?

Log in

PKI, doing it wrong - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

PKI, doing it wrong [Feb. 24th, 2012|02:29 pm]
ArkanoiD
Меня просто в ступор вводит количество людей, которые считают, что нормальная практика смешивать domains of trust:

a) подписывая корпоративную инфраструктуру с помощью публичного рута
b) инспектируя на периметре контент с помощью подписанного публичным рутом subordinate CA

потому что деплоймент корпоративного рута это СЛОЖНО

то есть, если ты недоумок, который не в состоянии разобраться с ключами от своих дверей, это нормально -- вручить их кому попало в интернете в первом случае и потребовать себе ключ, который откроет все двери в мире во втором.

Пиздец.
linkReply

Comments:
[User Picture]From: loginex
2012-02-24 10:40 am (UTC)
это тонкий намек про траствейв или кого ты еще имел ввиду ?
(Reply) (Thread)
[User Picture]From: wizzard0
2012-02-24 10:51 am (UTC)
да не только траствейв, в том-то и дело

во всяком случае, п. а) делают просто дофигища народу
(Reply) (Parent) (Thread)
[User Picture]From: loginex
2012-02-24 11:22 am (UTC)
на "а" - это просто идиоты, которые всегда были и всегда будут.
(Reply) (Parent) (Thread)
[User Picture]From: alexkuklin
2012-02-24 10:47 am (UTC)
эээммм... а что сложного, кроме того, что ни в айфончики, ни в андройды, ни в симбианы ты свой CA не запихнешь?
(Reply) (Thread)
[User Picture]From: wizzard0
2012-02-24 10:50 am (UTC)
и шо, таки да?

/me еще раз порадовался что купил себе виндофон и всобачил туда собственный рут
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2012-02-24 10:51 am (UTC)
В симбианы я запихивал штатными тулзами. Что в остальные никак тоже не очень-то верится.
(Reply) (Parent) (Thread)
[User Picture]From: alexkuklin
2012-02-24 10:55 am (UTC)
ну в случае андроида - только через SDK, читай, через жопу, и не на всякий телефон засунешь.

внезапно, 30 декабря на этот тикет что-то ответили:
http://code.google.com/p/android/issues/detail?id=13537
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: tobotras
2012-02-24 11:11 am (UTC)
В чем заключается процесс b), не понял :(
(Reply) (Thread)
[User Picture]From: alexkuklin
2012-02-24 11:15 am (UTC)
это предмет лютого баттхерта последнее время - кого-то из крупных CA поймали за руку на продаже subordinate сертификатов, дающих право выписать любой сертификат, что дает возможность реализовать MitM атаку.

http://www.opennet.ru/opennews/art.shtml?num=33127
http://www.opennet.ru/opennews/art.shtml?num=33034
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2012-02-24 11:16 am (UTC)
покупают за адовы деньги сертификат с CA:true у небрезгливого рута и ставят его в какой-нибудь bluecoat, чтобы он переподписывал трафик из интернетов.

Trustwave недавно признался, что у него был прецедент продажи такого сертификата.
(Reply) (Parent) (Thread)
[User Picture]From: no1u1w1w6c
2012-02-24 10:30 pm (UTC)
прецедент? да они прямым текстом предлагали эту услугу, какой там «прецедент»…
(Reply) (Parent) (Thread)
[User Picture]From: toxa
2012-02-25 01:33 pm (UTC)
кстати, деньги не такие уж и адовые. анально ограниченный MPKI от какого-нибудь крупного вендора дороже.
(Reply) (Parent) (Thread)
[User Picture]From: rblaze
2012-02-24 11:26 am (UTC)
Проблема не в том, что сложно деплоить. Проблема в том, что это сложно сделать незаметно.
(Reply) (Thread)
[User Picture]From: arkanoid
2012-02-24 11:30 am (UTC)
А делать это "незаметно" в большинстве стран тупо противозаконно.
(Reply) (Parent) (Thread)
[User Picture]From: rblaze
2012-02-24 11:44 am (UTC)
Да щас. Документ "мы шпионим за вами" сотрудник подписал, а то что он при этом в надежность SSL верит - его проблемы.

И вообще, а как тогда получается, что использовать ложный CA законно?
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: _slw
2012-02-24 01:16 pm (UTC)
ты прикидываешься, да?
инспектирование на периметре мало того что не завязано на корпоративного рута, более того -- корпоративный рут там не только лишний а прямо таки вредный.
почему так -- задание на подумать.
(Reply) (Thread)
[User Picture]From: arkanoid
2012-02-24 01:52 pm (UTC)
Ну давай рисуй, почему так. Пока ты мне описывал исключительно хуиту.
(Reply) (Parent) (Thread)
[User Picture]From: _slw
2012-02-24 02:01 pm (UTC)
ничего не поменялось, и ты по прежнему с упертостью, достойной лучшего применения не пытаешься думать.

ну и вообще, попробуй аргументировать, почему у меня хуита, а у тебя -- нет.
мне, например, очевидно, что все с точностью наоборот.
(Reply) (Parent) (Thread) (Expand)
(Deleted comment)
[User Picture]From: arach_tech
2012-02-24 06:26 pm (UTC)

это у белки орехи и шишки..

чтобы написать что-нибудь позитивное сначала нужно покурить что-нибудь позитивное, потому что без воскурения позитивного ничего позитивного в нашем долбаном непозитивном мире не увидеть/придумать ни в каком позитивном настроении.
(Reply) (Parent) (Thread)
(Deleted comment)
[User Picture]From: toxa
2012-02-25 01:34 pm (UTC)

Re: это у белки орехи и шишки..

Позитив - не для дартаньянов! =)
(Reply) (Parent) (Thread)
[User Picture]From: lumag
2012-03-01 08:48 am (UTC)
А чем плохо a)?
(Reply) (Thread)
[User Picture]From: arkanoid
2012-03-01 09:03 am (UTC)
а если подумать?
(Reply) (Parent) (Thread)
[User Picture]From: lumag
2012-03-01 09:33 am (UTC)
А если бы не подумал, не спрашивал бы. На ум приходит только наличие большого количество пар plain text/ enciphered text, но я не очень понимаю смысл такой информации для взлома RSA.
(Reply) (Parent) (Thread) (Expand)