuje, nevíme :))

Je důvod, proč CSR nosit na flashce? Myslel jsem, že tam není žádná citlivá informace, takže se klidně může poslat nešifrovaným mailem (stejně jako pak ten vygenerovaný certifikát). Uniká mi něco? Dík.

(OT: že lidi celkem běžně dělají nejrůznější kraviny, to mi samozřejmě neuniklo. Není to ale rozhodně důvod, abych je dělal taky.)

violetelephant グッバイ、ミスターティーポット 
pokud certifikat pri importu po tobe nechce heslo, tak nejspis neobsahuje privatni klic, ale to bys mel videt i v keychainu po importu.
violetelephant グッバイ、ミスターティーポット 
jak rikam, nevim co za exe ti ten dodavatel poskytl. takze ano, muze s PK udelat co chce.

generovani certifikatu vcetne PK na strane CA a nasledna distribuce je primarne vec pohodli (vsech zucastnenych) a pokud si myslis, ze to nikdo nedela, tak spi ve svem idealnim vesmiru dal. resil jsem to pro jednu firmu, vygenerovali certifikaty vsem zamestnancum, jako heslo pouzili kombinaci RC a zamestnaneckeho cisla ... coz krome mzdovy ucetni (a dotycneho zamestnance) dal dohromady malokdo, bez toho hesla jsi certifikat do pocitace nenaimportoval (teda presneji jeho privatni klic).

pro ten tvuj pripad bych ale videl spis prave ten pripad jedna, a ano, pokud nemaji na extranetu vystaveny formular pro generovani nebo vkladani CSR pres prohlizec a vyzvedavani certifikatu, tak ten windows tool bude asi jedina moznost, jak se k tomu certifikatu dostat.

jinak ten tvuj priklad s izolovanym pocitacem se pouzival jeste pred nejakymi 10 lety naprosto bezne.

jinak kdysi se na flahsce ci diskete nosily nejen PK, ale i samotne CSR.
napr. pro prvni certifikat u postsignum jsi vygeneroval CSR v pocitaci, ulozil na flashku, dosel na postu (czechpoint), dneska uz se to dela pres internet a jedine co potrebuji je cislo requestu (ktere vidis v tom jejich programu a prijde ti i do mailu). pokud jsi potreboval certifikat prenest jinam, udelal si export certifikatu v PKCS12 formatu vcetne PK (zasifrovany pres 3DES a chraneny tvym "silnym" heslem)
neprihlaseny_OC  
No... při tomto přístupu se mi jeví poněkud zbytečné vůbec ztrácet s generováním a checkováním klíčů/certifikátů čas, můžeme použít plain HTTP, bude to ještě mnohem pohodlnější — a bezpečné asi tak stejně :)

Každopádně to bude s nimi ještě lekrace. Mezitím jsem zjistil, že nám poslali něco v P12. Možná ten certifikát i s u nich vygenerovaným privátním klíčem (eh...); nemohu to však zjistit, neboť nám k tomu neposlali žádné heslo... ňuňu.

Mormegil Už jste  přispěli?
V bezpečnosti jde v zásadě vždy o kompromis mezi bezpečností a pohodlím. Některá pohodlná řešení jdou tak daleko, že z bezpečnosti nezůstává skoro nic. A lidé je za to milují (přinejmenším do chvíle průseru).
neprihlaseny_OC  
Hlavně, oprav mne prosím, pokud něco přehlížím, ale nejde přece vůbec o přenos PK, ale o samotný fakt, že se vůbec dostane mimo můj lokální systém — to je přece z principu naprosto špatně a totálně neakceptovatelné. Nebo něco nechápu?

Takže EXE (resp. executable bez ohledu na environment) od dodavatele hlavně 1 z principu řešit nemůže, protože nevím, co v něm je a co s tím PK provede, taky by ho mohl rovnou rozeslat do světa, žejo. Leda snad bych to spustil na dedikovaném počítači, který není a nikdy nebude připojen k Netu, a pak z něj přes flashku přenesl ten vygenerovaný klíč... ale to je přece totálně na palici...

Nebo něco chápu blbě? Úplně můj šálek tyhle certifikátové tanečky nejsou, spíše se snažím to pochopit, než že bych tomu rozuměl...

violetelephant グッバイ、ミスターティーポット 
no asi takhle, jelikoz jsi ted zminil O2, je klidne mozne, ze ta utilita je nejaky kompletni klient a funguje to treba jako signer od postsignum

<teorie>
vygeneruje na danem stroji CSR,
ulozi do protected storage private key
odesle CSR na jejich pristupovy extranetovy bod k CA

a nasledne ti pak nejakej smoula akceptuje CSR a vygeneruje certifikat a ty si ho v te aplikaci stahnes
</teorie>

co se tyce generovani CSR, tak se obecne pouzivaji dva pristupy
1) CSR se generuje na stroji zadatele (at uz toolem typu certificate asistant, nebo na webove strance certifikacni autority) - vyhoda, private key neopusti pocitac zadatele, nevyhoda, vicekrokova komunikace tam a zpatky
2) CSR se generuje na strane CA - vyhoda, cetifikat vygeneruji v jednom kroku, nevyhoda, musi ti poslat jak certifikat tak private key (coz se pak snadneji da zneuzit, pokud neni prenos provedeny dostatecne bezpecnou metodou)

metoda 1) byva ovsem casteji, a tipnul bych to i na tenhle pripad.
neprihlaseny_OC  
Jasně, dík. Tedy v zásadě tam je totéž, co mám já v Certificate Assistentu, a s tím EXE blbnou jen proto, že jsou to kašpaři. Achjo... to bude ještě zábavy...

(CSR snad generuji už rovnou nad zvolenou — tedy zde jejich veřejně dostupnou — CA, ne? Ale to je v zásadě fuk, na principu to nic nemění.)

Jde o klientský certifikát SSL pro requesty na SMS bránu O2. Kdo to řeší, no, dostali jsme od jejich supportu mj. např. tuto excelentní radu:

Ta aplikacia na generovanie certifikatov funguje len na windows. mozu si to instalnut na nejaky win stroj alebo pre mna za mna moze si to ich instalovat nejaky ich kontakt v o2 u seba a vygenerovat im ten certifikat ak z tym nemaju problem.

No comment...

violetelephant グッバイ、ミスターティーポット 
jinak pokud jde jen o nejakou soukromou interexchange, tak bych klidne pouzil commandline openssl, ty PEM certifikaty se daji improtovat jak do widli tak do cehokoliv jineho (linux, mac, android). u tech windows certifikatu je potreba to spravne ulozit (idealne PKCS2, DER format, base64 encoded), aby tomu rozumeli i ostatni systemove, coz je pro vetsinu uzivatelu windows a cast windows only adminu, vyssi divci.
violetelephant グッバイ、ミスターティーポット 
zalezi jaky typ certifikatu k jakemu ucelu. request se standardne da udelat pres certificate management (certmgr.msc), a nebo dalsi moznost je pres certutil.exe z prikazove radky.

samozrejme pokud to ma mit nejaky PKI, tak by idealne by to melo byt tak, ze ty na macu udelas CSR, posles mu ho, on ho natlaci do jejich CA a vrati ti zpatky certifikat ... takze ty mas private key, a dostanes k nemu certifikat, a oni maji tvoji public cast, coz jim pro tvoje overeni staci, navic tim ze to maji ve sve CA, tak si revokaci certifikatu resi sami.

ale je to samozrejme otazka, jak velky je to dodavatel a hlavne jak a kdo jim tam resi infrastrukturu PKI.
neprihlaseny_OC  
Jednám o generování certifikátu s nějakým kašparem, který nezná nic než Wokna (jde o hodně velkého dodavatele různých technologií, takže to, že nepodporuje macOS a jiné Linuchy, je skutečně děs a ostuda), a navíc je neobyčejně zmatený :(

Jak se prosím pěkně normálně a bezpečně ve Woknech generují klíče a certifikáty (tedy co tam hraje stejnou roli jako Certificate Assistant v macOSu)? Kašpar mi posílá nějaké EXE, které si mám spustit, což (a) samozřejmě mimo Wokna jaksi nefunguje, (b) ale je to snad zjevně blbina i ve Woknech, pokud mi něco zásadního neuniká, je přece dokonalý nesmysl generovat klíčový pár pomocí programu, který mi dodal nějaký potenciálně nedůvěryhodný partner a jehož obsah naprosto neznám.

Dík!

 
Beriem to, ze hlavny zamer appky ako generatora jednorazovych kodov je usetrenie oproti SMS brane.

U kariet sa zaviedlo 3D secure a svoje urobia aj jednorazove platobne karty. Tiez uz aj v minulosti bolo mozne prevadzat na ucet, ktory ma platobnu kartu len tolko prostriedkov, aby sa uhradila platba.
Mormegil Už jste  přispěli?
Tak tady se prosazují ty jednorázové virtuální karty.
hkmaly - Slava pomlcky -  .
Je zjevne, ze kdyz banky nahrazuji dvoufaktor mobilni aplikaci, bezpecnost neni to na co mysli ... na druhou stranu, kdyby mysleli na bezpecnost, predevsim zrusi klasicke platby zadanim cisla kreditni karty ...
hkmaly - Slava pomlcky -  .
Mam vyhrazeny linuxovy ucet na banking. Ma to jeden hacek, ba hak. Kdyz neco nakupuju, pravidelne zapominam ze bych to mel delat na tom vyhrazenem systemu a udelam to na normalnim. Proto jsem rad ze mam dvoufaktor.
Toto je univerzalny scenar, nic svetoborneho.

Prve riesenie uz pouzivam a nasadil som to aj u rodiny

+ od druheho /Tatrabanka/ som odisiel pred rokmi pre ine dovody, sic to zabezpecenie mali asi najlepsie, ze este dnes to vela bank nezaviedlo.