Sestup a pád certifikačních autorit a co s ním

Foo Bar , 04. prosinec 2012 07:15 18 komentářů

Je veřejným tajemstvím, že s certifikačními autoritami (dále v našem malém komentáři jen CA) a infrastrukturou veřejných klíčů není tak něco úplně v pořádku. Pád DigiNotar a napadení Comodo jsou pravděpodobně jen pomyslnou špičkou ledovce.

Kromě těchto spíše implementačních problémů celý model PKI selhává i na mnohem hlubší vrstvě, problém je už v samotném konceptu. Všechny certifikační autority jsou si rovny – pro aplikace je certifikát vydaný CA Verisign nebo CA čínského CNNICu stejně důvěryhodný. Pokud je tedy jen jedna jediná CA pochybná, nebo třeba jen příliš benevolentní, je automaticky stejně tak slabý celý řetěz a to bez ohledu na sebepřísnější pravidla u těch ostatních.

Další problém spočívá v postupném zředění kontrol – k vydání podvodného certifikátu dnes stačí, abyste ovládli DNS cílové domény. Největší chybou je ovšem onen nešťastný dialog, který nás varuje před neplatným certifikátem, a který asi každý z nás alespoň jednou otráveně odklikl.

Znamená to, že je s důvěrou na síti konec? Podle mého názoru ne, elegantním řešením jak celý problém vyřešit může být třeba nadstavbový protokol DANE. Za celým protokolem je jednoduchá úvaha: jedině vlastník domény ví sám nejlépe, jaký certifikát se má pro tuto doménu používat.

DANE pak přidává do DNS nový záznam TLSA, který obsahuje otisk veřejného klíče certifikátu. Tento otisk je do DNS uložen vlastníkem domény a pokud je tento otisk získán bezpečným způsobem (DNSSEC) a souhlasí s certifikátem služby, na kterou se připojujeme, tak bude uživatel v pořádku spojen. Na druhou stranu, pokud otisk certifikátu nesouhlasí, dojde k přerušení spojení a uživatel bude před podvodnou službou ochráněn.

Kromě této kontroly umí protokol DANE také legitimizovat tzv. self-signed certifikáty, což by mohlo pomoci rozšířit bezpečnost i do oblastí, kde by se z finančních důvodů komerční certifikát nevyplatil.

Foo Bar

Foo Bar

Autor pracuje jako vedoucí Laboratoří CZ.NIC odpovědný za tým hledající problémy spojené s bezpečností Internetu a navrhující jejich řešení. Pro sdružení pracuje od roku 2005.

Teoretické znalosti získal studiem informatiky na MFF UK v Praze, praktické pak ve společnosti ACTIVE 24. Je rovněž zakladatelem českého lokálního týmu Ubuntu Linux.


Komentáře

Michal Kubeček #1
Michal Kubeček 04. prosinec 2012 10:46

Titulek je zavádějící, co autor sní, jsme se z článku nedozvěděli. :-)

Vladimír Horák #2
Vladimír Horák 04. prosinec 2012 11:12

Protože v článku je překlep - místo "DANE" mělo být jistě "DANONE" :)

Tany #3
Tany 04. prosinec 2012 23:31

Ten text má nějaký význam, nebo má autor od někoho kvótu na počet příspěvků ročně ?

Jak dlouho Vám trvalo zbastlit tento text, půl hodiny ? Informační hodnotu to má na úrovni bodu mrazu ...

Foo Bar 06. prosinec 2012 13:22

Bohužel zadání znělo 1500 znaků, jestli do takhle krátkého textu dokážete nacpat mnoho informační hodnoty, tak jste frajer!

Karel Wolf 06. prosinec 2012 13:50

Myslím, že příspěvek reagoval spíše na komentář nad ním. Ale jinak se omlouvám, pokud došlo k informačnímu šumu, 1500 znaků bylo myšleno spíše jako minimální rozsah :)

Foo Bar 06. prosinec 2012 15:39

Tak to mě mrzí, protože mi to dalo docela zabrat to zredukovat na 1500 znaků a zachovat alespoň trochu smyslu... tak třeba příště.

Ludmila Vinařová 01. únor 2013 03:38

Dovolte já se připojím : To je sranda == to musíte zvládnout i do 500♥

LV. TŘEBENICKO♥CZ

žena, matka dvou holčinek a momentálně bez práce a do týdne budu i bez auta = a to mne zlobí jen manžel = tak nevím proč se stále mstí, že jsem byla jen VÍCE AKTIVNÍ V OBCHODOOVÁNÍ V NAŠÍ VLASTNÍ FIRMĚ VYBUDOVANÉ OOD NULKY S FAXEM NA LEASIING A JE TO ZPĚT JIŽ 16LET a pak jsem mu jen přišla na obyčejnou NEVĚRU V NAŠEM MANŽELSKÉM VZTAHU ==== NYNÍ UŽ JEN PPAPÍROVÉM = UŽ SE I DOODSTĚHOVÁVÁ = TAKŽE PÍSAT BUDU A VŠUDE , DE MNE TOO ZAJJÍMÁ :-). ukončím podpis elektronický a snad ho i uložím a pak mizím zase o kus dál , tak případné otázky na elpo:ludmila.vinarova-infos@seznam.cz

S úctou ke každé práci kdo ji dělá minimálně 3- a více let na stejném místě , protože PPAK JSTE DOOKONALÝ A NASTANE JEN PROBLÉM , KDYŽ PŘEROOSTTETE VLASTNÍHO ŠÉFA = A KU MÉMU MÍNUSU = JIŽ OFIKO PROMTNĚ ŠŤASTNÉHO = ŽE MNE POLOŽÍ SNAD ZNOVU NA LOPATKY A JÁ DO TOMNE TAM ODVEZE A SÁM = PROTOŽE DOKTORKY I JÁ JSME OPROTI NĚMU V NAPROSTÉM POŘÁDKU::-)HO BOHNICKÉHO ÚSTAVU OOPRAVDU

Vít Hnilica 05. prosinec 2012 01:32

"Další problém spočívá v postupném zředění kontrol – k vydání podvodného certifikátu dnes stačí, abyste ovládli DNS cílové domény" a "DANE pak přidává do DNS nový záznam TLSA, který obsahuje otisk veřejného klíče certifikátu."
jako proti DANE nic nemam, spis naopak. ale operovat proti CA s tim ze utocnikovi staci "jen" ovladnout DNS a jako reseni je dat certifikat do te ovladnute DNS mi pride trosku smesne...

Foo Bar 06. prosinec 2012 13:23

Na DNS si musíte dát pozor tak jako tak. Celková bezpečnost se tím, že použijeme DNS nesníží, ale spíše zvýší. A to je cílem.

vit hnilica #11
vit hnilica 06. prosinec 2012 15:52

To je pravda, na to overeni certifikacni autoritou utocnik dns pozmeni jen na chvili. Zato kdyby tam mel mit svuj certifikat trvale, tak by si toho admin za naky cas snad vsiml. Bezpecnost se teda trosku zvysi. Jak to bylo mysleny jsem nepobral asi kvuli tomu scuknuti na 1500 znaku:D

Filip Oščádal #12
Filip Oščádal 06. prosinec 2012 18:48

DANE je o tom, že majitel domény by měl kontrolovat, přes který certifikát se připojíte, neměl by si to kontrolovat pouze uživatel, že "má zamčeno" - tj. nebude možné tak snadno podvrhnout např. StartSSL certifikát, pro jehož vytvoření stačí jen přístup k postmaster@ či webmaster@ e-mailu.

Ondřej Surý o tom dobře hovořil i na konferenci IT 12.

tuxmartin #5
tuxmartin 06. prosinec 2012 12:33

"Kromě této kontroly umí protokol DANE také legitimizovat tzv. self-signed certifikáty, což by mohlo pomoci rozšířit bezpečnost i do oblastí, kde by se z finančních důvodů komerční certifikát nevyplatil."

A proto se to zadne CA nebude libit.

Foo Bar 06. prosinec 2012 15:39

Nebude, ale jejich byznys zůstane u EV certifikátů, což je něco, kde certifikační autority mají a dávají smysl.

Filip Oščádal #13
Filip Oščádal 06. prosinec 2012 18:57

vystavení StartSSL certifikátu a jeho nasazení je otázkou cca 10 minut (když už máte nějakou praxi a klientský certifikát), takže není důvod, aby se to někomu nevyplatilo, jediný problém vidím s vazbou 1 IP / 1 certifikát (SNI není podporováno Androidu 2.* a starším IE)

amp #17
amp 23. leden 2013 07:57

Další problém se StartSSL certifikátem je, že není podporován na platformě WindowsPhone.

CloudFlare SSL #14
CloudFlare SSL 06. prosinec 2012 18:58

zajímalo by mne, co si myslí Ondřej o CloudFlare SSL Reverse CDN Proxy?

Foo Bar 07. prosinec 2012 10:24

Měl by být CloudFlare v něčem speciální?

Každá SSL proxy umožňuje provozovali té proxy vidět obsah spojení, a to jestli to provozovateli (a uživatelům) vadí nebo ne, a jak je to smluvně zajištěno je otázka pro tyto dvě strany, které se podílí na vytvoření zabezpečeného spojení.

Filip Oščádal #16
Filip Oščádal 27. prosinec 2012 12:44

spíš jsem myslel fakt, že CloudFlare šifruje spojení svým certifikátem, SSL certifikát serveru je použit pouze pro spojení s CloudFlarem


RSS 

Zprávičky

Majitelé iPhonů spotřebují dvojnásobně dat, než u Androidu

ČTK , 26. srpen 2016 12:00

Čeští uživatelé iPhonů spotřebují měsíčně dvojnásobně dat, než majitelé telefonů s operačním systéme...

Více 2 komentářů

Společnost Tieto Czech letos přijala 300 nových zaměstnanců

ČTK , 26. srpen 2016 10:30

Společnost Tieto Czech, která patří k největším zaměstnavatelům v oboru informačních technologií v Č...

Více 0 komentářů

Aplikace vyvinutá na ČVUT automaticky tvoří realistické ruční malby

Petr Velecký , 25. srpen 2016 14:00

Nový nástroj pro automatickou stylizaci 3D obrazu StyLit vyvinul tým vědců pod vedením doc. Daniela ...

Více 2 komentářů

Starší zprávičky

Tvůrce hry Angry Birds, se v pololetí vrátil k zisku

ČTK , 25. srpen 2016 10:30

Finská společnost Rovio Entertainment, tvůrce populární elektronické hry Angry Birds, se v první pol...

Více 0 komentářů

Přes třicet projektů soutěží ve využití internetu věcí

ČTK , 24. srpen 2016 15:30

Přes třicet týmů a firem se přihlásily do soutěže Czech IoT Summer Jam 2016, která má za cíl vytvoři...

Více 0 komentářů

Elektronické ověřování identity občanů EU schváleno

ČTK , 24. srpen 2016 14:00

Umožnit elektronicky ověřit identitu občanů EU například při přeshraničních elektronických transakcí...

Více 5 komentářů

Zaměstnancům Amazonu v ČR vzrostou mzdy

ČTK , 24. srpen 2016 11:00

Českým zaměstnancům internetového obchodu Amazon vzrostou od září průměrné mzdy o 13,6 procenta, na ...

Více 0 komentářů