Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Bezpečnostní chyby v terminálovém multiplexoru GNU Screen

dnes 04:33 | Bezpečnostní upozornění

V terminálovém multiplexoru GNU Screen byly nalezeny a v upstreamu ve verzi 5.0.1 už opraveny bezpečnostních chyby CVE-2025-23395, CVE-2025-46802, CVE-2025-46803, CVE-2025-46804 a CVE-2025-46805. Podrobnosti na blogu SUSE Security Teamu.

Ladislav Hagara | Komentářů: 7

Training Solo, bezpečnostní problém procesorů Intel a ARM

včera 19:33 | Bezpečnostní upozornění

Training Solo (Paper, GitHub) je nejnovější bezpečnostní problém procesorů Intel s eIBRS a některých procesorů ARM. Intel vydal opravnou verzi 20250512 mikrokódů pro své procesory.

Ladislav Hagara | Komentářů: 0

Shotcut 25.05.11

včera 11:44 | Nová verze

Byla vydána nová verze 25.05.11 svobodného multiplatformního video editoru Shotcut (Wikipedie) postaveného nad multimediálním frameworkem MLT. Nejnovější Shotcut je již vedle zdrojových kódů k dispozici také ve formátech AppImage, Flatpak a Snap.

Ladislav Hagara | Komentářů: 0

GNU Taler 1.0

včera 11:11 | Nová verze

Svobodný elektronický platební systém GNU Taler (Wikipedie, cgit) byl vydán ve verzi 1.0. GNU Taler chrání soukromí plátců a zároveň zajišťuje, aby byl příjem viditelný pro úřady. S vydáním verze 1.0 byl systém spuštěn ve Švýcarsku.

Ladislav Hagara | Komentářů: 10

Pozvánka na 209. sraz OpenAltu v Brně. OpenAlt komunita se potká s komunitou OpenSSL

včera 00:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 209. brněnský sraz, který proběhne tento pátek 16. května od 18:00 ve studentském klubu U Kachničky na Fakultě informačních technologií Vysokého učení technického na adrese Božetěchova 2/1. Jelikož se Brno stalo jedním z hlavních míst, kde se vyvíjí open source knihovna OpenSSL, tentokrát se OpenAlt komunita potká s komunitou OpenSSL. V rámci srazu Anton Arapov z OpenSSL

… více »

Ladislav Hagara | Komentářů: 0

GNOME Foundation má nového výkonného ředitele

včera 00:22 | Komunita

GNOME Foundation má nového výkonného ředitele. Po deseti měsících skončil dočasný výkonný ředitel Richard Littauer. Vedení nadace převzal Steven Deobald.

Ladislav Hagara | Komentářů: 7

Vývoj renderovacího jádra Servo za uplynulé dva měsíce

10.5. 15:00 | Zajímavý článek

Byl publikován přehled vývoje renderovacího jádra webového prohlížeče Servo (Wikipedie) za uplynulé dva měsíce. Servo zvládne už i Gmail. Zakázány jsou příspěvky generované pomocí AI.

Ladislav Hagara | Komentářů: 29

Raspberry Pi Connect 2.5

9.5. 17:22 | Nová verze

Raspberry Pi Connect, tj. oficiální služba Raspberry Pi pro vzdálený přístup k jednodeskovým počítačům Raspberry Pi z webového prohlížeče, byla vydána v nové verzi 2.5. Nejedná se už o beta verzi.

Ladislav Hagara | Komentářů: 6

1272 projektů (vývojářů) přijatých do Google Summer of Code 2025

9.5. 15:22 | Komunita

Google zveřejnil seznam 1272 projektů (vývojářů) od 185 organizací přijatých do letošního, již jednadvacátého, Google Summer of Code. Plánovaným vylepšením v grafických a multimediálních aplikacích se věnuje článek na Libre Arts.

Ladislav Hagara | Komentářů: 0

Visual Studio Code a VSCodium 1.100

8.5. 19:22 | Nová verze

Byla vydána (𝕏) dubnová aktualizace aneb nová verze 1.100 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.100 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 26, poslední 8.5. 09:58

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Kompromitace 40bit certifikátu

Štítky: bezpečnost, certifikat, Internet, komunikace, Microsoft, ověření, specifikace, SSL, šifrování, textové editory, Vim

Dotaz: Kompromitace 40bit certifikátu

9.7.2008 13:08 Pavlik
Kompromitace 40bit certifikátu

Přečteno: 326×

Odpovědět | Admin

Dobrý den,

předem se omlouvám, vím, že toto nepatří do Poradny Linuxu. Ale domnívám se, že tady mohou být zodpovězeny mé otázky.

Čím více si pročítám o SSL, zabezpečení komunikace SSL, symetrických a asymetrických šifrách, tím méně tomu rozumím. Předesílám, že princip výměny klíčů a s tím spojené ověření identity je mi jasné.

Pročetl jsem za poslední dny bezpočet různých článků, týkajících se PKCS#12 a PKCS#7. Stále ale nenacházím odpovědi.

Mám certifikát exportovaný spolu s privátním klíčem. Vypadá takto (export z IE7):

PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2000
Bag Attributes
    localKeyID: 01 00 00 00 
    Microsoft CSP Name: Microsoft Enhanced Cryptographic Provider v1.0
    friendlyName: 14570e2bf260909474f157527ba845d9_b308ebc3-9f2b-4ef4-954a-cb6bb8483b53
Key Attributes
    X509v3 Key Usage: 10 
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,C79307EAF3E07193

*znaky*
-----END RSA PRIVATE KEY-----
PKCS7 Encrypted data: pbeWithSHA1And40BitRC2-CBC, Iteration 2000
Certificate bag
Bag Attributes
*subject*
-----BEGIN CERTIFICATE-----

Můj dotaz zní:

1. Jak probíhá komunikace se serverem za použití tohoto certifikátu? Je ověřena indentita uživatele na základě tohoto certifikátu, proběhne výměna klíčů a je dohodnut symetrický klíč pro šifrování další komunikace?

2. Především - lze kompromitovat tento certifikát vytvořený 40bit šifrováním? Jsem si vědom, že 40bit lze zlomit na běžném počítači za několik dní.

3. Lze někde nalézt přehlednou dokumentaci popisující mechanizmus této komunikace? Všechno, co jsem dosud našel, byly buď jednoduché ilustrace nebo technické specifikace.

Děkuji za odpovědi

Nástroje: Začni sledovat (0) ?

Odpovědi

9.7.2008 14:44 rastos | skóre: 63 | blog: rastos
Rozbalit Rozbalit vše Re: Kompromitace 40bit certifikátu

Kedysi som počul peknú story, ktorá mi pomohla pochopiť ako funguje šifrovaná komunikácia medzi browserom a web serverom: Predstav si, že existujú dvaja králi. Jeden chce poslať správu druhému, ale ani jeden nemá dôveryhodného posla, ktorý by ustrážil truhličku so správou, sám do nej nenahliadol, či sa ubránil banditom na ceste. Nechajú si preto urobiť truhličku na dva visacie zámky. Každý kráľ má kľúč a visací zámok. Jeden kráľ dá do truhličky správu a zamkne ju použitím svojho visacieho zámku a svojho kľúča. Posol odnesie truhličku druhému kráľovi a ten už zamknutú truhličku zamkne ešte raz - svojím zámkom a kľúčom. Potom posol prinesie truhličku späť prvému kráľovi a ten odomkne svoj zámok. Truhlička ale ostáva zamknutá. Nakoniec posol odnesie truhličku druhému kráľovi a ten odomkne svoj zámok, otvorí truhličku a prečíta správu.

Počas celej transakcie sa králi nemuseli stretnúť. Ani si nemuseli navzájom vymieňať zámky, či kľúče. Napriek tomu posol mal v rukách vždy len zamknutú truhličku.

V prípade browserov a web serverov je to podobne. Každý má svoj privátny kľúč, ktorým zamyká. Nech si ten kľúč trebárs vymyslí v momente keď sa nadväzuje spojenie. Horeuvedeným spôsobom si vymenia správu - vlastne to môže byť len symetrický kľúč pre danú session. A zvyšok komunikácie môže prebiehať šifrovaná týtmto kľúčom.

Dôležité ešte je, aby prvý kráľ vedel, že keď sa mu vráti truhlička a má na sebe druhý zámok, tak ten zámok patrí druhému kráľovi a nie kapitánovi zbojníkov v lese. Preto na zámku musí byť vygravírovaný znak druhého kráľa (teda: certifikát druhej strany v sebe nesie meno druhej strany) a to gravírovanie vie urobiť len pár majstrov na svete - (Verisign a iné CA).

Koniec rozprávky.

Nešiel som do detailov a niektoré veci sú trocha nepresné, ale pokiaľ ti nejde o to, aby si skúmal v ktorých bajtoch je tých 40 bitov kľúča, tak je to fuk. Dúfam. ;-)

Založit nové vlákno • Nahoru

Tiskni Sdílej: