Сообщений в теме: 158

[pkikz]

Да ну? С чего это? Кто мешает сгенерить самоподписной SSL сертификат для ВЕБ-сайта?
Мне не нужна система банк-клиент, мне только нужно, чтобы пользователь ввел данные своей кредитки в мою ВЕБ-форму... А для пущей убедительности доступ к этой ВЕБ форме сделать по https...

никто не мешает Вам сгенерить свой SSL сертификат. Но если Вы можете значит и любой может. Как пользователю определить что это именно Ваш SSL сертификат. Поэтому и нужно получать SSL сертификат в доверенном УЦ. Далее пользователь будет доверять только доверенному УЦ, сертификат которого установлен у него на компе. И когда пользователь попытается зайти на сайт то браузер автоматически построит цепочку до доверенного УЦ и произведет аутентификацию.
Если пользователь зайдет на Сайт где самоподписанный SSL сертификат то браузер не сможет проверить сертификат сайта и предложит пильзователю выбрать доверять данному сертификату или нет.
УЦ для этого и нужен для того чтобы идентифицировать пользователя и подписать проверенные данные(данные пользователя и открытый ключ), результатом которого получается сертификат.
Если каждый сайт начнет выпуска сам себе SSL сертификат то пользователи не смогут однозначно идентифицировать сайт.
надеюсь тема раскрыта, по поводу того что SSL сертификаты нужно получать в доверенном УЦ.

Сообщение отредактировал pkikz: 21.05.2009, 17:10:49

[topcraze]

Вам сгенерить свой SSL сертификат. Но если Вы можете значит и любой может. Как пользователю определить что это именно Ваш SSL сертификат......

+1... хорошо объяснили ...

[Den_KZ]

Да ну? С чего это? Кто мешает сгенерить самоподписной SSL сертификат для ВЕБ-сайта?
Мне не нужна система банк-клиент, мне только нужно, чтобы пользователь ввел данные своей кредитки в мою ВЕБ-форму... А для пущей убедительности доступ к этой ВЕБ форме сделать по https...

никто не мешает Вам сгенерить свой SSL сертификат. Но если Вы можете значит и любой может. Как пользователю определить что это именно Ваш SSL сертификат. Поэтому и нужно получать SSL сертификат в доверенном УЦ. Далее пользователь будет доверять только доверенному УЦ, сертификат которого установлен у него на компе. И когда пользователь попытается зайти на сайт то браузер автоматически построит цепочку до доверенного УЦ и произведет аутентификацию.

Да все правильно так и есть...

Если пользователь зайдет на Сайт где самоподписанный SSL сертификат то браузер не сможет проверить сертификат сайта и предложит пильзователю выбрать доверять данному сертификату или нет.
УЦ для этого и нужен для того чтобы идентифицировать пользователя и подписать проверенные данные(данные пользователя и открытый ключ), результатом которого получается сертификат.
Если каждый сайт начнет выпуска сам себе SSL сертификат то пользователи не смогут однозначно идентифицировать сайт.
надеюсь тема раскрыта, по поводу того что SSL сертификаты нужно получать в доверенном УЦ.

Да это все понятно...

Но я сейчас пытаюсь донести до topcraze несколько другое...
Я не могу проверить валидность архива, с сертификатами на сайте НУЦ...
Они доступны по простому http... без потверждения подлинности сайта...


Расмотрим модель злоумышленника (3) и пользователя (П).
Пользователь самый обычный, в деталях работы ЭЦП не разбирается...

"З" хочет войти в доверие к "П", его действия:
1) Генерим сертификат "липового" УЦ, по внешним признакам похожий на настоящий, и сами подписываем его...
2) Выдаем себе пользовательский сертификат на SSL подписанный "липовым" УЦ...
3) Теперь самое сложное, нужно заставить пользователя поместить сертификат "липового" УЦ в его хранилище доверенных УЦ... Как это можно сделать - самый простой вариант отправить пользователю письмо с просьбой обновить сертификат в его хранилище... и дать сслылку на настоящую страницу, при этом нужно организовать фэйк страницу и путем атаки на его DNS вынудить скачать сертификат "липового" УЦ с нее...
На данный момент, на сайте НУЦ при скачивании архива с сертификатами нельзя никак проверить, что это действительно сайт НУЦ, а не фэйк...
4) При установке проблем не возникнет... сертификаты настоящий и липовый не будут конфликтовать. Для ОС это будут два разных корневых сертификата, две разные цепочки доверия, и им обоим можно доверять...
5) Теперь осталось заманить маркетингом пользователя на свой сайт... он пройдет проверку на подлинность...

Где я не прав в теории ?

P. S.
Это только теория, в Казахстане нет развитой электронной коммерции на сегодняшний день...
И не имеет практического смысла сейчас это затевать... но такой вариант возможен...

Сообщение отредактировал Den_KZ: 21.05.2009, 19:54:51

[pkikz]

Но я сейчас пытаюсь донести до topcraze несколько другое...
Я не могу проверить валидность архива, с сертификатами на сайте НУЦ...
Они доступны по простому http... без потверждения подлинности сайта...


Расмотрим модель злоумышленника (3) и пользователя (П).
Пользователь самый обычный, в деталях работы ЭЦП не разбирается...

"З" хочет войти в доверие к "П", его действия:
1) Генерим сертификат "липового" УЦ, по внешним признакам похожий на настоящий, и сами подписываем его...
2) Выдаем себе пользовательский сертификат на SSL подписанный "липовым" УЦ...
3) Теперь самое сложное, нужно заставить пользователя поместить сертификат "липового" УЦ в его хранилище доверенных УЦ... Как это можно сделать - самый простой вариант отправить пользователю письмо с просьбой обновить сертификат в его хранилище... и дать сслылку на настоящую страницу, при этом нужно организовать фэйк страницу и путем атаки на его DNS вынудить скачать сертификат "липового" УЦ с нее...
На данный момент, на сайте НУЦ при скачивании архива с сертификатами нельзя никак проверить, что это действительно сайт НУЦ, а не фэйк...
4) При установке проблем не возникнет... сертификаты настоящий и липовый не будут конфликтовать. Для ОС это будут два разных корневых сертификата, две разные цепочки доверия, и им обоим можно доверять...
5) Теперь осталось заманить маркетингом пользователя на свой сайт... он пройдет проверку на подлинность...

Где я не прав в теории ?

P. S.
Это только теория, в Казахстане нет развитой электронной коммерции на сегодняшний день...
И не имеет практического смысла сейчас это затевать... но такой вариант возможен...

Если пользователь не разбирается, и загрузит себе в доверенное хранилище сертификат УЦ которому он не доверяет, то этот пользователь сам виноват и бороться с этим бессмыслено. Поэтому этот вариант атаки пройдет в любом случае, пользователю нужно самому следить что за сертификаты УЦ он устанавливает себе на компьютер.
Атака на DNS и подмена IP далеко не самый легкий способ атаки. Но если это произойдет, нужно еще чтобы у пользователя был установлен сертификат липового УЦ, а сделать это трудно!!!
В любом случае пользователь должен доверять одному УЦ и получить сертификат УЦ в доверенном месте, например как ранее писали в ЦОН.
а архивы с доверенными УЦ можно подписать сертификатом УЦ или пользователем у которого есть соответствующие права(OID) Об этом должно быть написано в регламенте УЦ.

MODERATORIAL [gosh]

цитаты режем

Сообщение отредактировал gosh: 22.05.2009, 09:39:14

[topcraze]

Расмотрим модель злоумышленника (3) и пользователя (П).
Пользователь самый обычный, в деталях работы ЭЦП не разбирается...

уфф... я не говорю о том, что это невозможно... я говорю о том, что это слишком трудоемко и бессмысленно... ..

Теперь осталось заманить маркетингом пользователя на свой сайт... он пройдет проверку на подлинность...

ключи пользовательские как выдадите? от своего УЦ? ...

[Den_KZ]

Теперь осталось заманить маркетингом пользователя на свой сайт... он пройдет проверку на подлинность...

ключи пользовательские как выдадите? от своего УЦ? ...

Не нужно пользователю выдывать ключи, речь идет о SSL сертификате сайта,
который злоумышленник сам себе и выдаст, ведь "липовый" УЦ у него под контролем...

[topcraze]

Не нужно пользователю выдывать ключи, речь идет о SSL сертификате сайта,
который злоумышленник сам себе и выдаст, ведь "липовый" УЦ у него под контролем...

Для того, чтобы установить SSL-соединение, необходимо иметь пару открытый/закрытый ключ, причем пара эта должна быть выпущена тем УЦ, ключи которого установлены на сервере...
что имеется в данном случае?
1) Сервер: фейковый самоподписанный сертификат с фейковыми ключами
2) Пользователь: ключи от реального УЦ и фейковый самоподписанный сертификат...
если я не права, ссылку в студию, описывающую эту ситуацию..

[pkikz]

Не нужно пользователю выдывать ключи, речь идет о SSL сертификате сайта,
который злоумышленник сам себе и выдаст, ведь "липовый" УЦ у него под контролем...

проблему выпуска SSL сертификата разобрали выше, и вроде все согласились что SSL сертификат нужно выпускать в доверенном УЦ а не использовать самоподписанный SSL сертификат УЦ.

проблему получения доверенного сертификата УЦ тоже разобрали выше.
за доверенные сертификаты установленные на компьюторе пользователя отвечает сам пользователь, и если пользователь загрузить в доверенное хранилище сертификат УЦ которому он не доверяет, то это проблема пользователя!

Сообщение отредактировал pkikz: 22.05.2009, 16:17:00

[MSERGEY]

To pkikz:

Такой вопрос как можно доверять самоподписанному сертификату УЦ если он выложен на сайте проверить подлинность которого у меня нет возможности?

To topcraze:

1) Сервер: фейковый самоподписанный сертификат с фейковыми ключами
2) Пользователь: ключи от реального УЦ и фейковый самоподписанный сертификат...

Это как раз та ситуация когда ни у пользователя ни у злоумышлиника ничего не получится.
У пользователя должны быть ключи от того же центра что и у злоумышлиника.

Вообще сертификат корневого УЦ (CA1) нужно передовать через доверенное лицо т.е. его нужно получать в личном присутствии.
Опишу ситуацию:
Есть УЦ который выпускает сертификаты для пользователей и компаний которые хотят заниматься какими либо услугами в интернете. Для доступа на его сайт используется сертификат выданный другим УЦ (к примеру Verisign). Вроде бы пользователь может доверять скачанному сертификату ЦС с сайта. Но тут появился злоумышленник который для своего сайта тоже взял сертификат выданный доверенным УЦ (Verisign) он на основе Windows CA развернул копию корневого УЦ (CA1) сделал фейк страницы закачки сертификата УЦ и подстроил так чтобы пользователь получил у него себе сертификат и скачал у него сертификат УЦ (при этом пользователь зайдя на страничку будет так же уверен в достоверности полученной информации). Далее он заманил пользователя с его ключами и сертификатами на свой "типа" электронный магазин и украл у него деньги с кредитки.
Мы все понимаем что такое проделать практически невозможно, но если задастся целью то все осуществимо.

To Den_KZ:
Паранойя должна привести к тому что нужно пойти 1 раз и получить сертификат корневого УЦ в личном присутствии, никакая защита в интернете не может дать 100% гарантии.

Сообщение отредактировал MSERGEY: 22.05.2009, 17:57:26

[topcraze]

Опишу ситуацию:......

да.. это так.. ... с ключами осуществимо

[Den_KZ]

То MSERGEY

Только с УЦ Verisign этот фокус не пройдет, по одной причине: -
Сертификат УЦ Verisign и многих других УЦ, в том числе корневых УЦ многих стран уже присутствует в хранилище доверенных сертификатов на машине у пользователя... О этом позаботилась, в случае с Windows - Microsoft. А в случае с другими ОС - производители этих ОС... Причем списки доверяемых корневых сертификатов регулярно обновяются, производителями ОС....
А в случае с НУЦ - такое возможно...
Причем не нужно брать никаких сертификатов, файл с корневыми сертификатами НУЦ, на данный момент доступен по простому http.

To Den_KZ:
Паранойя должна привести к тому что нужно пойти 1 раз и получить сертификат корневого УЦ в личном присутствии, никакая защита в интернете не может дать 100% гарантии.

Все верно...

Сообщение отредактировал Den_KZ: 22.05.2009, 19:14:35

[pkikz]

в дальнейшем добавим в дистрибутив операционки Windows сертификат НУЦ.

а пока можно и так работать.

[Den_KZ]

[quote name='pkikz' post='8697387' date='22.05.2009, 19:18']
в дальнейшем добавим в дистрибутив операционки Windows сертификат НУЦ.

а пока можно и так работать.
[/quote]
Ну тогда уж лучше не НУЦ, а УЦ РК... так логичнее будет...

Вопрос:
А что Вам мешает, пока Вы не подписали соглашение с Микрософт и они не добавили сертификат НУЦ в список корневых УЦ, получить SSL сертификат у того же Verisign на свой сайт, и разместить архив с Вашими корневыми сертификатами в зоне с SSL HTTPS ?
ИМХО всяко безопаснее и вызывает больше доверия... [quote]

Кстати так некоторые компании и делали, кому нужна была ассиметричная криптография в технологических целях. Покупать сертификат на свой УЦ и сертифицировать его у Verisign было дорого и собственно не особо нужно... Они разворачивали свой локальный корневой УЦ, его сертификат выкладывали на своем ВЕБ-сайте, а на сайт уже получали SSL сертификат у Verisign...
Просто и достаточно безопасно...

[pkikz]

[quote name='Den_KZ' date='22.05.2009, 20:14' post='8697833']

Ну тогда уж лучше не НУЦ, а УЦ РК... так логичнее будет...

Вопрос:
А что Вам мешает, пока Вы не подписали соглашение с Микрософт и они не добавили сертификат НУЦ в список корневых УЦ, получить SSL сертификат у того же Verisign на свой сайт, и разместить архив с Вашими корневыми сертификатами в зоне с SSL HTTPS ?
ИМХО всяко безопаснее и вызывает больше доверия... [quote]

Кстати так некоторые компании и делали, кому нужна была ассиметричная криптография в технологических целях. Покупать сертификат на свой УЦ и сертифицировать его у Verisign было дорого и собственно не особо нужно... Они разворачивали свой локальный корневой УЦ, его сертификат выкладывали на своем ВЕБ-сайте, а на сайт уже получали SSL сертификат у Verisign...
Просто и достаточно безопасно...
[/quote]

назвали НУЦ что значит Национальны, можно было и УЦ РК назвать, но какая разница.

пользователи которые заботятся о своей безопасности, могут прийти в ЦОН и получить самоподписанный сертификат НУЦ.
получить SSL сертификат в Verisign можно, но особого смысла не вижу, если пользователь поставил себе задачу сделать все правильно то он может прийти в ЦОН получить сертификат НУЦ, далее установить себе на компьютер и подать заявку через интернет на выпуск сертификата.

кто нибудь был в Verisign (офис в Австралии)?

Сообщение отредактировал pkikz: 22.05.2009, 22:31:29

[Den_KZ]

пользователи которые заботятся о своей безопасности, могут прийти в ЦОН и получить самоподписанный сертификат НУЦ.
получить SSL сертификат в Verisign можно, но особого смысла не вижу, если пользователь поставил себе задачу сделать все правильно то он может прийти в ЦОН получить сертификат НУЦ, далее установить себе на компьютер и подать заявку через интернет на выпуск сертификата.

Понимаете, если я захочу открыть Интернет магазин, даже ориентированный на внутренний рынок КЗ, мне нет пока смысла брать SSL сертификат у НУЦ...

Стоимость SSL сертификата у зарубежных УЦ составляет 250 USD в год, или 1100 USD на 5 лет...

Даже если я на первой странице укажу что для проверки валидности моего магазина нужно поставить корневой сертификат НУЦ, часть пользователей, которым уже объяснили, что не стоит доверять в вопросах безопасности, источнику не заслуживающему доверия - сайт НУЦ никак пока себя не авторизует... Не установят Ваш сертификат... И ножками не пойдут в ЦОН, если им не нужен свой личный юридический действующий сертификат, для работы с гос органами...

А для получения простейшего сертификата для E-Mail, достаточно бесплатного Thawte Personal E-mail Certificate...

ИМХО, для НУЦ на первом этапе, пока Ваш сертификат не попал в списки, поставляемые с ОС, было бы логично получить SSL сертификат на сайт, хотя бы на ту часть откуда скачивается архив с Вашим корневым сертификатом, у зарубежного УЦ...
Больше доверия - больше пользователей...

кто нибудь был в Verisign (офис в Австралии)?

А зачем ?
Я доверяю дистрибутиву Windows... полученному через официальные каналы, такой диск красивый, с голограммой... подделок еще не встречал...

Сообщение отредактировал Den_KZ: 22.05.2009, 23:53:11

[MSERGEY]

To: Den_KZ:

ИМХО, для НУЦ на первом этапе, пока Ваш сертификат не попал в списки, поставляемые с ОС, было бы логично получить SSL сертификат на сайт, хотя бы на ту часть откуда скачивается архив с Вашим корневым сертификатом, у зарубежного УЦ...

Что мне мешает как злоумышлинику тоже получить сертификат у Verisign? И когда пользователь будет заходить на фейк страницу для скачивания корневого сертифика эта страничка будет на вид и по безопастности такой же...

Больше доверия - больше пользователей...

Любое доверие в интернете обманчиво.
Как специалисту по PKI (имею соответствующие образование и опыт работы) покупка сертификата у Verisign будет лишней тратой денег, злоумышлиника это не остановит.
На текущий момент развитие IT индустрии не сильно развито и если пользователь заботится о безопастности он пойдет и получит диск в ЦОН-е, остальные без задней мысли скачают все ПО из интернета и будут пользоваться спокойно.

[pkikz]

Понимаете, если я захочу открыть Интернет магазин, даже ориентированный на внутренний рынок КЗ, мне нет пока смысла брать SSL сертификат у НУЦ...

Стоимость SSL сертификата у зарубежных УЦ составляет 250 USD в год, или 1100 USD на 5 лет...

для работ с пользователями через интернет магазин у пользователя должен быть сертификат. Если пользователь получит сертификат НУЦ то у него на компьютере будет уже стоять корневой сертификат НУЦ.
для работы с интернет магазинов предусмотрен Шлюз электронного правительства, который будет принимать квитанции на оплату счетов и отправлять их в банк, банк в свою очередь будет списывать деньги с личного счета пользователя на счет интернет магазина.

SSL сертификат в НУЦ можно получить бесплатно.
см. соответствующую политику применения регистрационных свидетельств.
http://www.pki.gov.k...ts/download/npa

[Zaporozes]

Чёт почитал, аж страшно стало, а если необязательно смущать пользователя вопросом о доверии заразив его машину заточенным для этих целей вирусом? всё нужное злоумышленнику установится без уведомления пользователя.

Сразу вспомнил про флешку принесённую с компа госоргана с документами для распечатки на котором мой антивирусник нашёл вирус. И не раз, и вирусы были разные, и кажется один вирус мой антивирусник проморгал, мне кажется.

[pkikz]

Чёт почитал, аж страшно стало, а если необязательно смущать пользователя вопросом о доверии заразив его машину заточенным для этих целей вирусом? всё нужное злоумышленнику установится без уведомления пользователя.

Сразу вспомнил про флешку принесённую с компа госоргана с документами для распечатки на котором мой антивирусник нашёл вирус. И не раз, и вирусы были разные, и кажется один вирус мой антивирусник проморгал, мне кажется.

Для этих целей есть аппаратные носители ключевой информации, которые на своем борту обрабатывают всю криптографию и выдают наружу только результат. Например eToken 32K может хранить на борту закрытый ключ RSA, и с него не возможно сделать экспорт закрытого ключа. С ГОСТ намного сложнее, так как стандартных носителей с поддержкой аппаратного решения гост нет, Есть eToken Java 64K который может хранить на борту любую криптографию но для этого необходимо разрабатывать специальный плагин а для гос органов еще и сертифицировать его.
В любом случае решения есть, а пользователь сам должен позаботиться о своем закрытом ключе(чтобы его никто не украл). Информационные системы так же должны выдвигать требования к носителям ключевой информации, так как это касается функционирования информационной системы.

[Zaporozes]

Ничего не понял, но всё равно спасибо за ответ
ан нет доходит кажется, после третьего прочтения т.е в Казахстане невозможно полностью обезопасить себя от редисок

А как такой сценарий? http://www.cybersecu...ypto/56405.html у нас возможен?

Сообщение отредактировал Zaporozes: 25.05.2009, 00:42:38