Не понимаю

[vitus_wagner]

Почему такая простая концепция, как X.509 PKI никак не укладывается в голове большинства людей.
Даже профессиональных программистов.

Казалось бы чего проще - есть понятие электронной подписи:

Есть пара взаимосвязанных последовательностей байт - секретный ключ и открытый. Открытый по секретному сгенерировать легко, наоборот - практически невозможно.

Есть некий черный ящик, в который человек может запустить сообщение и секретный ключ и получить на выходе некоторую последовательность байт, которую без наличия данного секретного ключа никак из сообщения не получить.

И есть второй черный ящик, куда пихается сообщение, подпись, и открытый ключ, и на выходе получается вывод - выработана подпись тем секретным ключом, открытую половинку которого мы пихнули в ящик, или не тем.

Очевидно, что то, что подпись выработана на данном ключе, ничего не говорит нам о том, какой именно человек или какой именно компьютер ее выработал. Соответсвенено появляется понятие доверия ключу. Поскольку собрать открытые ключи всех, чью подпись потребуется проверить заранее и надежным способом - нереально, появлется PKI, public key infrasturcture - способ получить открытый ключ кого надо (или открытый ключ, которым подписано данное сообщение) и убедиться что это именно ключ данного конкретного персонажда. Обычно для этого комбинация из ключа и данных о ее владельце подписывается кем-то, чьему ключу мы уже доверяем (например потому, что ему доверяет поставщик нашей операционной системы и включил его сертификат в дистрибутив). Такой электронный документ называется сертификатом.

Очевидно, что самоподписанный сертификат не удостоверяет ничего, кроме того, что с момента как владелец ключа его подписал, никто его не редактировал. То что владелец ключа - именно тот, чье имя написано в сертификате - ничего не значит. Вот возьму и сделаю себе самоподписанный сертификат на имя Рене де Карт. От этого я изобретателем прямоугольных координат не стану.

Очевидно, что когда мы хотим установить защищенное соединение по TLS, мы должны убедиться что мы устанавливаем соединение именно с тем, с кем хотели. Потому что в противном случае сколь угодно сильное шифрование бесполезно. "Человек посередине" легко перехватит наш пароль, потому что именно ему-то мы его и пошлем, из-за того, что не проверили что он не является нашим сервером.

И ведь создать внутрикорпоративный удостоверяющий центр чтобы выдать пять сертификатов на свои сервера, и выложить сертификат этого УЦ, чтобы пользователи его себе установили не просто, а очень просто.

Такое впечатление, что 90% тех, кто пользуется TLS и электронной почты защита не нужна. И даже security theater не нужен. Потому что свежий firefox такой театр с security exceptions устраивает, что можно было бы задуматься. Нет, продолжают выполнять чисто ритуальные действия по включению tls с самоподписанными сертификатами (или еще смешнее - создают честный УЦ, а его сертификат не распространяют).

Comments

[stddjuffin.livejournal.com]

Такой TSL позволяет обезопасить себя от пассивного прослушивания, когда у злоумышленника нет возможности изображать из себя сервер.

[http://users.livejournal.com/_iga/]

> Очевидно, что когда мы хотим установить защищенное соединение по TLS, мы должны убедиться что мы устанавливаем соединение именно с тем, с кем хотели.

Это не всегда очевидно. Более того, в TLS может работать вообще без сертификатов (ephemeral key exchange).

[andrzejn]

Такое впечатление, что 90% тех, кто пользуется TLS и электронной почты защита не нужна.

Совершенно верное впечатление. Я думаю, что даже 99%. Или даже 99.9%. Именно не нужна, за исключением редких манипуляций с платёжными системами и логина в GMail, у которых с сертификатами как раз всё в порядке.

[vitus_wagner]

Key exchange и authentication это совершенно перпендикулярные вещи.

"Очевидно" имеется в виду с содержательной точки зрения. Зачем нам устанавливать защищенное соединение неизвестно с кем?
Только зря CPU-такты тратить на шифрование.

[vitus_wagner]

Что-то я с трудом могу себе представить такого злоумышленника. Интернет это большая p2p сеть. Поэтому сервер - это не более чем программа. Для прослушивания тоже нужна программа. Причем более экзотическая.
Плюс к тому в нынешнюю эпоху когда ethernet-хабы уже практически вымерли, и используются исключительно свитчи, прослушивание требует примерно столь же нетривиальных действий, по изменению топологии как встраивание между юзером и каким-то из промежуточных узлов по пути к серверу.

[vitus_wagner]

Под "пользуется" я имел в виду "включает на своих серверах". Поэтому оценка столь низкая.

[http://users.livejournal.com/_iga/]

1. Я имею ввиду ADH - вполне можно поднять TLS-сервер без сертификатов.

2. Насчёт вашего CPU не знаю, но такая потребность - в зашифрованном, но не аутентифицированном подключении - может быть.

[andrzejn]

А, тогда да.

Чую, что объяснение как-то завязано на правило Парето. Поскольку 99% юзеров ходят на 1% серверов...

[besm6.livejournal.com]

Знаешь, Витус, у тебя этот текст написан так, что я, будучи вполне в курсе всего этого материала, не без труда понял, что ты хотел сказать.

Есть мнение, что и остальные источники информации про TLS по большей части примерно такие же.

P.S. Ну а смысл "выложить сертификат этого УЦ, чтобы пользователи его себе установили"? Чем это принципиально отличается от самоподписанного сертификата? Я точно так же выпишу себе сертификат на имя В Натуре Бил Гейц и выложу его на тот свой сервер, который будет server-in-the-middle, прикидывающимся microsoft.com. И?

[besm6.livejournal.com]

А можно изложить модель угроз для п. 2? И где в практической жизни оно полезно?

[elentin]

Есть мнение, что и остальные источники информации про TLS по большей части примерно такие же.

О! :-)

Казалось бы чего проще ... :)

[zzfi.livejournal.com]

секретный ключ и открытый. Открытый по секретному сгенерировать легко, наоборот - практически невозможно. - вообще-то симметрично - оба ключа генерируется одновремено! И более того, разделение на секретный ключ и открытый искуственно - только для определенности.

Re: Казалось бы чего проще ... :)

[vitus_wagner]

Вообще-то в схеме Эль-Гамаля, что над полем вычетов, что над полем точек эллиптической кривой, разделение ни разу не искусственно.

И почему-то все нормальыне страны, заботящиеся о своей безопасности, что Россия, что США, в качестве государственных стандартов подписи принимают как раз алгоритмы на базе схемы Эль-Гамаля. Японский eSign - что-то более хитрое, за него не скажу, искусственное там разделение или нет.

Re: Казалось бы чего проще ... :)

[potan.livejournal.com]

От алгоритма зависит.

[vitus_wagner]

P.S. Ну а смысл "выложить сертификат этого УЦ, чтобы пользователи его себе установили"? Чем это принципиально отличается от самоподписанного сертификата? Я точно так же выпишу себе сертификат на имя В Натуре Бил Гейц и выложу его на тот свой сервер, который будет server-in-the-middle, прикидывающимся microsoft.com. И?

Смысл в разнесенности по времени событий установки сертификата УЦ и доступа к защищенному ресурсу. Злоумышленник, как правило, не может НЕПРЕРЫВНО сидеть и контролировать ВСЕ протоколы на предмет не всплывет ли где-нибудь в IMAP или обычном HTTP фингерпринт этого сертификата УЦ.

Ну и для особых параноиков должна быть предусмотрена возможность сверить фингерпринт по телефону.

[kastaneda]

— вообще-то симметрично
Это старый добрый RSA.

[viliar.livejournal.com]

Буквально недавно добрался до того, чтобы свой УЦ сделать и везде по служебным серверам распихать подписанные им сертификаты. А до этого довольно долго сидел на самоподписанных. Незнание и лень делают свое дело :-(

[wrar.livejournal.com]

Хабы вымерли в прошлую эпоху, а в нынешнюю появился Wi-Fi.

[vitus_wagner]

Вот чего не понимаю, так это зачем включать TLS, если сертификаты все равно самоподписанные.

[vitus_wagner]

Не думаю что в этом дело. 1% серверов как раз обычно покупает сертификаты у Verisign (которому доверяет поставшик операционной системы).

Но вот даже в Криптокоме (основным бизнесом которого была именно электронная подпись) мне в свое время пришлось злобно пинать некоторых разработчиков чтобы они не молча жали "Ok" в диалоге аутлука, сообдавшего что он не может аутентифицировать корпоративный сервер, а предприняли два телодвижения с тем чтобы поставить нужный сертификат.

Почему-то люди нифига не соотносили проблемы безопасности софта который они разрабатывают и софта, которым они пользуются в процессе этой разработки (что самое смещное через некоторое время это стал практически один и тот же софт).

[andrzejn]

Корпоративный сервер в том же здании (на том же этаже), что и разработчики, или разработка разнесена по разным площадкам?

Если физически все собраны компактно вместе и закрыты от мира общим брандмауэром, тщательное слежение за сертификатами соседних машин и правда выглядит формальным ритуалом.

[vitus_wagner]

К серверу был (и есть) доступ по imap4s снаружи. А внутри он тогда по-моему еще пускал без TLS.

А в одном из проектов которые мы позже разрабатывали я настоял на том, что вот эта сеть у нас считается trusted и передача по ней никак не защищается.
Правда, в этом проекте RSA и AES за защиту не считались, поэтому требование "защищенности" резко снижало набор допустимого к применению софта.

[blog.vnaum.com (from livejournal.com)]

> Ну и для особых параноиков должна быть предусмотрена возможность сверить фингерпринт по телефону.
для самых параноидальных параноиков нужна ещё возможность сверить номер телефона для проверки фингерпринта! Хотя телефоны - они такие, можно и по правильному номеру позвонить неправильному человеку... Лучше всего, конечно, фингерпринт приходить сверять лично в офис, с распечаткой. Но ведь и адрес офиса придётся сверить с чем-то. Предлагаю сверять с адресом на сайте, по https :-)

Агащазблин!

[besm6.livejournal.com]

_Пользователю_ сертификат понадобится в норме только при первом заходе на сайт. В ряде случаев - почти единственном туда заходе. Поэтому этого разнесения по времени у него нет, и взяться ему неоткуда.

Re: Агащазблин!

[vitus_wagner]

Если при втором заходе на сайт сертификат сайта окажется подписанным не на том УЦ, то пользователь моментально узнает о том, что случилась какая-то фигня.