информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetСетевые кракеры и правда о деле ЛевинаВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / hacking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Полагаю, что при использовании подтверждения подлинности... 13.01.09 18:55  Число просмотров: 3379
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Полагаю, что при использовании подтверждения подлинности сертификата через ЦС есть вероятность подтверждения подложного сертификата подложным сервером ЦС, если пользователь резолвит DNS имена через скомпрометированный DNS сервер, где подменили адрес сервера ЦС и сервера Веб-Мани.

Таким образом, "ручное" помещение самоподписного сертификата, как доверенного, в хранилище сертификатов на рабочем компе позволяет хоть как-то снизить риски атаки на твой кошелек.
<hacking>
SSL сертификаты "нормальные" vs самоподписные 13.01.09 18:34  
Автор: wildwind Статус: Незарегистрированный пользователь
Отредактировано 13.01.09 18:41  Количество правок: 1
<"чистая" ссылка>
Собираюсь пользоваться системой Вебмани, взвешиваю +/- и т.д. и вот такой момент хочется обсудить.

Их корневой сертификат самоподписной, т.е. все заверенные им сертификаты ОС и браузеры его просто так не признают. Для нормальной работы нужно скачать его и установить в хранилище, тогда будут проверяться как валидные и серверные и персональные сертификаты. Чтобы это не было совсем дырой, ссылка для скачивания корневого сертификата защищена уже нормальным сертификатом, заверенным Thawte. (вот ссылка https://www.wmcert.com/Cert/cert.wmtransfer.com_WebMoney%20Transfer%20Root%20Authority.crt)

Вопрос состоит в том, насколько такая схема слабее или наоборот лучше по сравнению с нормальным корневым сертификатом, заверенным известным корневым ЦС. Почему они выбрали именно такую схему. Должен заметить, что не они одни, например моя контора сделала так же :).

Я додумался только до одной причины. В случае каких-то проблем с вышестоящим ЦС, с тем же Thawte, он может попортить мне (конторе) жизнь, например отозвав мой корневой сертификат. Что мне тогда делать - только менять все остальные сертификаты? Или есть какой-то способ сохранить работоспособность моей цепочки? Например чтобы персональные сертификаты юзеров нормально валидировались на сервере.

Кто что думает?
Задача всей инфраструктуры сертификатов - аутентификация. А для этой задачи необходимы доверие и арбитраж. 03.02.09 00:41  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Поэтому корневые центры необходимы. Сертификаты крупных коммерческих центров уже включены в саму Вин. Поэтому или принять предлагаемую МС сеть центров или же создать свою :)


> Собираюсь пользоваться системой Вебмани, взвешиваю +/- и
> т.д. и вот такой момент хочется обсудить.
>
> Их корневой сертификат самоподписной, т.е. все заверенные
> им сертификаты ОС и браузеры его просто так не признают.
> Для нормальной работы нужно скачать его и установить в
> хранилище, тогда будут проверяться как валидные и серверные
> и персональные сертификаты. Чтобы это не было совсем дырой,
> ссылка для скачивания корневого сертификата защищена уже
> нормальным сертификатом, заверенным Thawte. (вот ссылка
> https://www.wmcert.com/Cert/cert.wmtransfer.com_WebMoney%20
> Transfer%20Root%20Authority.crt)
Думаю, для задач, которые предоставляет вебмани этой схемы достаточно.



>
> Вопрос состоит в том, насколько такая схема слабее или
> наоборот лучше по сравнению с нормальным корневым
> сертификатом, заверенным известным корневым ЦС. Почему они
> выбрали именно такую схему. Должен заметить, что не они
> одни, например моя контора сделала так же :).
>
> Я додумался только до одной причины. В случае каких-то
> проблем с вышестоящим ЦС, с тем же Thawte, он может
> попортить мне (конторе) жизнь, например отозвав мой
> корневой сертификат. Что мне тогда делать - только менять
> все остальные сертификаты? Или есть какой-то способ
> сохранить работоспособность моей цепочки? Например чтобы
> персональные сертификаты юзеров нормально валидировались на
> сервере.

Для каких целей ваша контора использует СА? Если для внутренних - то внутреннего сертификата будет достаточно. Хотя есть риски. Если вы организуете электронный документооброт (это когда не хранилище файлов и оригиналы бумажные, а когда бумажных оригиналов нет :) ) могут возникнуть вопросы при судебных спорах между работодателем и сотрудником. Тк к самоподписный сертификат быстрее всего не пройдет экспертизу и эл документ может быть признан не правомочным.

Если же есть внешние - необходимо наличие валидного коммерческого сертификата. Для тех же целей арбитража.
Клиент оспорил в суде оплату конторе услуги, подписанную... 04.02.09 11:24  
Автор: lazy_anty Статус: Member
<"чистая" ссылка>
> Хотя есть риски. Если вы организуете электронный
> документооброт (это когда не хранилище файлов и оригиналы
> бумажные, а когда бумажных оригиналов нет :) ) могут
> возникнуть вопросы при судебных спорах между работодателем
> и сотрудником. Тк к самоподписный сертификат быстрее всего
> не пройдет экспертизу и эл документ может быть признан не
> правомочным.
Клиент оспорил в суде оплату конторе услуги, подписанную локальным сертификатом.
В защиту контора представила в суд еще два документа, подписанных со своей стороны тем же сертификатом - согласие клиента на работу с данной системой и согласие начала работы с пакетом ПО для электронной оплаты.
Юрист со стороны конторы спросил - если и эти два документа признаются недействительными, на тех же самых условиях, означает ли это, что договора между клиентом и конторой вообще нет? Суд признал спорную сделку.
Полагаю, что при использовании подтверждения подлинности... 13.01.09 18:55  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Полагаю, что при использовании подтверждения подлинности сертификата через ЦС есть вероятность подтверждения подложного сертификата подложным сервером ЦС, если пользователь резолвит DNS имена через скомпрометированный DNS сервер, где подменили адрес сервера ЦС и сервера Веб-Мани.

Таким образом, "ручное" помещение самоподписного сертификата, как доверенного, в хранилище сертификатов на рабочем компе позволяет хоть как-то снизить риски атаки на твой кошелек.
Пользователь вроде бы ничего не резолвит кроме сайта куда... 13.01.09 19:23  
Автор: wildwind Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Полагаю, что при использовании подтверждения подлинности
> сертификата через ЦС есть вероятность подтверждения
> подложного сертификата подложным сервером ЦС, если
> пользователь резолвит DNS имена через скомпрометированный
> DNS сервер, где подменили адрес сервера ЦС и сервера
> Веб-Мани.

Пользователь вроде бы ничего не резолвит кроме сайта куда заходит, т.к. вся цепочка для проверки уже лежит в его хранилище. В этом ведь, если я правильно понимаю, основное преимущество сертификатов, заверенных крупными коммерческими ЦС.
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach