Role certifikačních autorit v boji proti phishingu a malwaru (diskuse)

Certifikat chcu, abych mel sifrovane spojeni, ktere mi nikdo nebude odposlouchavat a menit komunikaci, to jestli je na strankach kybl sra*ek je nedulezite.

30.10.2015 08:16 source
Rozbalit Rozbalit vše Re: Role certifikačních autorit v boji proti phishingu a malwaru

Naprosto souhlasím. Mělo by se to prezentovat jako ochrana před odposlechem a ne jako na https vám nic nehrozí. Tohle podělali.

30.10.2015 08:46 j
Rozbalit Rozbalit vše Re: Role certifikačních autorit v boji proti phishingu a malwaru

Jiste a sefl signed certifikatem se sifrovat neda ... presne ukazujes na naprostou imbecilitu vsech vyvojaru prohlizecu. Browser proste NESMI mit zadny "duveryhodny" autority, a NESMI mit zadny kecy. Kdyz vlezes na http, tak taky zadny pindy nema. Https je presne totez.

Teprve az se uzivatel rozhodne, ze na nejakym konkretnim webu mu o bezpecnost jde, tak si ulozi bud primo cert webu nebo treba v kombinaci s CA, ale autorizuje ji jen pro ten konkretni web. Pak terpve by mel prohlizec nadavat, kdyz se neco zmeni.

30.10.2015 09:37 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Role certifikačních autorit v boji proti phishingu a malwaru

HTTPS s certifikátem podepsaným "důvěryhodnou" CA sice neochrání proti nation-state útočníkovi (který si prostě u CA vynutí podpis svých falešných certifikátů), ale aspoň ochrání proti hromadě potenciálních útočníků když se člověk připojí k Internetu v nedůvěryhodné síti (rozuměj kdekoliv jinde než u něj doma - a i tam hrozí evil ISP).

A proti nation-state útočníkům tě už dnes ochrání HSTS v kombinaci s HPKP (prostě cerificate/public key pinning). To samozřejmě vyžaduje, aby webové stránky HSTS + HPKP měly nasazené, což bohužel ještě není tak časté (a samozřejmě znamená to model TOFU - Trust On First Use - podobně jako u SSH).

Nicméně klíče "důležitých" webů (zatím pokud vím Google, Tor, Cryptocat, Twitter a Dropbox) jsou napevno pinnované přímo v prohlížečích (jak Chrome/Chromium, tak Firefox), takže tam to máš zaručené.

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

30.10.2015 12:54 elenril
Rozbalit Rozbalit vše Re: Role certifikačních autorit v boji proti phishingu a malwaru

Mě tady dost irituje, že jeden mnohem lepší bezpečnostní mechanismus, než všechny tyhle nesmysly s CA, už existuje -- DNSSEC+TLSA. Ale z nějakého důvodu na něj vývojáři prohlížečů kašlou (v Chrome byl příslušný feature request uzavřen s wontfix). Kdybych byl paranoik, tak bych si skoro myslel, že o skutečnou bezpečnost (tj. takovou nad kterou nemají oni kontrolu) nestojí.

30.10.2015 14:58 dumblob | skóre: 10 | blog: dumblog
Rozbalit Rozbalit vše Re: Role certifikačních autorit v boji proti phishingu a malwaru

DNSSEC + TLSA v zadnem pripade nelze povazovat za bezpecnejsi nez CA ekosystem. DNSSEC + TLSA je totiz plne centralizovany a to samo o sobe je povazovano za nebezpecne. CA ekosystem umoznuje volitelne mnozstvi zcela nezavislych autorit a zavisi na koncovem uzivateli (nejcasteji napr. na vyvojarich weboveho prohlizece), ktere podcasti bude verit a ktere ne.

Nakonec podotknu, ze silne zalezi na implementaci techto porovnavanych mechanismu a k dnesnimu datu bych si vsak troufnul odhadnout, ze DNSSEC + TLSA by bylo aktualne skutecne bezpecnejsim resenim nez ten momentalne porouchany ekosystem CA.

30.10.2015 15:05 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Role certifikačních autorit v boji proti phishingu a malwaru

DNSSEC+TLSA rovněž umožňuje nezávislé autority, jenom se o tom tolik nemluví.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

30.10.2015 15:25 dumblob | skóre: 10 | blog: dumblog
Rozbalit Rozbalit vše Re: Role certifikačních autorit v boji proti phishingu a malwaru

Hm, diky. Ja jsem zpovidal pana Ondreje Sureho pred cca dvema roky a tehda z toho vyplynula prave ta centralizace v praxi. Neni nekde vice informaci o implementacich decentralizovane casti (at jiz jenom SW ci primo testovaci nasazeni v provozu)? Docela by me to zajimalo.

30.10.2015 15:56 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Role certifikačních autorit v boji proti phishingu a malwaru

Hm, diky. Ja jsem zpovidal pana Ondreje Sureho pred cca dvema roky a tehda z toho vyplynula prave ta centralizace v praxi.

Taky jsem s tím lidi z CZ.NIC konfrontoval, ale oni si jedou tu linii, na kterou jsou zaměřeni, tedy na globální hierarchii vázanou na hlavní klíče root domény. Nicméně co jsem se bavil s jinýmy, ač jsem zatím neměl důvod to přímo vyzkoušet, lze pro libovolný podstrom nakonfigurovat jiné klíče. Pokud by byl o takovéto použití zájem, jistě není do budoucna problém diferencovat úroveň důvěry na základě toho, od kterého master klíče je odvozena.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

30.10.2015 16:01 dumblob | skóre: 10 | blog: dumblog
Rozbalit Rozbalit vše Re: Role certifikačních autorit v boji proti phishingu a malwaru

Nicméně co jsem se bavil s jinýmy, ač jsem zatím neměl důvod to přímo vyzkoušet, lze pro libovolný podstrom nakonfigurovat jiné klíče.

Az takhle jednoduche to je? No, to se mi zacina libit. Kde najdu ty "jiné", se kterymi bych se mohl pobavit jak to vyzkouset na vlastnich DNS serverech?

30.10.2015 16:19 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Role certifikačních autorit v boji proti phishingu a malwaru

Třeba...

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

30.10.2015 21:03 elenril
Rozbalit Rozbalit vše Re: Role certifikačních autorit v boji proti phishingu a malwaru

Tahle argumentace se mi vůbec nezdá. V každém případě musí člověk někomu věřit. U TLSA věřím především registrátorovi a správci příslušné TLD (root se podvrhává celkem těžko). U současného systému CA musím věřit desítkám "autorit" z všemožných pochybných míst, a každá může podepsat úplně cokoliv. Takže TLSA mi vychází jako výrazně lepší.

2.11.2015 19:11 j
Rozbalit Rozbalit vše Re: Role certifikačních autorit v boji proti phishingu a malwaru

Zarucene mas leda starou backoru. Viz nedavna akce na tema klice od googla. A ze se na to prislo? No kdyz budu utok provadet vyhradne na konkretni cile, tak se na to neprijde.

2.11.2015 20:37 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Role certifikačních autorit v boji proti phishingu a malwaru

Pokud budeš MITM útok provádět na stránky, které podporují key pinning (buď podporují HPKP nebo jsou pinované přímo napevno v prohlížeči, jako třeba servery Google), tak se na to samozřejmě přijde ať je ten útok sebecílenější.

Prostě tvůj cíl má už fingerprinty uložené v prohlížeči a když na něj uděláš MITM, prohlížeč zařve a nepustí ho dál.

Jediný případ kdy by ti ten útok mohl vyjít je v případě HPKP pokud bys zachytil první komunikaci daného člověka s daným serverem (stejně jako třeba u SSH). V případě napevno pinovaných otisků v prohlížeči ti ale ani tahle malá šance nevyjde.

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

31.10.2015 18:43 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Role certifikačních autorit v boji proti phishingu a malwaru

Tak oni vlastne chceli upozorniť na to že CA nieje antivirus.

KERNEL ULTRAS video channel >>>

Na dosiahnutie pocitu bezpečnosti na Internete je potrebné bránu (gateway) obložiť vložkami Always!

1.11.2015 14:01 pavele
Rozbalit Rozbalit vše Re: Role certifikačních autorit v boji proti phishingu a malwaru

Nějak to https pořád nechápu:

1. Budou se dávat certifikáty úplně všem a pak to bude sloužit na to, aby nebyla vidět moje komunikace s protistranou.

Kam ty certifikáty budu dávat, do databáze, nebo bude můj prohlížeč kontaktovat nějakou třetí stranu, kde si stáhne příslušný certifikát?

2. Chci mít ověřeno, že internetová stránka patří bance a ne někomu, kdo se za ni vydává. V bance mi dají certifikát nebo jej vystaví na netu a já si jej importuju do prohlížeče.

3. Nebo to má fungovat na principu "Sebereme jim certifikát, aby se uživatelé nedostali na závadné stránky"?

4. Z jakého důvodu bych měl mít(mám) v prohlížeči certifikáty firem/společností, které neznám a kteří si pouze zaplatily za tyto certifikáty?

1.11.2015 17:30 johniez | skóre: 17 | blog: xyz | Praha
Rozbalit Rozbalit vše Re: Role certifikačních autorit v boji proti phishingu a malwaru

Pro zacatek: https://cs.wikipedia.org/wiki/HTTPS

1.11.2015 20:32 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Role certifikačních autorit v boji proti phishingu a malwaru

"CA" je len autorita ktorá potvrdí že máš platný kľúč na šifrovanie, nič viac nič menej. Nieje to antivírus, antispam, bezpečnosť je stále na tebe a ani zmena vlády to nezmení, stále si to musíš overiť sám.

KERNEL ULTRAS video channel >>>

2.11.2015 16:35 pavele
Rozbalit Rozbalit vše Re: Role certifikačních autorit v boji proti phishingu a malwaru

A ten(ty) platný(é) klíč(e) je(jsou) napevno v mém webovém prohlížeči a mění se podle verze prohlížeče a podle toho, co určí výrobce prohlížeče?

Tak proto je to bezpečné, že výrobce prohlížeče natvrdo zadrátuje ty klíče do svého softwaru?

2.11.2015 18:36 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Role certifikačních autorit v boji proti phishingu a malwaru

Tvorcovia prehliadačov, môžu, alebo nemusia danú CA uznať, je to len o tom. Takže sa môže stať, že budeš upozornený o nedôveryhodnom certifikáte.

Kľúč nič okrem šifrovania nerieši. Takže keď budeš chcieť mať istotu že lezieš do banky vyťukaj si abcbanka.cz a nelez tam cez odkazy napríklad z emailu.

KERNEL ULTRAS video channel >>>