Data: 2016-03-31 21:48:39 | |
Autor: Sebastian Biały | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
On 2016-03-29 17:46, Piotr Gałka wrote:
Przyznam, że liczę na odpowiedź od Sebastiana. Trole nie udzielają odpowiedzi, tylko generują dyskusję. Kiedy i jak ten proces się kończy? Czasem tutaj: http://www.computerworld.com/article/3007981/security/what-you-need-to-know-about-dells-root-certificate-security-debacle.html http://www.computerworld.com/article/3008521/security/a-second-dangerous-dell-root-certificate-discovered.html Ibecyli nie brakuje bez względu na wielkość korpo w których pracują. Opis na Wiki "Zasada działania SSL" jest tak napisany, jakby problem Jesli dostarczą Ci zły klucz publiczny, to dane nim zaszyfrowane nie zostaną poprawnie odtworzone przez klucz prywatny. Czyli nie ma nic groźniego w podmianie klucza - najwyżej nie zadziała. Wiadomo, że generator jest wystarczająco dobry? Ptaszki ćwierkają że dobre exploity NSA będą bazować (bazują?) na popsutych generatorach. Warto też wiedzieć że problem jest na tyle istotny, że można znaleźć kawalki hardware generujące liczby losowe w sposób bazujący na szumie termicznym, radiowym, inpucie usera itd, gdzieś widziałem dongla w USB poprawiającego /dev/random. Ogólnie mieszasz dwa problemy: klucze prywatny/publiczny pozwalają na bezpieczną komunikację w sytuacji gdy ktoś podsłuchuje. Certyfikaty natomiast pozwalają usunąc ataki Man in the Middle które bez nich były by trywialne. Problem w tym że jest to na tyle magiczne że doprowadziło do debilizmów jak na przykład mój bank twierdzi że wystarczy mieć kłódkę w przeglądarce i będziemy bezpieczni. Nie tak dawno widziałem lewą stronę która miała favicon.ico w wiesz-jakim-kształcie... PS. W tej dyskusji padło chyba już wszystko, więc nie bedę się produkować. |
|
Data: 2016-03-31 20:10:39 | |
Autor: witek | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
On 3/31/2016 2:48 PM, Sebastian Biały wrote:
Warto też wiedzieć że problem jest na tyle istotny, że można znaleźć aha https://en.wikipedia.org/wiki/Fortezza |
|
Data: 2016-04-01 14:27:35 | |
Autor: Piotr Gałka | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Użytkownik "Sebastian Biały" <heby@poczta.onet.pl> napisał w wiadomości news:ndjv1o$ug0$1node2.news.atman.pl...
Nie chodziło mi o błąd w kluczu, tylko celowo podłożony klucz Mana in the Middle. P.G. |
|
Data: 2016-04-01 19:46:16 | |
Autor: Sebastian Biały | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
On 2016-04-01 14:27, Piotr Gałka wrote:
Nie chodziło mi o błąd w kluczu, tylko celowo podłożony klucz Mana in Bez certyfikatów, fingerprintów etc taka metoda zadziała jesli MitM bedzie faktycznie po srodku komunikacji a klucze będą negocjowane w trakcie ataku. Jesli nie będą (np. dostaniesz klucz pocztą slimakową) to MinM niewiele można zrobić. |
|