Data: 2016-03-29 17:46:53 | |
Autor: Piotr Gałka | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Zażarta dyskusja pod tematem "Ciekawe orzeczenie - bank ma oddać kasę" o bezpieczeństwie transakcji skłoniła mnie do zapytania o prawdopodobnie coś podstawowego.
Przyznam, że liczę na odpowiedź od Sebastiana. Chciałbym ogarnąć ogólnie SSL. Jak szukam to są opisy albo za proste - nie dające mi odpowiedzi na moje wątpliwości, albo tak zawikłane, że odstraszają od próby przebrnięcia (przy notorycznym braku czasu na to). Ja to rozumiem tak. Chcę (mój komputer chce) ustanowić sesję z bankiem. Bank przysyła certyfikat który zawiera: Dane banku i jego klucz publiczny, wszystko podpisane kluczem prywatnym przez jakąś organizację. Zawiera jeszcze coś istotnego? Chcę zweryfikować podpis - potrzebuję klucza publicznego tej organizacji. Dostaje od niej certyfikat, który zawiera jej dane i jej klucz publiczny, wszystko podpisane przez kogoś innego jego kluczem prywatnym. Aby to zweryfikować potrzebuję klucza publicznego tego kogoś innego. itd. Kiedy i jak ten proces się kończy? Opis na Wiki "Zasada działania SSL" jest tak napisany, jakby problem weryfikacji dostarczonego klucza publicznego nie istniał. Czego nie wiem? Jak już załóżmy mam klucz publiczny banku i wiem, że nie jest to jakaś podróba to dalej z opisu na Wiki wynika, że do ustalenia klucza sesji brane są dwie liczby losowe przesłane wcześniej przez mój komputer i serwer banku oraz jakiś ustalony przez mój komputer klucz, który jest podpisywany kluczem publicznym banku i wysyłany do banku. Wcześniej przesłane liczby losowe - a więc jawne (bo przed ustaleniem sesji). Czyli jedyną tajną rzeczą na tym etapie jest ten wylosowany przez komputer klucz. Wiadomo, że generator jest wystarczająco dobry? P.G. |
|
Data: 2016-03-29 12:39:22 | |
Autor: witek | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
On 3/29/2016 10:46 AM, Piotr Gałka wrote:
Jak jeden z podpisów bedzie na liscie zaufanych certyfikatów ,które są zainstalowane domyślnie w komputerze. Wiadomo, że generator jest wystarczająco dobry? na takie potrzeby najwyrazniej tak skoro do tej pory jest uzywany. 100% bezpieczenstwa nie dają. |
|
Data: 2016-03-29 17:55:06 | |
Autor: W | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Piotr Gałka wystukał, co następuje:
Ja to rozumiem tak. Chcę (mój komputer chce) ustanowić sesję z bankiem. Najczęściej lista zaufanych "RootCA" jest dostarczana albo z systemem albo z oprogramowaniem (na przykład przeglądarki zawierają swoje zbiory tychże). |
|
Data: 2016-03-29 21:45:22 | |
Autor: J.F. | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Użytkownik "W" napisał w wiadomości grup dyskusyjnych:XnsA5DACAA13E67Dwuathome@at.home...
Piotr Gałka wystukał, co następuje: Ja to rozumiem tak. Chcę (mój komputer chce) ustanowić sesję z bankiem. Najczęściej lista zaufanych "RootCA" jest dostarczana albo z systemem albo z A tak swoja droga - zalatwial ktos taki certyfikat ? Czy czy mnogosci instytucji certyfikujacych bylby jakis problem zarejestrowac taki np "mBank" czy "PKO" gdzies na swiecie ? I przegladarka wyswietli "kłódke" ? J. |
|
Data: 2016-03-29 15:55:03 | |
Autor: witek | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
On 3/29/2016 2:45 PM, J.F. wrote:
Certyfikat SSL można dostać za parę groszy. Natomiast przejść sprawdzenie dokumentów nie bedzie już takie proste. Tylko co ci to da. Musiałbyś jeszcze przekierować ruch na twój serwer zamiast prawdziwy. Z drugiej strony dostać certyfikat na łudząco podobny adres da się bez problemu. Wystarczy tylko czekać aż ktoś niechcący się pomyli przy wpisywaniu adresu www. Np mbnak.pl Albo kliknie w spreparowany link z email. Przecież nikt nie sprawdza czy zielona kłodka na pewno należy do instytucji, na której stronę chcieliśmy wejść. Każdy wierzy przeglądarce. Skoro ta nie protestuje to znaczy, że jest dobrze. Z trzeciej strony certyfikat + domena powoli przestaje nas robić anonimowym. |
|
Data: 2016-03-29 23:25:24 | |
Autor: J.F. | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Użytkownik "witek" napisał w wiadomości grup dyskusyjnych:ndepvt$btu$1@dont-email.me...
On 3/29/2016 2:45 PM, J.F. wrote: A tak swoja droga - zalatwial ktos taki certyfikat ? Certyfikat SSL można dostać za parę groszy. Ale co za problem zalozyc firme mBank np w Brazylii ? Tylko co ci to da. Otoz to. Albo zarejestrowac mbank.net, mbank.org, mbank.com - Przecież nikt nie sprawdza czy zielona kłodka na pewno należy do instytucji, na której stronę chcieliśmy wejść. Nawet nie wiem czy mozna tak sprawdzic - tzn doglebnie. Jesli Symantec zarejestrowal mbank SA, to jakie dokumenty sprawdzal - i na ile mozna im falszywe wyslac ? P.S. Ciekawa opcje widze - "zainstaluj certyfikat". Hm - z jednej strony moze uchronic przed podstawieniami falszywych domen, z drugiej - chyba wcale nie uchroni, skoro zadziala standardowy mechanizm sprawdzania przez internet, z trzeciej - czy nie otwiera sie furtka dla hackerow - zainstalowac komus falszywy certyfikat w przegladarce ? Ale ... chyba moze ochronic przed atakiem na router, gdy przekierowujemy ruch i do banku i do wystawczy certyfikatu ... Z trzeciej strony certyfikat + domena powoli przestaje nas robić anonimowym. Ano - gdzies tam slad zostaje ... tylko potem sie okaze, ze dane falszywe, slup, albo ukradziona tozsamosc. Albo scigaj sobie jakiegos Somalijczyka :-) J. |
|
Data: 2016-03-30 07:59:56 | |
Autor: witek | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
On 3/29/2016 4:25 PM, J.F. wrote:
Użytkownik "witek" napisał w wiadomości grup Mozna, ale wowczas 1. nie bedziesz mial w certyfikacie mBank ul Senatorska 18, no i nie bedzie pod adresem mbank.com.pl
a to juz sie rzuca bardziej w oczy chociaz, kto patrzy na jaką stronę wlazł.
Nie wiem jaką procedurę wewnetrzna ma Symantec. Ale skoro to działa to znaczy, że jednak skutecznie sprawdzają.
No ale to już byś musiał konkretny komuputer atakować. Na globalną skalę tego zrobić się nie da. Hm - z jednej strony moze uchronic przed podstawieniami falszywych Instalacji certyfikatu zdalnie sie nie da zrobic. Musialbys przekonac uzytkownika do zrobienia tego.
|
|
Data: 2016-03-30 23:14:14 | |
Autor: MarcinF | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
W dniu 2016-03-30 o 14:59, witek pisze:
P.S. Ciekawa opcje widze - "zainstaluj certyfikat". Za to na globalną skalę dla dobra klientów, pewien producent sprzętu komputerowego sprzedawał komputery z zainstalowanym certyfikatem root ca i jego kluczem prywatnym. http://www.infoworld.com/article/3008422/security/what-you-need-to-know-about-dells-root-certificate-security-debacle.html Instalacji certyfikatu zdalnie sie nie da zrobic. 1. Są użytkownicy których łatwo przekonać do instalacji certyfikatu 2. U innych można wykorzystać jakaś podatność i zainstalować certyfikat bez ich wiedzy 3. Inna droga to certyfikaty instalowane przez producentów sprzętu lub oprogramowania, poza przypadkiem który już przytoczyłem powyżej, są programy antywirusowe instalujące swoje certyfikaty root ca bez wyraźnego informowania o tym użytkowników |
|
Data: 2016-03-30 16:24:33 | |
Autor: witek | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
On 3/30/2016 4:14 PM, MarcinF wrote:
W dniu 2016-03-30 o 14:59, witek pisze: po to so listy CRL Instalacji certyfikatu zdalnie sie nie da zrobic. Są tacy co ci pin podadzą. Ale to dalej jest indiwidualne podejscie. 2. U innych można wykorzystać jakaś podatność i zainstalować certyfikat j.w. bez wiedzy się nie da. CO najwyzej bez świadomości co użytkownik klika. ale ja stoję na stanowisku, ze uzytkownik nie musi się na tym znać. Skoro bank udostępnia narzędzie, którego nie jest w stanie upilnować to ponosi za to odpowiedzialność. 3. Inna droga to certyfikaty instalowane przez producentów sprzętu j.w. czasy dosu sie skonczyly i uzytkownik nie jest w stanie kontrolowac co sie instaluje na jego komputerze. Rownie dobrze można uzytkownikowi zarzuć niedbałość za samo pracowanie na koncie z uprawnieniami administratora. Ręka do góry kto tego nie robi. Linuxowcy i jemu podobni sie nie odzywaja. :) |
|
Data: 2016-03-31 05:34:53 | |
Autor: Dominik Ałaszewski | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Dnia 30.03.2016 witek <witek7205@gazeta.pl> napisał/a:
Rownie dobrze można uzytkownikowi zarzuć niedbałość za samo pracowanie na koncie z uprawnieniami administratora. A czy Linuksowiec na maszynie z Windows się liczy? ;-) -- Dominik Ałaszewski (via raspbianowy slrn) "Wszyscy chcą naszego dobra. Nie dajmy go sobie zabrać." (S.J. Lec) Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP Pisząc na priv zmień domenę na gmail. |
|
Data: 2016-03-31 08:12:35 | |
Autor: Kamil Jońca | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
witek <witek7205@gazeta.pl> writes:
[...] Rownie dobrze można uzytkownikowi zarzuć niedbałość za samo pracowanieA to pod Windą da się inaczej? [1] KJ [1] pomijając komputery korporacyjne -- http://stopstopnop.pl/stop_stopnop.pl_o_nas.html Don't confuse things that need action with those that take care of themselves. |
|
Data: 2016-03-31 11:47:28 | |
Autor: J.F. | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Użytkownik "Kamil "Jońca"" napisał w wiadomości grup dyskusyjnych:87r3er89bg.fsf@alfa.kjonca...
witek <witek7205@gazeta.pl> writes: Rownie dobrze można uzytkownikowi zarzuć niedbałość za samo pracowanieA to pod Windą da się inaczej? [1] IMO - da. Poza tym od pewnego czasu Windows ma wydzielone konto administratora i wymaga potwierdzenia co bardziej niebezpiecznych operacji. J. |
|
Data: 2016-03-31 09:14:13 | |
Autor: Piotr Gałka | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Użytkownik "witek" <witek7205@gazeta.pl> napisał w wiadomości news:ndhg34$f9a$1dont-email.me... Ręka do góry kto tego nie robi. Miałem kiedyś zamiar (pod XP professional) nie pracować na koncie z uprawnieniami administratora. Zainstalowałem Buildera 5 i się okazało, że na koncie bez uprawnień nie działa. P.G. |
|
Data: 2016-04-01 23:10:26 | |
Autor: MarcinF | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
W dniu 2016-03-30 o 23:24, witek pisze:
http://www.infoworld.com/article/3008422/security/what-you-need-to-know-about-dells-root-certificate-security-debacle.html Jak poczytasz trochę więcej o tej historii to się przekonasz, że nie było to aż tak proste i szybkie jak sugerujesz. bez wiedzy się nie da. Pisałem o wykorzystaniu podatności, użyciu malware, a nie o nakłanianiu użytkownika do klikania. |
|
Data: 2016-04-03 19:14:24 | |
Autor: Borys Pogoreło | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Dnia Wed, 30 Mar 2016 16:24:33 -0500, witek napisał(a):
http://www.infoworld.com/article/3008422/security/what-you-need-to-know-about-dells-root-certificate-security-debacle.html https://news.slashdot.org/story/16/04/01/0121226/php-python-and-google-go-fail-to-detect-revoked-tls-certificates -- Borys Pogoreło borys(#)leszno,edu,pl |
|
Data: 2016-04-03 11:59:07 | |
Autor: J.F. | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Dnia Wed, 30 Mar 2016 23:14:14 +0200, MarcinF napisał(a):
W dniu 2016-03-30 o 14:59, witek pisze: Wirusem. Za to na globalną skalę dla dobra klientów, pewien producent Prawde mowiac to nie bardzo rozumiem - czy Dell podal oba klucze, czy tylko "gdyby drugi klucz zostal zlamany to naraziloby to uzytkownikow na ..." ? Instalacji certyfikatu zdalnie sie nie da zrobic.1. Są użytkownicy których łatwo przekonać do instalacji certyfikatu Dalej nie bardzo rozumiem - kilka certyfikatow jest w systemie/przegladarce wpisanych, zeby mozna bylo CA zweryfikowac ? To czym sie to rozni od innych certyfikatow ? Czy nie ma ... ale wtedy sie chyba czlowiek naraza, ze mu ktos serwer certyfikujacy podstawi ... J. |
|
Data: 2016-04-03 11:11:28 | |
Autor: witek | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
On 4/3/2016 4:59 AM, J.F. wrote:
Dalej nie bardzo rozumiem - kilka certyfikatow jest w tak. IE - > Internet Options -> Content -> Certificates. Na liscie trusted root certificates prosze sobie odnalezc chocby polskie Certum. To czym sie to rozni od innych certyfikatow ?niczym. |
|
Data: 2016-04-05 20:37:36 | |
Autor: Krzysztof Halasa | |
SSL - i rozum? | |
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:
http://www.infoworld.com/article/3008422/security/what-you-need-to-know-about-dells-root-certificate-security-debacle.html Artykuł pisze o tym pierwszym. -- Krzysztof Hałasa |
|
Data: 2016-03-31 21:17:56 | |
Autor: Krzysztof Halasa | |
SSL - i rozum? | |
witek <witek7205@gazeta.pl> writes:
1. nie bedziesz mial w certyfikacie mBank ul Senatorska 18, no i nie Może być. Np. wiele CA sprawdza, czy ma do czynienia z właścicielem domeny, wysyłając mail na adres w rodzaju "admin@domena" itp. Trywialne do przechwycenia jeśli np. mamy dostęp do routera np. providera, przez którego to przechodzi. -- Krzysztof Hałasa |
|
Data: 2016-04-03 19:16:25 | |
Autor: Borys Pogoreło | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Dnia Thu, 31 Mar 2016 21:17:56 +0200, Krzysztof Halasa napisał(a):
Może być. Np. wiele CA sprawdza, czy ma do czynienia z właścicielem Tylko w przypadku certyfikatów DV. OV i EV wymagają weryfikacji podmiotu, dla EV ("z zielonym paskiem") to jest istna ścieżka zdrowia. -- Borys Pogoreło borys(#)leszno,edu,pl |
|
Data: 2016-04-01 23:17:14 | |
Autor: Arek | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Użytkownik "witek" <witek7205@gazeta.pl> napisał w wiadomości news:ndgih1$nv2$1dont-email.me...
Otoz to. Albo zarejestrowac mbank.net, mbank.org, mbank.com - tych chyba nie pomylą mbank.com.ua mbank.com www.mbank.de Przecież nikt nie sprawdza czy zielona kłodka na pewno należy do Bywało, że zapisywałem niektóre dane z certyfikatu i potem porównywałem. Nie powinny się chyba zmienić przed datą not valid after. To po próbach zalogowania się do GOL z loginem i hasłem z openonline (albo odwrotnie) i blokadą (czyjegoś?) konta. Ale to już inna historia. Arek |
|
Data: 2016-04-01 18:54:20 | |
Autor: witek | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
On 4/1/2016 4:17 PM, Arek wrote:
Bywało, że zapisywałem niektóre dane z certyfikatu i potem porównywałem. dlaczego nie. W kazdej chwili mogę zastapić obecny certyfikat nowym. |
|
Data: 2016-03-30 00:23:46 | |
Autor: Marek | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
On Tue, 29 Mar 2016 15:55:03 -0500, witek <witek7205@gazeta.pl> wrote:
Przecież nikt nie sprawdza czy zielona kłodka na pewno należy do instytucji, na której stronę chcieliśmy wejść. Mało prawdopodobne by dostać "zielony" cerryfikat na literówkę znanej instutucji lub bezczelnie podszywając się pod nią. -- Marek |
|
Data: 2016-03-30 01:09:23 | |
Autor: J.F. | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Użytkownik "Marek" napisał w wiadomości
On Tue, 29 Mar 2016 15:55:03 -0500, witek <witek7205@gazeta.pl> wrote: Przecież nikt nie sprawdza czy zielona kłodka na pewno należy do instytucji, na której stronę chcieliśmy wejść. Mało prawdopodobne by dostać "zielony" cerryfikat na literówkę znanej instutucji lub bezczelnie podszywając się pod nią. A skad niby jakis pracownik w USA czy Chinach ma wiedziec, ze oprocz mbnak istnieje w Polce popularny mbank ? Albo, ze w ogole trzeba szukac w Polsce, a nie w com ... J. |
|
Data: 2016-03-30 09:45:47 | |
Autor: Marek | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
On Wed, 30 Mar 2016 01:09:23 +0200, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote:
A skad niby jakis pracownik w USA czy Chinach ma wiedziec, zeoprocz mbnak istnieje w Polce popularny mbank ? Rotfl, widać nie masz pojęcia jak wygląda procedura uzyskania cert. extended :) -- Marek |
|
Data: 2016-04-03 12:56:04 | |
Autor: J.F. | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Dnia Wed, 30 Mar 2016 09:45:47 +0200, Marek napisał(a):
On Wed, 30 Mar 2016 01:09:23 +0200, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote: Nie mam, ale wiem ze swiat jest wielki, a Polska malutka. Mieliby sprawdzac podobne nazwy we wszystkich krajach ? A skad wiedza, ktore banki sa popularne gdzies na zadupiu ? J. |
|
Data: 2016-04-03 11:14:08 | |
Autor: witek | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
On 4/3/2016 5:56 AM, J.F. wrote:
Dnia Wed, 30 Mar 2016 09:45:47 +0200, Marek napisał(a): W przypadku informatyki nie ma to znaczenia, To wszystko jest jedna globalną wioską.
Nie wiedzą i nie sprawdzają. Masz przedstawic dokumenty uwiarygadniające, że ty to ty. W jednym kraju procedury są bardziej skomplikowane i ostrzejsze w innym mniej, ale podstawa w kazdym przypadku jest taka sama. |
|
Data: 2016-04-03 10:02:01 | |
Autor: nowyjestem | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Nie wiedzą i nie sprawdzają. czyli wystarczy obskoczyć z 50 bantustanów i w co najmniej jednym z nich (na dane jakiegoś bezdomnego żula z Ukrainy zmarłego wczoraj) zarejestrować "swoje własne" PKOBP albo mBank i... będziemy mieli "kłódkę w przeglądarce" :) dobrze zrozumiałem? |
|
Data: 2016-04-04 13:38:11 | |
Autor: Tomasz Chmielewski | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
On 04/04/2016 02:02 AM, nowyjestem@poczta.pl wrote:
Nie wiedzą i nie sprawdzają. Masz przedstawic dokumenty Może. W certyfikatach EV jest cała nazwa firmy + kraj, czyli na przykład "PKO Bank Polski SA (PL)". Więc z rejestracją może być problem, bo raz, że pewnie wyjdzie ci "PKO Bank Polski SA, Ltd.", a dwa, że krajem nie będzie (PL), tylko (PA) czy (KI). O ile wcześniej nikt z firmy wystawiającej certyfikaty nie wpisze w wyszukiwarkę "PKO BANK Polski SA" żeby zobaczyć, co to jest. Tomasz Chmielewski http://www.ptraveler.com |
|
Data: 2016-04-04 09:20:13 | |
Autor: J.F. | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Dnia Mon, 4 Apr 2016 13:38:11 +0900, Tomasz Chmielewski napisał(a):
On 04/04/2016 02:02 AM, nowyjestem@poczta.pl wrote: Przy dlugiej nazwie sie wyswietli kraj czy nie ? Ale: -citi wyswietla US ... to nie dziwi, ale i inne moga nie dziwic. -mozna sie zarejestrowac w Belize. Bank Zachodni (BZ) O ile wcześniej nikt z firmy wystawiającej certyfikaty nie wpisze w pare $ i google pokaze co wlasciwy link na pierwszej stronie :-) J. |
|
Data: 2016-04-04 00:56:30 | |
Autor: nowyjestem | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
> O ile wcześniej nikt z firmy wystawiającej certyfikaty nie wpisze w mam nadzieję że Arabia Saudyjska ("właścicielka" domeny SA) nie rejestruje zbyt łatwo firmy o nazwie zawierającej słowo bank bo jeśli rejestruje, to w przeglądarce zobaczymy "PKO Bank Polski (SA)" i to może zmylić bardzo wiele osób. |
|
Data: 2016-04-04 10:21:41 | |
Autor: J.F. | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Użytkownik napisał w wiadomości grup dyskusyjnych:b9e566a2-b55a-4fb9-a6d7-848ebea58c7a@googlegroups.com...
> O ile wcześniej nikt z firmy wystawiającej certyfikaty nie wpisze > w mam nadzieję że Arabia Saudyjska ("właścicielka" domeny SA) Nie bylbym taki pewny. bo jeśli rejestruje, to w przeglądarce zobaczymy Zawsze mozna sie ograniczyc do "PKO (SA)". Czy "Pekao (SA)". J. |
|
Data: 2016-04-04 14:30:56 | |
Autor: nowyjestem | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Zawsze mozna sie ograniczyc do "PKO (SA)". Czy "Pekao (SA)". zgadza się: literki "PKO BP" nie są jakoś zastrzeżone na całą planetę (i w przeciwieństwie do HP czy innego VW nie każdy barbarzyńca skojarzy od razu o co chodzi, a w przeglądarce prezentowałoby się przepięknie "PKO BP (SA)" albo "BZWBK(SA)" i większość klientów nawet by się nie zdziwiła... |
|
Data: 2016-04-04 17:25:43 | |
Autor: witek | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
On 4/4/2016 4:30 PM, nowyjestem@poczta.pl wrote:
Zawsze mozna sie ograniczyc do "PKO (SA)". Czy "Pekao (SA)". Jakbys tam wpisal pocałuj mnie w d... to też większość by się nie zdziwiła. Jest zielona kłodka? Jest. To znaczy, że jest dobrze bo banki każą sprawdzać czy jest zielona kłodka. Rownie dobrze mógłbyś tam wstawić ikonę i większość byłaby szczęśliwa. |
|
Data: 2016-04-06 01:19:48 | |
Autor: janek z pola | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹoĹźy na chĹopski rozum? | |
witek wrote:
On 4/4/2016 4:30 PM, nowyjestem@poczta.pl wrote: Dlatego są dodatkowe mechanizmy. Po pierwsze jest przyczepianie certyfikatów w przeglądarkach https://kryptosfera.pl/post/public-key-pinning-w-firefoxie/ Czyli to wyklucza ataki polegające na podmianie CA oraz niektóre MITM. Dodatkowo zapewne jest tak, że jakieś oprogramowanie antywirusowe też monitoruje jakie CA podpisuje i dodatkowo są listy domen niezaufanych, które mają zarówno przeglądarki jak i programy antywirusowe. Czyli jak będzie np. dla firmy Minus Bank, która ma domene swoja www.minusbank.tld, założona domne www.mimusbank.tld, to po dosyć krótkim czasie zostanie ona zablokowana na poziomie tych mechanizmów. -- Wysłane z pola. |
|
Data: 2016-04-06 10:02:52 | |
Autor: witek | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
On 4/5/2016 6:19 PM, janek z pola wrote:
witek wrote: Ale nikt niczego nie podmienia. Wchodzisz na złą stronę bo albo źle wklepales adres albo kilknales w link porwadzący do tej strony i sie po prostu nie kapnąłęś gdzie jesteś. Wszystko jest ok. Jesteś tam gdzie wlazłeś. Jakims tam zabezpieczenien mogłoby być przyczepianie certyfikatów, ale troszeczkę inaczej zrobione. Tworzę listę certyfiaktów, które są w jakis ekstra sposób przeze mnie wyróżnione i wejście na te strony jest dodatkowo wyróżniane w przeglądarce. Powiedzmy pasek adresu jest na różowo. Wowczas w krótkim czasie wyrobi ci się podswiadoma reakcja, że chciałeś wejść na stronę banku, ale pasek nie jest na różowo czyli coś jest nie tak. Zdaje się, że coś takiego jest już gdzieś zrobione, ale nie pamiętam teraz w której przeglądarce o tym słyszałem. Tylko teraz ile ludzi w ogóle ma zielonoróżowe pojęcie o tym co to w ogóle jest certyfikat, do czego słuzy itp itd. To musi być organoleptyczne rozwiązanie. Jest rozowe jest dobrze, nie jest rózowe nie jest dobrze. I jeszcze na dodatek nie dające się oszukać błędnym działaniem uzytkownika. Może jakiś addin napisany wspolnie przez banki porównujący aktualny certyfikat z bazą certyfikatów bankowych online zarządzanych przez banki. To tez nie jest 100% bezpieczne, bo można użytkownikowi wcisnąć inny addin, który robi to samo. I tak w kółko. |
|
Data: 2016-04-05 20:55:31 | |
Autor: Krzysztof Halasa | |
SSL - i rozum? | |
nowyjestem@poczta.pl writes:
czyli wystarczy obskoczyć z 50 bantustanów i w co najmniej jednym z Oczywiście. To, że to nie jest 100% zabezpieczenie to wiadomo "od zawsze". Chodziło o produkt dla mas, taki nie może być zupełnie bezpieczny. Służby też mają swoje potrzeby. Wyłudzano certyfikaty nawet dla "microsoft.com", to co tam jakiś mbank. -- Krzysztof Hałasa |
|
Data: 2016-04-03 19:41:21 | |
Autor: J.F. | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Dnia Sun, 3 Apr 2016 11:14:08 -0500, witek napisał(a):
On 4/3/2016 5:56 AM, J.F. wrote: Mieliby sprawdzac podobne nazwy we wszystkich krajach ?Nie wiedzą i nie sprawdzają. Toz przeciez przedstawie. Zaloze spolke Modreno, wysle skany potrzebnych dokumentow, nawet jak polski partner sprawdzi KRS, to zobaczy ... i gdzie na swiecie szukac firmy Modreno pod ktora chce sie podszyc? A moze nie Modreno tylko Moderno, Midreno, Nodreno .... J. |
|
Data: 2016-03-30 08:04:09 | |
Autor: witek | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
On 3/29/2016 5:23 PM, Marek wrote:
On Tue, 29 Mar 2016 15:55:03 -0500, witek <witek7205@gazeta.pl> wrote: mozna oficjalnie zarejestrowac firme mbnak ltd i oficjalnie dostac certyfikat na mbnak.pl i w 99% przypadków nikt nie zwroci uwagi na to ze na "zielonej kłódce" jest napisane mbnak ltd [UK] a nie mbank S.A. [PL] pozostaje tylko liczyc na to, ze iles ludzi sie pomyli wpisujac adres w przegladarce. |
|
Data: 2016-03-30 16:08:17 | |
Autor: Marek | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
On Wed, 30 Mar 2016 08:04:09 -0500, witek <witek7205@gazeta.pl> wrote:
mozna oficjalnie zarejestrowac firme mbnak ltd i oficjalnie dostac certyfikat na mbnak.pl Nie cert. EV. -- Marek |
|
Data: 2016-03-30 09:08:06 | |
Autor: witek | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
On 3/30/2016 9:08 AM, Marek wrote:
On Wed, 30 Mar 2016 08:04:09 -0500, witek <witek7205@gazeta.pl> wrote: Dlaczego nie? |
|
Data: 2016-03-30 16:24:16 | |
Autor: Marek | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
On Wed, 30 Mar 2016 09:08:06 -0500, witek <witek7205@gazeta.pl> wrote:
Dlaczego nie? Spróbuj to się przekonasz, nie jesteś pierwszy kto wypadł na pomysł by wyrobić sobię EV na literówkę znanego banku :). -- Marek |
|
Data: 2016-03-30 12:08:51 | |
Autor: witek | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
On 3/30/2016 9:24 AM, Marek wrote:
On Wed, 30 Mar 2016 09:08:06 -0500, witek <witek7205@gazeta.pl> wrote: Nie miałem potrzeby uzyskania EV, dlatego się pytam. No to otworze filię na słupa. |
|
Data: 2016-03-30 16:10:08 | |
Autor: Marek | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
On Wed, 30 Mar 2016 16:08:17 +0200, Marek <fake@fakeemail.com> wrote:
Nie cert. EV. Oczywiście mam na myśli w domenie .pl -- Marek |
|
Data: 2016-03-31 21:13:14 | |
Autor: Krzysztof Halasa | |
SSL - i rozum? | |
witek <witek7205@gazeta.pl> writes:
Certyfikat SSL można dostać za parę groszy. Ale w dalszym ciągu proste. Dlatego w niektórych zastosowaniach nie używa się listy tamtych CA. Tylko co ci to da. No ale jeśli zakładamy, że nie można tego zrobić, to po co nam to całe PKI. Po prostu - to podnosi poprzeczkę, nie daje całkowitego bezpieczeństwa. -- Krzysztof Hałasa |
|
Data: 2016-03-30 00:20:00 | |
Autor: Marek | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
On Tue, 29 Mar 2016 21:45:22 +0200, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote:
Czy czy mnogosci instytucji certyfikujacych bylby jakis problem zarejestrowac taki np "mBank" czy "PKO" gdzies na swiecie ? Standardowy (nie exteneded - zielony) bez problemu będzie kłódka. Weryfikacja jest automatyczna i polega jedynie na sprawdzeniu czy wnioskujacy o cert. dla np. mbank.w.pl ma faktycznie dostęp do domeny/hosta mbank.w.pl i może tam np. umieścić plik z wskazaną losową nazwą. Weryfikacja to sprawdzenie czy ten plik faktycznie wnioskujący umieścił. Cały proces trwa kilka minut i jest w pełni automatyczny. Extebded już tak łatwo nie pójdzie, jest weryfikacja białkowa. Co ciekawe 10 lat temu i dawniej przy zwykłych certyfikatach np. thawte weryfikowali telefoniczne. Dzwonili, pytali o pogodę w miejscu siedziby firmy, ptosilii o kopie dokumentów rejestrowych i takie tam. -- Marek |
|
Data: 2016-03-30 01:14:34 | |
Autor: J.F. | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Użytkownik "Marek" napisał w wiadomości grup dyskusyjnych:almarsoft.4473417374255708447@news.neostrada.pl...
On Tue, 29 Mar 2016 21:45:22 +0200, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote: Czy czy mnogosci instytucji certyfikujacych bylby jakis problem zarejestrowac taki np "mBank" czy "PKO" gdzies na swiecie ?Standardowy (nie exteneded - zielony) bez problemu będzie kłódka. 99% ludzi nie zauwazy. Moze nawet 99.99% :-) Extebded już tak łatwo nie pójdzie, jest weryfikacja białkowa. Po polsku ? :-) siedziby firmy, No, ciekawe czy sprawdzali. A jak sprawdzali to jak ... prosilii o kopie dokumentów rejestrowych i takie tam. Ale czy to jakis problem te kopie im wyslac ? Oczywiscie przygotowane na wlasnym komputerze ... J. |
|
Data: 2016-03-30 09:46:30 | |
Autor: Marek | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
On Wed, 30 Mar 2016 01:14:34 +0200, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote:
Po polsku ? :-) Oczywiście. -- Marek |
|
Data: 2016-03-30 10:32:55 | |
Autor: J.F. | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Użytkownik "Marek" napisał w wiadomości grup dyskusyjnych:almarsoft.9122758803152611611@news.neostrada.pl...
On Wed, 30 Mar 2016 01:14:34 +0200, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote: Po polsku ? :-)Oczywiście. Takie oczywiste to wcale nie jest. Ciekawe - maja oddzial w Polsce, imigranta w Irlandii, czy zatrudnili jakas polska firme do weryfikacji. J. |
|
Data: 2016-03-30 11:25:50 | |
Autor: Marek | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
On Wed, 30 Mar 2016 10:32:55 +0200, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote:
Takie oczywiste to wcale nie jest.zatrudnili jakas polska firme do weryfikacji. Z tego co pamiętam osoba mowiła poprawnie choć z lekką naleciałoşcią jakiegoś obcego języka. Dzwoniła z Austrii albo Szwajcari już nie pamiętam dokładnie. Do celów weryfikacji użyte są renomowane firmy/kancelarie audytorskie, to nie jest tak, że pracownik thawte czy verisign dzwoni, to jest outsource'owane. Roznowa po polsku już wtedy to nie był jakiś odosobniony przypadek. Również 10 lat temu weszła możliwość rejestracji domen eu, najpierw dla organuzacji/firm tzw. okres sunrise. Zgłosiliśmy wniosek jako pierwsi z naszą nazwą ale domenę przyznano innej firmie z Włoch. Spór roztrzygał Ernst & Young, po polsku była komunikacja z nimi. Stwierdzili, że pojedyńcza nazwa spółki cywilnej (to miała być domena dla takiej spółki) np. "simplex" nie jest pełną nazwą przedsiębiorstwa bo wg nich powinny być jeszcze w nazwie nazwiska wspólników. Druga firma z Włoch o tej samej nazwie była sp z o.o. i tutaj nie mieli wątpliwości do nazwy więc im domenę przyznali. W każdym razie odpuściliśmy, nie było raczej sensu dyskutować z E&Y:) -- Marek |
|
Data: 2016-03-30 16:41:57 | |
Autor: J.F. | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Użytkownik "Marek" napisał w wiadomości grup dyskusyjnych:almarsoft.165450177814322794@news.neostrada.pl...
On Wed, 30 Mar 2016 10:32:55 +0200, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote: [...]Takie oczywiste to wcale nie jest. Roznowa po polsku już wtedy to nie był jakiś odosobniony przypadek. Odosobniony nie, ale firma chce zarobic na certyfikatach (czy czymkolwiek innym), rynek zbytu sobie ustala amerykanski, ale innych tez obsluguje ... i nie ma obowiazku z kazdym klientem w jego rodzimym jezyku gadac. J. |
|
Data: 2016-03-30 17:21:57 | |
Autor: Marek | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
On Wed, 30 Mar 2016 16:41:57 +0200, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote:
Odosobniony nie, ale firma chce zarobic na certyfikatach (czy czymkolwiek innym), rynek zbytu sobie ustala amerykanski, aleinnych tez obsluguje ... i nie ma obowiazku z kazdym klientem w jegorodzimym jezyku gadac. Odwrotnie, jest to w jej interesie. Przypominam, że mówimy o przodownikach takich jak verisign czy thawte a nie o jakieś małej firemce spod Zielonki p.t. "certyfikaty - wyrób/naprawa" -- Marek |
|
Data: 2016-03-30 17:54:50 | |
Autor: J.F. | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Użytkownik "Marek" napisał w wiadomości grup dyskusyjnych:almarsoft.3847264959853171522@news.neostrada.pl...
On Wed, 30 Mar 2016 16:41:57 +0200, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote: Odosobniony nie, ale firma chce zarobic na certyfikatach (czy czymkolwiek innym), rynek zbytu sobie ustala amerykanski, ale innych tez obsluguje ... i nie ma obowiazku z kazdym klientem w jego rodzimym jezyku gadac. Odwrotnie, jest to w jej interesie. Przypominam, że mówimy o przodownikach takich jak verisign czy thawte a nie o jakieś małej firemce spod Zielonki p.t. "certyfikaty - wyrób/naprawa" Jesli ma w planach dzialalnosc swiatowa, to oczywiscie tak, ale przodownikiem mozna tez byc na samym amerykanskim rynku. Thawte np podaje US, UK, DE i FR. I moze jeszcze ZA. J. |
|
Data: 2016-03-30 10:49:49 | |
Autor: Piotr Gałka | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Użytkownik "J.F." <jfox_xnospamx@poczta.onet.pl> napisał w wiadomości news:56fb0c5c$0$642$65785112news.neostrada.pl... Dawno, dawno temu mBank opisywał jak należy się bezpiecznie logować i w ramach procedury było rzucenie okiem na "Odcisk". Się przyzwyczaiłem i zawsze zerkam (choć przeglądarki chowają to za coraz większą liczbę kliknięć). Zdarzyło mi się pytać mBank dlaczego Odcisk jest inny niż podany na ich stronie o bezpieczeństwie. Przeprosili i zaraz poprawili. P.G. |
|
Data: 2016-03-29 22:03:01 | |
Autor: Marek | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
On Tue, 29 Mar 2016 17:46:53 +0200, Piotr Gałka<piotr.galka@cutthismicromade.pl> wrote:
Ja to rozumiem tak. Chcę (mój komputer chce) ustanowić sesję zbankiem. Bank przysyła certyfikat który zawiera: Dane banku i jego kluczpubliczny, wszystko podpisane kluczem prywatnym przez jakąś organizację.Zawiera jeszcze coś istotnego? Jak weryfikowany jest certyfikat (ścieżka) już ktoś odpisał. Warto dodać, że kryptografia asymetryczna jest użyta tylko na początku jako tunel do bezpiecznej wymiany głównego klucza sesyjnego (symetrycznego), który jest używany do wymiany danych w połączeniu przeglądarka-serwer. -- Marek |
|
Data: 2016-04-01 23:39:27 | |
Autor: Arek | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Użytkownik "Marek" <fake@fakeemail.com> napisał w wiadomości news:almarsoft.8343496911835121259news.neostrada.pl...
On Tue, 29 Mar 2016 17:46:53 +0200, Piotr Skoro już o tym dyskusja - z czego to wynika? Kryptografia asymetryczna zabierała zbyt dużo czasu? Narzut na transmisję? Arek |
|
Data: 2016-04-01 18:50:58 | |
Autor: witek | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
On 4/1/2016 4:39 PM, Arek wrote:
Użytkownik "Marek" <fake@fakeemail.com> napisał w wiadomości aha. |
|
Data: 2016-04-02 01:05:59 | |
Autor: Marek | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
On Fri, 1 Apr 2016 23:39:27 +0200, "Arek" <abcdek@poczta.onet.pl.usun_cde.invalid> wrote:
Skoro już o tym dyskusja - z czego to wynika? Dokładnie, głównie z dwóch powodów. Symetyryczna praktycznie nie zwiększa wielkości zaszyfrowanej zawartości (kryptogramu) w stosunku do wielkości danych przed zaszyfrowaniem,asymetryczna zawiększa drastycznie wielkość kryptogramu (o 40-50% w zależności od użytego algorytmu). Stąd asymetryczna nie jest "ekonomiczna" przy dużej ilości danych do zaszyfrowania. Drugi powód to koszt obliczeniowy. Wspolczesny CPU ze sprzętowym wsparciem AESa jest w stanie szyfrować/deszyfrowac z prędkością 1-2 GB/s a ten sam cpu przy sofwarowym deszyfrowaniu asymeyrycznym z typowym kluczem 1024 bit nie wyciągnie więcej niż 0.5-1MB/s, różnica jest ogromna. -- Marek |
|
Data: 2016-03-29 22:32:12 | |
Autor: janek z pola | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹoĹźy na chĹopski rozum? | |
Piotr Gałka wrote:
Zażarta dyskusja pod tematem "Ciekawe orzeczenie - bank ma oddać kasę" o OK. Bank przysyła certyfikat który zawiera: Dane banku i jego klucz publiczny, Teraz ogólnie się spotyka często łańcuch certyfikatów - tzn. masz certyfikat danego serwera (jego klucz publiczny) oraz klucze publiczne centrów certfikacji, które podpisały ten klucz publiczny. Możesz sobie taki program openssl pobrać i czarnym okienku zrobić polecenie: openssl s_client -connect mbank.pl:443 Dostaniesz tenże łańcuch: Certificate chain 0 s:/1.3.6.1.4.1.311.60.2.1.3=PL/businessCategory=Private Organization/serialNumber=0000025237/C=PL/postalCode=00-950/ST=mazowieckie/L=Warszawa/street=Senatorska 18/O=mBank S.A./OU=mBank/CN=www.mbank.pl i:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 EV SSL CA - G3 1 s:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 EV SSL CA - G3 i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5 W outpucie będziesz miał też certyfikat tego serwera - zapisz sobie do jakiegoś pliku - np. ja sobie zapisałem do mbank.crt, potem takie polecenie: openssl x509 -in mbank.crt -noout -text Tam dostaniesz pełne dane certyfikatu: * CN - na jaką domenę jest ważny - oraz ogólnie nazwa tego certyfikatu * SAN - na jakie ewentualnie dodatkowe domeny jest ważny * Serial - numer seryjny certyfikatu w ramach danego klucza podpisującego * Issuer - kto podpisał - to jest ciąg znaków - nazwa klucza podpisującego * Validity - nie ważny przed data, nie ważny po dacie (dwie daty) * skrót klucza podpisującego - wiadomo kilka klucze może mieć tą samą nazwę * Public-Key - klucz publiczny będący esencją tego certyfikatu * Signature - podpis klucza podpisującego - czyli to, co uwiarygadnia cert * dodatkowo info o adresie listy odwołanych certyfikatów i ew. inne dane Chcę zweryfikować podpis - potrzebuję klucza publicznego tej organizacji. Ogólnie tak :D Dostaje od niej certyfikat, który zawiera jej dane i jej klucz publiczny, Dostajesz w zasadzie taką samą strukturę jak powyżej, tylko że jako CN nie jest podana już domena banku, tylko w cercie podpisującym cert banku jako CN jest podane to, co w cercie banku jest podane w polu "Issuer". Dodatkowo odcisk klucz publicznego (skrót) musi być taki sam - czyli to co w cercie banku jest podane jako "skrót klucza podpisującego" to w cercie podpisującym musi być rzeczywiście skrótem jego klucza publicznego.
Idziesz tą "drabinką" tak wysoko aż trafisz na taki certyfikat (dokładnie o takiej samej strukturze jak powyżej), któremu bezwarunkowo ufasz. Tak jak ktoś już tutaj napisał, te certy - znane jako RootCA - są zwykle zaszyte w sofcie komputera. Z tym są związane różne śmieszne historie: np. Lenovo dodawało do wszystkich sprzedawanych kompów jakieś swoje RootCA jako zaufane i serwowało reklamy po https w przeglądarce, deszyfrując pod spodem ruch https. Czyli po naszemu: robiło dokładnie to, co by robił złodziej bankowy, tylko że oni wstrzykiwali tam reklamy. Złodziej by wstrzykiwał jakiś komunikat typu "teraz podaj nam numer telefonu". Jak trafisz na zaufany cert w tym łańcuszku, to po pierwsze zwykle to będzie RootCA jakiegoś centrum certyfikacji, a po drugie to będzie jednocześnie prawie koniec drogi. Dodatkowo jest sprawdzana lista odwołanych certów - czyli CRL (trudno jasno ocenić czy nie można się pod to podszyć). Natomiast współczesne przeglądarki mają w sobie zaszyte skróty kluczy publicznych tych najbardziej popularnych witryn. Czyli nawet jak ktoś wstrzyknie Tobie trefne RootCA, to i tak przeglądarka się powinna zorientować w przypadku niektórych stron, że jest coś nie tak. Dodam tylko, że RootCA zwykle jest podpisane samo przez siebie, ale w sumie te czasy już minęły. Teraz jest tak, że RootCA jakie masz w systemie podane to jest tak naprawdę jakiś certyfikat podpisany jeszcze przez jakiś inny cert w danej firmie wystawcy - tzn. taki np. GeoTrust ma jakiś swój główny klucz prywatny, podpisuje tym swoje CA i odciski tego CA przesyła do firm, które produkują soft, żeby wrzuciły do przeglądarek.
Któremuś kluczowi publicznemu ufasz - tzn. w zasadzie któremuś certyfikatowi ufasz.
Tak. Wcześniej przesłane liczby losowe - a więc jawne (bo przed ustaleniem Kluczem sesji jest sekretna liczba. Powiedzmy wartość. Taka, żeby było ją trudno odgadnąć. Jak już wiesz, że ufasz danemu certowi, to wyciągasz z niego klucz publiczny i tą sekretną liczbę szyfrujesz tym kluczem. Serwer banku sobie odszyfrowuje i od tego momentu macie współdzieloną sekretną liczbę. Ona jest używana do symetrycznego szyfrowania (czyli szyfrowanie oraz deszyfrowanie za pomocą tego samego klucza) Wiadomo, że generator jest wystarczająco dobry? Nie wiadomo :D P.G. -- Wysłane z pola. |
|
Data: 2016-03-30 10:43:44 | |
Autor: Piotr Gałka | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Użytkownik "janek z pola" <adres@email.pl> napisał w wiadomości news:ndeoob$fsh$1gioia.aioe.org... :(Wiadomo, że generator jest wystarczająco dobry? Wysłane z pola. Dzięki. Druknąłem sobie i wrzuciłem w miejsce, co mi się (obecnie) wydaje, że jak bym kiedyś szukał to znajdę :). P.G. |
|
Data: 2016-04-03 19:25:16 | |
Autor: Borys Pogoreło | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹoĹźy na chĹopski rozum? | |
Dnia Tue, 29 Mar 2016 22:32:12 +0200, janek z pola napisał(a):
W outpucie będziesz miał też certyfikat tego serwera - zapisz sobie do jakiegoś pliku - np. ja sobie zapisałem do mbank.crt, potem takie polecenie: Można też kliknąć w kłódkę na pasku adresu przeglądarki i wyświetlić szczegóły certyfikatu, zamiast grepować kernele ;) -- Borys Pogoreło borys(#)leszno,edu,pl |
|
Data: 2016-03-31 07:43:32 | |
Autor: jureq | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Dnia Tue, 29 Mar 2016 17:46:53 +0200, Piotr Gałka napisał(a):
Wiadomo, że generator jest wystarczająco dobry? Zwróć uwagę, że standardy SSL są rozwijane i stare wersje przestają być używane. Właśnie dlatego, że w pewnym momencie przestały być wystarczająco dobre. |
|
Data: 2016-03-31 21:48:39 | |
Autor: Sebastian Biały | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
On 2016-03-29 17:46, Piotr Gałka wrote:
Przyznam, że liczę na odpowiedź od Sebastiana. Trole nie udzielają odpowiedzi, tylko generują dyskusję. Kiedy i jak ten proces się kończy? Czasem tutaj: http://www.computerworld.com/article/3007981/security/what-you-need-to-know-about-dells-root-certificate-security-debacle.html http://www.computerworld.com/article/3008521/security/a-second-dangerous-dell-root-certificate-discovered.html Ibecyli nie brakuje bez względu na wielkość korpo w których pracują. Opis na Wiki "Zasada działania SSL" jest tak napisany, jakby problem Jesli dostarczą Ci zły klucz publiczny, to dane nim zaszyfrowane nie zostaną poprawnie odtworzone przez klucz prywatny. Czyli nie ma nic groźniego w podmianie klucza - najwyżej nie zadziała. Wiadomo, że generator jest wystarczająco dobry? Ptaszki ćwierkają że dobre exploity NSA będą bazować (bazują?) na popsutych generatorach. Warto też wiedzieć że problem jest na tyle istotny, że można znaleźć kawalki hardware generujące liczby losowe w sposób bazujący na szumie termicznym, radiowym, inpucie usera itd, gdzieś widziałem dongla w USB poprawiającego /dev/random. Ogólnie mieszasz dwa problemy: klucze prywatny/publiczny pozwalają na bezpieczną komunikację w sytuacji gdy ktoś podsłuchuje. Certyfikaty natomiast pozwalają usunąc ataki Man in the Middle które bez nich były by trywialne. Problem w tym że jest to na tyle magiczne że doprowadziło do debilizmów jak na przykład mój bank twierdzi że wystarczy mieć kłódkę w przeglądarce i będziemy bezpieczni. Nie tak dawno widziałem lewą stronę która miała favicon.ico w wiesz-jakim-kształcie... PS. W tej dyskusji padło chyba już wszystko, więc nie bedę się produkować. |
|
Data: 2016-03-31 20:10:39 | |
Autor: witek | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
On 3/31/2016 2:48 PM, Sebastian Biały wrote:
Warto też wiedzieć że problem jest na tyle istotny, że można znaleźć aha https://en.wikipedia.org/wiki/Fortezza |
|
Data: 2016-04-01 14:27:35 | |
Autor: Piotr Gałka | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Użytkownik "Sebastian Biały" <heby@poczta.onet.pl> napisał w wiadomości news:ndjv1o$ug0$1node2.news.atman.pl...
Nie chodziło mi o błąd w kluczu, tylko celowo podłożony klucz Mana in the Middle. P.G. |
|
Data: 2016-04-01 19:46:16 | |
Autor: Sebastian Biały | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
On 2016-04-01 14:27, Piotr Gałka wrote:
Nie chodziło mi o błąd w kluczu, tylko celowo podłożony klucz Mana in Bez certyfikatów, fingerprintów etc taka metoda zadziała jesli MitM bedzie faktycznie po srodku komunikacji a klucze będą negocjowane w trakcie ataku. Jesli nie będą (np. dostaniesz klucz pocztą slimakową) to MinM niewiele można zrobić. |
|
Data: 2016-04-09 02:10:13 | |
Autor: Eneuel Leszek Ciszewski | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
"Piotr Gałka" nde816$2kk$1$PiotrGalka@news.chmurka.net https://www.google.pl/search?newwindow=1&q=t%C5%82umacz&oq=t%C5%82umacz&gs_l=serp.3..35i39j0l4j0i3j0l4.277948.279758.0.280323.7.7.0.0.0.0.431.1016.4j2j4-1.7.0....0...1c.1.64.serp..0.7.1013.XPJuQHAcxMk https://translate.google.pl/?hl=pl Ponoć samodzielnie rozpoznaje język... ;) Nie wiem niestety, czy tłumaczy także na chłopski... -- .`'.-. ._. http://eneuel.w.duna.pl .-. .'O`-' ., ; o.' http://danutac.eu '.O_' `-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`., o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/.... |
|
Data: 2016-04-09 11:22:10 | |
Autor: Piotr Gałka | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Użytkownik "Eneuel Leszek Ciszewski" <prosze@czytac.fontem.lucida.console> napisał w wiadomości news:ne9hl3$4e4$2node2.news.atman.pl... :) P.G. |
|
Data: 2016-04-09 16:39:41 | |
Autor: Animka | |
SSL - ktoĹ bÄdzie tak miĹy i przeĹ oĹźy na chĹopski rozum? | |
W dniu 2016-04-09 o 11:22, Piotr Gałka pisze:
To sobie sprawdź. Może Ci nawet przeczytać. -- animka |
|
Data: 2016-04-11 09:54:46 | |
Autor: Piotr Gałka | |
SSL - ktoś będzie tak miły i przełoży na chłopski rozum? | |
Użytkownik "Animka" <animka@tonieja.wp.pl> napisał w wiadomości news:570918c0$0$22833$65785112news.neostrada.pl...
W dniu 2016-04-09 o 11:22, Piotr Gałka pisze: Odpowiadasz mi, czy Enuelowi? P.G. |
|