Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Турецкий CA случайно выдал сертификат для google.com 08.01.13 23:00
Publisher: dl <Dmitry Leonov>
|
Турецкий CA случайно выдал сертификат для google.com
InfoWorld http://podcasts.infoworld.com/d/security/rogue-google-ssl-certificate-not-used-dishonest-purposes-turktrust-says-210146
Точнее, вместо обычного SSL-сертификата Turktrust полтора года назад выдал своим клиентам два так называемых subordinate CA-сертификата, которые позволяли своим владельцам в свою очередь раздавать сертификаты для любых доменов, которые принимались всеми, кто доверял "родительскому" сертификату. Что открывает очевидные возможности для атаки класса man-in-the-middle. Обнаружили это в Гугле, когда один из клиентов таки выдал сертификат для google.com.
По этому поводу Гугль, Mozilla и Microsoft уже обновили свои браузеры на предмет блокировки тех двух злополучных сертификатов, а Turktrust заверил, что сгенерированный сертификат для google.com не использовался для зловредных целей, мамой клянемся.
Полный текст
|
|
А ведь как красиво всё было задумано в теории ;) 11.01.13 09:08
Автор: HandleX <Александр М.> Статус: The Elderman
|
Централизованные CA в качестве своей сильной фишки приводят в пример возможность отзыва по каким-либо причинам своих сертификатов, а тут инициатива идёт "снизу" — производители клиентского ПО лепят какие-то фильтры неугодных им сертификатов...
Забавно, куда катится этот мир? Всё идёт к децентрализации CA, чтобы тот, кого удостоверяет сертификат, сам же им и управлял, и только он.
|
| |
К децентрализации идет ВСЕ 17.01.13 15:41
Автор: Zef <Alloo Zef> Статус: Elderman
|
|
Поскольку централизованными системами таких масштабов управлять не возможно. Вот, TCP-IP изначально концептуально децентрализован, теми силен. Пиринг децентрализован, потому и непобедим.
|
| | |
«Пиринг децентрализован... поэтому непобедим...» — очень хорошо. 17.01.13 23:42
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 18.01.13 20:19 Количество правок: 3
|
Тот же namecoin, например, умеет децентрализованно хранить имена доменов и сертификаты... А bitcoin доказывает каждой своей транзакцией, что эту идею можно применять даже для такой серьёзной штуки, как платёжное средство.
Жаль только, namecoin неразвит. В отличие от биткоина, который прямо-таки порвал шаблон -)
шок сенсация panic buy ;)
|
| | | |
"Шаблон", как раз-таки - децентрализация. 19.01.13 06:05
Автор: Zef <Alloo Zef> Статус: Elderman
|
TCP-IP и роутинг полностью децентрализованы, каждый роутер принимает решение о передаче пакета автономно. Потомувсе и работает в сетях любого масштаба и влюбом мало-мальски работоспособном состоянии. А централизованный ДНС, какизвестно, самое уязвимое звено.
Просто, у человека психоз централизации вопреки всякой логике. У меня давно сложилось такое впечатление, что большинство из нас подсознательно не считает себя разумными и способными принимать сознательные решения.
|
| | | | |
Я иногда тебя не понимаю. 20.01.13 01:52
Автор: Den <Denis> Статус: The Elderman
Отредактировано 20.01.13 01:52 Количество правок: 1
|
> TCP-IP и роутинг полностью децентрализованы, каждый роутер
> принимает решение о передаче пакета автономно. Потомувсе и
> работает в сетях любого масштаба и влюбом мало-мальски
> работоспособном состоянии. А централизованный ДНС,
> какизвестно, самое уязвимое звено.
Я иногда тебя не понимаю. Во-первых - где ты видел централизованный DNS? Такое существовало только в "младенчестве" проекта "DARPA". Сейчас DNS'ы не только децентрализованы, но и практически каждая организация, имеющая серьезную теле-инфокоммуникационную сеть, имеет свой DNS и не один.
> Просто, у человека психоз централизации вопреки всякой
> логике. У меня давно сложилось такое впечатление, что
> большинство из нас подсознательно не считает себя разумными
> и способными принимать сознательные решения.
Касательно CA это совсем не психоз, а вполне разумное решение. Всё просто... Скольким людям ты можешь доверять? Только себе и своим родителям, не так ли? Если тебе предоставляют документ или удостоверение гос.образца без признаков подделки, сколько у тебя оснований не верить предъявителю? Лично я считаю, что чем меньше удостоверяющих центров и чем они надежнее, тем лучше.
|
| | | | | |
«Чем они надежнее, тем лучше» — кто будет мерять их надёжность и "более лучшесть"? ;) 20.01.13 11:53
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 20.01.13 12:01 Количество правок: 1
|
Турки облажались... И наверное не потому, что турки или что рожей не вышли. Голландцы до этого тоже чудили, видимо трава там забористая. Причин компроментации может быть множество. Но! Складывается парадоксальная ситуация: приходится доверять CA как чёрным ящикам, только на основе статистики их предыдущей работы (т.н. "репутации"). А мы кликаем мышой по "доверенным" сайтам здесь и сейчас, абсолютно не зная текущую ситуацию в CA: болит ли голова у топа и он принял интересное решение, их недавно купили с потрохами безбашенные типы, и там сейчас везде ходят подозрительные рожи и т.п.
> Если тебе предоставляют документ или удостоверение гос.образца без признаков подделки, сколько у тебя оснований не верить предъявителю?
В нашем смишном мире что только не бывает — да блин на типографии гоззнака рабочий решил левака загнать ;) Вот реально, я ничему не удивляюсь, ничего святого. Деньги, деньги, деньги.
> Лично я считаю, что чем меньше удостоверяющих центров и чем они надежнее, тем лучше.
Нет абсолюта и не от чего отталкиваться... Кто будет мерять "надёжность" и более лучшесть? По каким критериям производители клиентского ПО (браузеров как яркий пример) включают поддержку того или иного CA: зачесалась левая пятка или занесли мешок бабла? До сих пор считаешь, что "им лучше знать"? Распределёнка снимала бы эти вопросы, устанавливала всем равные права и была бы абсолютно прозрачной. Ну и всё-таки, быть CA — это тяжкая ответственность, врагу не пожелаешь. И было бы прекрасней размазать эту ответственность тонким слоем по всем, кто заинтересован в работе такого CA, но самую жирную часть — на удостоверяемого!
|
| | | | | | |
"Прозрачна" только пустота. 22.01.13 04:11
Автор: Zef <Alloo Zef> Статус: Elderman
|
> Распределёнка снимала бы эти вопросы,
> устанавливала всем равные права и была бы абсолютно
> прозрачной. Ну и всё-таки, быть CA — это тяжкая
> ответственность, врагу не пожелаешь. И было бы прекрасней
> размазать эту ответственность тонким слоем по всем, кто
> заинтересован в работе такого CA, но самую жирную часть —
> на удостоверяемого!
Ниче не выйдет при таких объемах информации. Реально проанализировать все "за" и "против" не возможно. Нужно переходить к иной модели самогО поведения в сети: "Все ненадежно и равноопасно". Как известно, TCP-IP создавался именно на этом принципе как связь в условиях войны. Тем и жив.
|
| | | | | | |
Именн поэтому, ИМХО, выдавать сертификаты для доменов в... 21.01.13 03:37
Автор: Den <Denis> Статус: The Elderman
Отредактировано 21.01.13 09:39 Количество правок: 1
|
> Турки облажались... И наверное не потому, что турки или что
> рожей не вышли. Голландцы до этого тоже чудили, видимо
> трава там забористая. Причин компроментации может быть
> множество. Но! Складывается парадоксальная ситуация:
> приходится доверять CA как чёрным ящикам, только на основе
> статистики их предыдущей работы (т.н. "репутации"). А мы
> кликаем мышой по "доверенным" сайтам здесь и сейчас,
> абсолютно не зная текущую ситуацию в CA: болит ли голова у
> топа и он принял интересное решение, их недавно купили с
> потрохами безбашенные типы, и там сейчас везде ходят
> подозрительные рожи и т.п.
Именн поэтому, ИМХО, выдавать сертификаты для доменов в зонах COM, ORG, NET, EDU, MIL и т.д. должен надзирающий за всем инетом орган (пусть даже это будет IANA), а для зон разных стран - государственный орган. А не шараги, которые ни за что не отвечают, да еще и бабло за это стригут десятками тыщ североамериканских рублей.
> В нашем смишном мире что только не бывает — да блин на
> типографии гоззнака рабочий решил левака загнать ;) Вот
> реально, я ничему не удивляюсь, ничего святого. Деньги,
> деньги, деньги.
Если бы ты знал порядки на госзнаке, ты бы не сомневался. Это может сделать кто угодно и где угодно в цепочке оформления документов, но только не на госзнаке.
> Нет абсолюта и не от чего отталкиваться... Кто будет мерять
> "надёжность" и более лучшесть? По каким критериям
> производители клиентского ПО (браузеров как яркий пример)
> включают поддержку того или иного CA: зачесалась левая
> пятка или занесли мешок бабла? До сих пор считаешь, что "им
> лучше знать"? Распределёнка снимала бы эти вопросы,
> устанавливала всем равные права и была бы абсолютно
> прозрачной. Ну и всё-таки, быть CA — это тяжкая
> ответственность, врагу не пожелаешь. И было бы прекрасней
> размазать эту ответственность тонким слоем по всем, кто
> заинтересован в работе такого CA, но самую жирную часть —
> на удостоверяемого!
Если кто угодно сможет дать "ДОВЕРЕННЫЙ" сертификат на что угодно, какой тогда смысл в сертификатах? )) В этом случае они не будут доверенными.
|
| | | | | | | |
Ценность доменных имен и зон постепенно уходит... 21.01.13 10:49
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 21.01.13 10:59 Количество правок: 5
|
> Именн поэтому, ИМХО, выдавать сертификаты для доменов в
> зонах COM, ORG, NET, EDU, MIL и т.д. должен надзирающий за
> всем инетом орган (пусть даже это будет IANA), а для зон
> разных стран - государственный орган. А не шараги, которые
> ни за что не отвечают, да еще и бабло за это стригут
> десятками тыщ североамериканских рублей.
Ценность доменных имен постепенно уходит. «Роза пахнет розой, хоть розой назови её, хоть нет», как справедливо заметил Вильям наш, так сказать, Шекспир: он конечно не имел ввиду современные поисковые системы, но мы-то знаем -)
> Если бы ты знал порядки на госзнаке, ты бы не сомневался.
> Это может сделать кто угодно и где угодно в цепочке
> оформления документов, но только не на госзнаке.
Вот, т.е. красивый сертификат мало что значит. А в IT сертификат должен надёжно удостоверять агента на определённом домене, с чем централизованные CA в настоящее время не справляются. Что и подтверждают последние громкие случаи, и это только то, что всплыло! Сами владельцы CA будут всеми правдами и неправдами скрывать косяки, ибо "репутация" — ну, как банки, которые всегда "надёжны как скала" -))
> > Нет абсолюта и не от чего отталкиваться...
> > размазать эту ответственность тонким слоем по всем...
> Если кто угодно сможет дать "ДОВЕРЕННЫЙ" сертификат на что
> угодно, какой тогда смысл в сертификатах? )) В этом случае
> они не будут доверенными.
Здесь видимо есть непонимание уже существующих наработок навроде системы Nameсoin, например. Итак, будущий владелец домена покупает неймкоины. После этого покупает за них приглянувшееся ему название свободного в данный момент домена в псевдозоне .bit. Почему "псевдо"? Потому, что пока для резольва имён в этой зоне нужно обращаться или к публичным DNS серверам самого проекта namecoin, или поднимать у вас демона сети namecoin, который будет следить за namecoin-транзакциями, и резольвить ваши запросы исходя из его БД транзакций.
Всё эти действия — транзакции в сети, механизм их подтверждений — такой же, как в bitcoin, который пока не поломали, и дай Бог, не поломают долгое время, ибо сильная криптография. Владелец домена корректирует свои записи как ему угодно, добавляя туда записи А, АААА, MX и проч. После этого он может внедрить туда самоподписанный публичный сертификат для домена. Всё, до свидания CA, ответственность размазана, владелец домена — царь и бог, только он должен следить, чтобы у него не слямзили креденциалы управления доменом. И да, домены надо периодически продлять за неймкоины, если не продлять, то он разделегируется системой автоматически, и его может купить кто-то другой.
Такие дела, и смерть CA... и DNS не за горами. Серьёзный конкурент, чистая математика, которой чуждо понятие "репутация". Ей вообще чуждо всё человеческое: и хапнувший бабла судья, принимающий решение о блокировке неугодного конкурентам домена, политики, бандиты и прочая мишура — и эта бесчеловечная справедливость завораживает ;)
|
| | | | | | | | |
ну хз... внедряйте! 21.01.13 16:02
Автор: Den <Denis> Статус: The Elderman
|
|
|
| | | | | | | | | |
Сисадмы виндовых служб DNS могут добавить "сервер условной пересылки" зоны .bit... 21.01.13 16:56
Автор: HandleX <Александр М.> Статус: The Elderman
|
Сисадмы виндовых служб DNS могут добавить "сервер условной пересылки" зоны .bit на IP адрес DNS сервера проекта namecoin 178.32.31.41 (dns.dot-bit.org).
Там пока мало что полезного, сонмище киберсквоттеров... Но раз есть спекулянты — значит есть чем спекулировать! И таки да, sex.bit давно занят -))
Что интересно, yandex.bit занят, при попытке захода браузером на 80 порт получаем сonnection refused. Великий и могучий присматривается к этим нашим серым интернетам? ;)
Шутка, там IP-адрес PPPoE пула некоего ярославского прова.
|
| | | | | | | | | | |
Срочно сквотим google.bit, mail.bit, news.bit!!! 21.01.13 23:44
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 21.01.13 23:46 Количество правок: 2
|
А кто сквотировал яндекс, забрал себе ещё и xxx.bit :)
Вот надо гугля попинать - пусть бы 8.8.8.8 в этот самый dns.bit стучался - тогда бы резко дело пошло. Предложить ему за содействие означенный google.bit
|
| | | | | |
Меня? Или - просто не понимаешь? Потому и утрируешь до абсурда. 20.01.13 06:12
Автор: Zef <Alloo Zef> Статус: Elderman
|
Обращение к одному "сертификатору" не централизация, а монополизация. Он ведь ничем расперделенным не управляет и ни во что не вмешивается. Только сертификат выдает тому, кто обращается.
А ДНС - иерархия и в меру своей иерархичности он и уязвим.
|
| | | | | | |
Главная уязвимость DNS не в иерархичности, а в корневых... 21.01.13 03:41
Автор: Den <Denis> Статус: The Elderman
|
Главная уязвимость DNS не в иерархичности, а в корневых DNS.
Иерархичность и кеширование, это как раз спасение DNS ) Если ты понимаешь о чем речь.
Кто-нибудь предложил более действенную и менее уязвимую схему разыменования имени в IP? Ну а раз нет, то и говорить не о чем.
|
| | | | | | | |
Тут, как я понял, кеширование по дефолту, а иерархичности нет - идёт обмен любого с любым 22.01.13 00:23
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 22.01.13 00:25 Количество правок: 2
|
> Кто-нибудь предложил более действенную и менее уязвимую схему разыменования имени в IP? Ну а раз нет, то и говорить не о чем.
И как раз обмен любого с любым возможен за счёт того, что у любого должна быть trusted информация, иначе клиент её отвергнет. Ну, или обратится к третьей стороне, которых по теории пруд пруди по сравнению с количеством вышестоящих DNS-серверов для данного сервера.
Единственное, что может не нравиться в этой системе (предположим, там действительно неломаемая криптография) - это возможность наводнения интернетов левыми клиентами, которые будут отвергать трастовость "честных" данных и подтверждать трастовость "нечестных" (ещё раз - разговор именно про DNS). Но, в любом случае, цена такой атаки теоретически намного больше цены атаки на корневик.
|
| | | | |
Это слабость и неразвитость, здесь поддержу на все 100% 19.01.13 10:25
Автор: HandleX <Александр М.> Статус: The Elderman
|
> Просто, у человека психоз централизации вопреки всякой
> логике. У меня давно сложилось такое впечатление, что
> большинство из нас подсознательно не считает себя разумными
> и способными принимать сознательные решения.
Этот "психоз централизации" один из этапов развития человека, остаток его детскости. "Психоз централизации" имеет другое название: "патернализм", где корень "папа" ;) Т.е. если не развивать человека, и потакать такому, этот синдром только усугубится.
А уже потом... анархобоязнь и патернализм будет использован для контроля быдла. Надетые на глаза шоры, пропущенное через ноздрю кольцо. С чем и борется тонкий слой осознающих это, всеми доступными им средствами, в том числе и созданием замечательных распределённых программных систем. ИМХО ;)
|
|
|
подробно о проекте
Анализ криптографических сетевых...
