The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Представлена централизованная база для проверки подлинности ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Представлена централизованная база для проверки подлинности ..."  +/
Сообщение от opennews (??) on 05-Ноя-12, 15:25 
Исследователи безопасности из университета Беркли объявили (http://lists.randombit.net/pipermail/cryptography/2012-Novem...) о создании некоммерческого сообщества ICSI Certificate Notary (http://notary.icsi.berkeley.edu), которое будет поддерживать единую базу с информацией о валидности SSL-сертификатов. Созданный сервис проверки сертификатов является попыткой решения ключевой архитектурной проблемы процесса сертификации - при компрометации одного из сотен центров сертификации, рушится (https://www.opennet.ru/opennews/art.shtml?num=33127) вся цепочка доверия (злоумышленники могут сгенерировать сертификат для любого сайта (https://www.opennet.ru/opennews/art.shtml?num=31678), который будет воспринят всей системой как корректный). ICSI Certificate Notary позволяет выявлять такие обманные сертификаты на ранней стадии их появления.

На основе проведённой в течение года автоматизированной проверки, охватившей статистику по примерно 7.6 миллиардов SSL-соединений от 220 тысяч пользователей,  собраны данные об около 500 тысячах сертификатов, используемых web-сайтами в сети. Данные накоплены с использованием нескольких независимых партнёрских систем, работающих в разных частях света. Информация обновляется в непрерывном цикле, что позволяет оперативно отследить факты компрометации сертификатов. Таким образом, используя ICSI Certificate Notary любой пользователь может убедится, что сертификат, задействованный для создания SSL-соединения с заданным сайтом, выдан данному сайту, а не внедрён клиенту злоумышленниками для организации перехвата трафика.


Доступ к сервису организован в форме DNSBL. Проверка репутации сертификата осуществляется через отправку DNS-запроса в форме "хэш.notary.icsi.berkeley.edu", где хэш - SHA1-хэш от сертификата, валидность которого требуется проверить. В ответ будет возвращена TXT-запись с информацией о валидности сертификата, а также времени первой и последней проверки (например, "version=1 first_seen=15387 last_seen=15646 times_seen=260 validated=1"). Проверка сертификатов организована с задействованием поддерживаемого проектом Mozilla хранилища данных о корневых сертификатах. Интересно, что серверная часть организована с использованием оптимизированного для отдачи DNSBL зон  DNS-сервера rbldnsd (http://www.corpit.ru/mjt/rbldnsd.html), созданного нашим соотечественником, Михаилом Токаревым.

URL: http://lists.randombit.net/pipermail/cryptography/2012-Novem...
Новость: https://www.opennet.ru/opennews/art.shtml?num=35232

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Представлена централизованная база для проверки подлинности ..."  +1 +/
Сообщение от Аноним (??) on 05-Ноя-12, 15:25 
Проверил - не работает
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Представлена централизованная база для проверки подлинности ..."  +1 +/
Сообщение от a (??) on 05-Ноя-12, 16:36 
Доброго времени!
Kernel.org
7358708B1BB672D6B0C02B0A1F2CB81105700A99
$ dig +short 7358708B1BB672D6B0C02B0A1F2CB81105700A99.notary.icsi.berkeley.edu
возвращает 127.0.0.2, «валидный»
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Представлена централизованная база для проверки подлинности ..."  +4 +/
Сообщение от Аноним (??) on 05-Ноя-12, 15:47 
Что мешает взломать и эту базу, подделав _все_ сертификаты?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Представлена централизованная база для проверки подлинности ..."  +/
Сообщение от Алексей (??) on 05-Ноя-12, 16:24 
Эта штука не генерирует сертификатов
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Представлена централизованная база для проверки подлинности ..."  +3 +/
Сообщение от Аноним (??) on 05-Ноя-12, 16:45 
Сгенерировать левый сертификат, взломать берклийцев, заставить их днс рапортовать о валидности хэша левого сертификата?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

17. "Представлена централизованная база для проверки подлинности ..."  +1 +/
Сообщение от Crazy Alex (ok) on 05-Ноя-12, 21:22 
Ну так это +1 взлом
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Представлена централизованная база для проверки подлинности ..."  +3 +/
Сообщение от filosofem (ok) on 05-Ноя-12, 16:45 
поэтому взламывать её не честно?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

4. "Представлена централизованная база для проверки подлинности ..."  +5 +/
Сообщение от sirGrey email on 05-Ноя-12, 15:59 
Единая точка отказа!

Нужно что то вроде Spoof Proof DHT.
Интересная проблема - даже в распределённом варианте или бесполезна, или подвержена DOS.

Есть у EFF толковые математики?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Представлена централизованная база для проверки подлинности ..."  +/
Сообщение от Anonymous1 on 05-Ноя-12, 16:51 
Любой единый (нераспределенный) центр проверки валидности является единой точкой отказа. Вопрос: какое время Вы можете обходиться без проверки валидности сертификатов, если Вы кешируете результаты (предыдущих) проверок?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "Представлена централизованная база для проверки подлинности ..."  +/
Сообщение от тоже Аноним (ok) on 05-Ноя-12, 17:14 
Ответ: такое же, как сейчас, когда такой точки нет.
Правильно?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Представлена централизованная база для проверки подлинности ..."  –3 +/
Сообщение от Акакий Зильбиршейн_ on 05-Ноя-12, 17:26 
> Единая точка отказа!
> Нужно что то вроде Spoof Proof DHT.
> Интересная проблема - даже в распределённом варианте или бесполезна, или подвержена DOS.
> Есть у EFF толковые математики?

а у тебя есть мозги? ты че думаешь никому в голову идея о одно т.о. в голову не пришла? и как будешь колбасить распределённом вариант? распределённым досом же? а пиписька не сломается?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

26. "Представлена централизованная база для проверки подлинности ..."  +4 +/
Сообщение от Аноним (??) on 05-Ноя-12, 23:15 
> Интересная проблема - даже в распределённом варианте или бесполезна, или подвержена DOS.

Что-то в торрентах и осле копирасы так и не осилили завалить DHT. Хотя пытались хорошо, но пересилить несолько миллионов юзвергов у них ни разу не вышло. Эффекта было около нуля. Хотя фэйковых нодов плодили оптом.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

13. "Представлена централизованная база для проверки..."  +3 +/
Сообщение от arisu (ok) on 05-Ноя-12, 17:45 
> централизованная база

дальше не читал: defective by design.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Представлена централизованная база для проверки..."  +/
Сообщение от Crazy Alex (ok) on 05-Ноя-12, 21:24 
Ну костыль. Зато реализуемый сейчас...
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

23. "Представлена централизованная база для проверки..."  +1 +/
Сообщение от Аноним (??) on 05-Ноя-12, 22:53 
Вот была охота отчитываться каким-то будакам из беркелея о всех посещенных SSL сайтах.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

20. "Представлена централизованная база для проверки..."  –2 +/
Сообщение от Аноним (??) on 05-Ноя-12, 21:42 
> defective by design

отчего же, можно отправить на орбиту "Оплот чести -1", с начинкой от группы "Честь как аномалия", залить зоны и хэши, выкинуть модули удаленного управления в потоки солнечной радиации, обеспечить каждому неверующему возможность слетать и проверить на месте сопровождаемому телевизионной группой канала "Правда" в составе  андроидов с открытой прошивкой, на земле принимать схемами, набранными только советскими микросхемами. только не говорите, что это нереально, не расстраивайте..

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

47. "Представлена централизованная база для проверки..."  +/
Сообщение от m32 on 07-Ноя-12, 11:44 
Весьма неплохо звучит.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Представлена централизованная база для проверки..."  –1 +/
Сообщение от XoRe (ok) on 05-Ноя-12, 22:01 
>> централизованная база
> дальше не читал: defective by design.

А вы попробуйте сломать этот design.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

24. "Представлена централизованная база для проверки..."  +/
Сообщение от Аноним (??) on 05-Ноя-12, 22:55 
> А вы попробуйте сломать этот design.

Его и ломать не надо: для начала меня совершенно не устраивает что какие-то левые перцы в курсе когда и куда я ходил. Чего ради какой-то левый беркелей будет вообще знать о том когда я заходил в онлайн банкинг??? Уху ели?!

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

34. "Представлена централизованная база для проверки..."  +/
Сообщение от XoRe (ok) on 06-Ноя-12, 11:22 
>> А вы попробуйте сломать этот design.
> Его и ломать не надо: для начала меня совершенно не устраивает что
> какие-то левые перцы в курсе когда и куда я ходил.

А где написано, что ваши данные сливаются?

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

35. "Представлена централизованная база для проверки..."  +/
Сообщение от Аноним (??) on 06-Ноя-12, 11:46 
> А где написано, что ваши данные сливаются?

Простите, чтобы посмотреть базу мне надо сделать запрос в этот днсник. По оному запросу какие-то совершенно посторонние граждане как минимум видят факт посещения SSLного сайта в энный период времени. По факту я это классифицирую как built-in спайваре.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

39. "Представлена централизованная база для проверки..."  +/
Сообщение от Антоним on 06-Ноя-12, 13:14 
Спокуха — тот кто может подсунуть тебе фейковый сертификат так же сможет положить в кеш локального сервера DNS и фейковую запись об его валидности, так что никто ничего не узнает — запрос далеко не уйдёт. ;-)
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

44. "Представлена централизованная база для проверки..."  +/
Сообщение от Аноним (??) on 06-Ноя-12, 17:51 
> валидности, так что никто ничего не узнает — запрос далеко не уйдёт. ;-)

Картонный щит + спайваре в комплекте...

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

42. "Представлена централизованная база для проверки..."  +/
Сообщение от nagual email(ok) on 06-Ноя-12, 14:17 
>> А вы попробуйте сломать этот design.
> Его и ломать не надо: для начала меня совершенно не устраивает что
> какие-то левые перцы в курсе когда и куда я ходил. Чего
> ради какой-то левый беркелей будет вообще знать о том когда я
> заходил в онлайн банкинг??? Уху ели?!

А ведь и правда ...
Скорее всего ребята хотят срубить бабла ...

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

46. "Представлена централизованная база для проверки..."  +/
Сообщение от qux (ok) on 06-Ноя-12, 20:13 
А, например, OCSP, который Online Certificate Status Protocol и в фоксе по дефолту включен, вас не смущает?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "Представлена централизованная база для проверки..."  –1 +/
Сообщение от arisu (ok) on 06-Ноя-12, 02:43 
>>> централизованная база
>> дальше не читал: defective by design.
> А вы попробуйте сломать этот design.

ты не понимаешь, почему централизованые вещи в данном случае таки сломаны уже сразу? зачем доламывать то, что изначально косое? O_O

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

31. "Представлена централизованная база для проверки..."  +/
Сообщение от thelamon email(ok) on 06-Ноя-12, 09:48 
>>>> централизованная база
>>> дальше не читал: defective by design.
>> А вы попробуйте сломать этот design.
> ты не понимаешь, почему централизованые вещи в данном случае таки сломаны уже
> сразу? зачем доламывать то, что изначально косое? O_O

DNS defective by design и сломан уже сразу?О_О

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

32. "Представлена централизованная база для проверки..."  +/
Сообщение от filosofem (ok) on 06-Ноя-12, 10:31 
> DNS defective by design и сломан уже сразу?О_О

Гы. 3 раза.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

36. "Представлена централизованная база для проверки..."  +/
Сообщение от Аноним (??) on 06-Ноя-12, 11:49 
> DNS defective by design и сломан уже сразу?О_О

Насквозь грабельный протокол с кучей проблем. Мало того что его просто хакали кучу раз, так еще и США уже отличились несколько раз, вывесив "Seized" на нескольких доменах без суда и следствия, просто отхапав домены по принципу "у кого в стране ICANN, тот и прав". Да и рунетчики помнится рутрекер разделегировали по желанию левой пятки.

В общем такая надежная и неубиваемая система, совсем не defective.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

38. "Представлена централизованная база для проверки..."  +/
Сообщение от ваноним on 06-Ноя-12, 12:07 
DNS - defective by design. DNS может быть распределенной
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

40. "Представлена централизованная база для проверки..."  +/
Сообщение от Аноним (??) on 06-Ноя-12, 13:17 
Да конечно, в Беркли дураки сидят. Только русский левша знает, как надо блоху подковать.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

43. "Представлена централизованная база для проверки..."  +/
Сообщение от arisu (ok) on 06-Ноя-12, 17:21 
> Да конечно, в Беркли дураки сидят. Только русский левша знает, как надо
> блоху подковать.

да, судя по новости — конкретно эту вещь делали конкретные дураки. а со своими комплексами «там они все умные, а я дурак» попробуй к врачу сходить, что ли. хотя, может, ты просто правду о себе думаешь…

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

45. "Представлена централизованная база для проверки..."  +/
Сообщение от Аноним (??) on 06-Ноя-12, 17:59 
> Да конечно, в Беркли дураки сидят. Только русский левша знает, как надо блоху подковать.

В беркли могут затупить не меньше чем где либо еще.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

15. "Представлена централизованная база для проверки подлинности ..."  +1 +/
Сообщение от robux (ok) on 05-Ноя-12, 18:35 
Согласен с ораторами:
если бы заголовок был "Представлена децентрализованная база сертификатов",
то это была бы новость Опёнка.

А так еще один пафосный зонд от ЦРУ:
в Час Хэ этот "центр" будет отвечать фейлом нужным странам/зонам и парализует их деятельность.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Представлена централизованная база для проверки подлинности ..."  +1 +/
Сообщение от YetAnotherOnanym on 05-Ноя-12, 19:46 
Если у властей есть голова на плечах, они могут запилить свой такой же центр, с нардами и гуриямми, который будет синхронизироваится с Берклеевским, в той части, которую оперирующая им организация сочтёт нужным. И просто тупо обязать производителей софта, продаваемого в стране, прописывать дефолтом местный центр (то же для прошивок).
Впрочем, последние события в Персии показали, что мозгов на это у властей не всегда хватает.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Представлена централизованная база для проверки подлинности ..."  +1 +/
Сообщение от Crazy Alex (ok) on 05-Ноя-12, 21:24 
Ну ладно, от ЦРУ не защитит - зато от КомодоХакеров - вполне. Тоже неплохо.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

25. "Представлена централизованная база для проверки подлинности ..."  +2 +/
Сообщение от Аноним (??) on 05-Ноя-12, 22:56 
> Ну ладно, от ЦРУ не защитит - зато от КомодоХакеров - вполне.

Если заменить одних му...ков на других му...ков, это не защита а имитация бурной деятельности.


Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

30. "Представлена централизованная база для проверки подлинности ..."  –2 +/
Сообщение от thelamon email(ok) on 06-Ноя-12, 09:48 
Желтоватый коммент. По-моему, сама суть этого сервиса, чтобы сообщать о том, валидный ли с _его_ точки зрения сертификат или нет. + время когда он был инвалидирован. А вот решать, что делать дальше - дело пользователя. Мне кажется, пока что будет уместно показывать сообщение, аналогичное тому, какое показывают браузеры, если DNS в сертификате и в непосредственно в запросе отличаются. В таком варианте - сервис мне нравится и не вижу проблем с ним. Если он не работает - от него не будет никакой инфы == будет как сейчас.

А вот когда к этому сервису будет около 100% доверие и надёжность 99.99% (а лучше 99.9999%) - тогда для браузеров будет иметь смысл автоматически блокировать доступ.

Кстати про Single point of failure это слегка спорно. Это же DNS по сути - значит оно не слишком-то Single - можно кучу серверов поставить, ну да и так всем понятно. Инфа там автоматом реплицируется, не вижу проблемы :)

PS. И да, сторонникам теории всемирного заговора конечно будет чудиться след агентов ЦРУ везде где только можно.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

33. "Представлена централизованная база для проверки подлинности ..."  +/
Сообщение от filosofem (ok) on 06-Ноя-12, 10:37 
>Это же DNS по сути - значит оно не слишком-то Single - можно кучу серверов поставить, ну да и так всем понятно.

Верно, только наоборот. Хаксору не нужна даже централизованная база. Можно любой из серверов поломать/отравить. А для MITM спуфить DNS ответы вообще как два пальца.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

21. "Представлена централизованная база для проверки подлинности ..."  –1 +/
Сообщение от Аноним email(??) on 05-Ноя-12, 21:58 
уже сейчас использую Perspectives для фаерфокс, дополнительный аналогичный сервис это плюс.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Представлена централизованная база для проверки подлинности ..."  +/
Сообщение от Аноним (??) on 06-Ноя-12, 13:41 
Планету спасти не осилит, но одиозное раздолбайство удостоверяющих центров будет обнаруживать более оперативно. Осталось понять какая от этого получается польза, после краха голландцев с любым удостоверяющим центром, кроме личного, все равно работаешь на авось, на свой страх и риск.
Имхо но системы основанные на доверии при своем расширении  неустойчивы и малопригодны принципе, они могут существовать только в малых группах при наличии возможностей перепроверки. Возможно ICSI может выступить в роли такой перепроверки. Но это сильно ограниченно ибо там, в самом низу, есть раздел называется Disclaimer и в нем, что называется, все существо дела и отражено :) .
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру