Komunikace s úřady - certifikáty české pošty

Odkazy na zajímavé články ze světa Linuxu.

Re: Komunikace s úřady - certifikáty české pošty

Příspěvekod xsouku04 » úte 23. pro 2014 14:58:07

Děkuji za komentáře. Byl jsem opět nucen se tímto zabývat a tak jsem trochu doplnil svůj první příspěvek.

alfi píše:to, jestli čtu zaheslovaný klíč rovnou z pkcs12 nebo z (doufejme) zaheslovaného úložiště v prohlížeči, mi přijde nastejno - v obou případech stačí znát formát uloženého souboru a ono uživatelské heslo, které uživatel dříve nebo později napíše z klávesnice.. aneb pokud je sám sobě správcem PC, má záplatováno, na windows nějaký antivir, nechodí na/nestahuje warez a neinstaluje hned kdejaký bomba screensaver, který dorazil emailem, pak je to myslím jakž takž bezpečné. otázkou spíš bude, kolik běžných frantů všechny tyhle předpoklady současně splňuje? :-)


Podle mého názoru ona hra na certifikáty je pro běžného BFU jen extra komplikovaný opruz, nikoli extra bezpečnost. Pokud se na daný počítač dostane nějaký vir/trojský kůň, který odposlouchává klávesnici a umožní útočníkovi i přístup na disk, jsme co se týče bezpečnosti na tom stejně špatně jako s jedním obyčejným heslem. Ba ne hůře, protože na podpis se více spoléháme a má přesně danou veřejně známou platnost.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6858
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: Komunikace s úřady - certifikáty české pošty

Příspěvekod xtonda » úte 23. pro 2014 15:43:37

V případě statického hesla je potřeba získat toto heslo a jste tam, v případě certifikátu je to heslo pouze jednou z věcí potřebnou k získání privátního klíče ze zabezpečeného úložiště, což může být různě složité podle toho co se používá jako to úložiště (Systémové v OS, to co má FF/Thunderbird, PKCS12 kontejner). Čili to není úplně stejné.

Samozřejmě řádově lepším řešením je HW řešení typu čipová karta.

Ale ten rozdíl je hlavně funkční, klasickým heslem prostě věcně nelze realizovat digitální (elektronický podpis).
xtonda
 
Příspěvky: 734
Registrován: čtv 08. zář 2011 14:38:19

Re: Komunikace s úřady - certifikáty české pošty

Příspěvekod xsouku04 » úte 23. pro 2014 16:51:23

xtonda píše:V případě statického hesla je potřeba získat toto heslo a jste tam, v případě certifikátu je to heslo pouze jednou z věcí potřebnou k získání privátního klíče ze zabezpečeného úložiště, což může být různě složité podle toho co se používá jako to úložiště (Systémové v OS, to co má FF/Thunderbird, PKCS12 kontejner). Čili to není úplně stejné.

Samozřejmě řádově lepším řešením je HW řešení typu čipová karta.

Ale ten rozdíl je hlavně funkční, klasickým heslem prostě věcně nelze realizovat digitální (elektronický podpis).


Rozumím. Ale já uvažuji takto. Kdybych chtěl získat něčí hesla nějakého BFU, nasadím mu na jeho počítač logovač klávesnice, který si pak na dálku budu prohlížet. A když už můžu prohlížet log toho co zadal přes klávesnici, mohu stahovat i vše, co má na disku včetně pkcs12 nebo jiných úložišť, od nějž mám heslo právě díky logovači klávesnice.

Tedy jediná problematická část je jej přimět, aby spustil můj exe soubor a jeho antivirová ochrana to nezneškodnila. Tedy v zásadě stejný problém, jako kdyby byl chráněn jen heslem. I když možností, jak uživatele připravit o heslo, je trošku více, logovač klávesnice je asi nejpohodlnější a nejjistější způsob s malým rizikem prozrazení.
Pokud bych se k počítači fyzicky dostal na 5 minut, je to jednoduché.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6858
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: Komunikace s úřady - certifikáty české pošty

Příspěvekod mobilemanic » úte 23. pro 2014 20:17:41

xtonda píše:... Ale ten rozdíl je hlavně funkční, klasickým heslem prostě věcně nelze realizovat digitální (elektronický podpis).

S tím tak úplně nesouhlasím, záleží na dohodě obou stran. Lecjaká banka Vám dneska umožňuje podepisovat rozšiřující smlouvy v IB jen na základě zadání Vašeho hesla...

Offtopic: obecně se mi zdá, že se dneska na SHA hashe a RSA technologii spoléhá až moc.. :-/
mobilemanic
 
Příspěvky: 475
Registrován: čtv 10. říj 2013 10:20:15

Re: Komunikace s úřady - certifikáty české pošty

Příspěvekod alfi » úte 23. pro 2014 22:11:00

mobilemanic píše:
xtonda píše:... Ale ten rozdíl je hlavně funkční, klasickým heslem prostě věcně nelze realizovat digitální (elektronický podpis).

S tím tak úplně nesouhlasím, záleží na dohodě obou stran. Lecjaká banka Vám dneska umožňuje podepisovat rozšiřující smlouvy v IB jen na základě zadání Vašeho hesla...

jasně, ale to je nějaké "klikání" mezi vámi a bankou a v případě sporu bude muset spíš banka prokázat, že k onomu "podpisu" došlo. a pokud má v podmínkách možnost uzavření smlouvy "prostřednictvím dálkového přístupu", nejspíš i uspěje.

elektronický podpis pro státní správu je definován zákonem a musí splňovat konkrétní podmínky, mj. ten "kvalifikovaný certifikát" vydaný schválenou certifikační autoritou.

xsouku04 píše:Rozumím. Ale já uvažuji takto. Kdybych chtěl získat něčí hesla nějakého BFU, nasadím mu na jeho počítač logovač klávesnice, který si pak na dálku budu prohlížet. A když už můžu prohlížet log toho co zadal přes klávesnici, mohu stahovat i vše co má na disku včetně pkcs12 nebo jiných úložišť od nějž mám heslo právě díky logovači klávesnice.

Tedy jediná problematická část je jej přimět aby spustil můj exe soubor a jeho antivirová ochrana to nezneškodnila. Tedy v zásadě stejný problém, jako kdyby byl chráněn jen heslem. I když možnosti jak uživatele připravit o heslo je trošku více, logovač klávesnice je asi nejpohodlnější a nejjistější způsob s malým rizikem prozrazení.
Pokud bych se k počítači fyzicky dostal na 5 minut, je to jednoduché.

Jedno ze základních pravidel zabezpečení PC je, že ten "běžný franta" nepracuje pod uživatelem s oprávněním administrátora. Potom nainstalovat nějaký keylogger nebo cokoliv během 5 min. u klávesnice sice jde, ale aplikace s oprávněním "user" by odchytávat klávesnici či jinou komunikaci s hardwarem neměla být schopna.
Že většina uživatelů na windows se tím neřídí je věc jiná (a počítám, že je pořád i spousta aplikací, která bez administrátora pořádně nefunguje). A na dotykových systémech ala android lze uživatelsky nainstalovat taky virtuální klávesnici, která potom vše odchytávat může. Ale systém už na to alespoň upozorňuje :-) A ze stejného důvodu v novějších androidech už uživatelská aplikace nemůže tak snadno přečíst celé úložiště.
alfi
 
Příspěvky: 419
Registrován: čtv 03. led 2013 16:31:10

Re: Komunikace s úřady - certifikáty české pošty

Příspěvekod xtonda » úte 23. pro 2014 23:18:42

mobilemanic píše:
xtonda píše:... Ale ten rozdíl je hlavně funkční, klasickým heslem prostě věcně nelze realizovat digitální (elektronický podpis).

S tím tak úplně nesouhlasím, záleží na dohodě obou stran. Lecjaká banka Vám dneska umožňuje podepisovat rozšiřující smlouvy v IB jen na základě zadání Vašeho hesla...

Offtopic: obecně se mi zdá, že se dneska na SHA hashe a RSA technologii spoléhá až moc.. :-/

To že uživatel byl ověřen heslem v nějaké aplikaci a tam klikl na nějaké tlačítko, což banka interpretuje jako právně závazný úkon, nemá žádnou souvislost s digitálním podpisem. Digitální podpis je kryptografická (matematická) operace privátním klíčem provedená nad blokem dat jejímž výstupem je jiný blok dat zvaný digitální podpis. Tem má tu vlastnost, že když zveřejním ten vstupní blok dat, ten digitální podpis a veřejný klíč odpovídající tomu privátnímu, tak kdokoliv může ověřit (opět matematická operaci), že daný podpis byl proveden deklarovaným klíčem a zároveň to nikdo bez znalosti toho privátního klíče nemůže padělat.
xtonda
 
Příspěvky: 734
Registrován: čtv 08. zář 2011 14:38:19

Re: Komunikace s úřady - certifikáty české pošty

Příspěvekod xtonda » úte 23. pro 2014 23:37:17

xsouku04 píše:Rozumím. Ale já uvažuji takto. Kdybych chtěl získat něčí hesla nějakého BFU, nasadím mu na jeho počítač logovač klávesnice, který si pak na dálku budu prohlížet. A když už můžu prohlížet log toho co zadal přes klávesnici, mohu stahovat i vše co má na disku včetně pkcs12 nebo jiných úložišť od nějž mám heslo právě díky logovači klávesnice.

Tedy jediná problematická část je jej přimět aby spustil můj exe soubor a jeho antivirová ochrana to nezneškodnila. Tedy v zásadě stejný problém, jako kdyby byl chráněn jen heslem. I když možnosti jak uživatele připravit o heslo je trošku více, logovač klávesnice je asi nejpohodlnější a nejjistější způsob s malým rizikem prozrazení.
Pokud bych se k počítači fyzicky dostal na 5 minut, je to jednoduché.

Keylogger lze realizovat mnoha způsoby, kamera nad klávesnicí (viz ATM skimming), stěnice lípnutá na klávesnici nebo na kabel. Pro získání hesla lze použít phishing - přesvědčím uživatele aby zadal heslo na mojí stránku, sociální inženýrství - přiměju uživatele aby mi ho řekl, mohu získat uniklá hesla odjinud a kalkulovat, že daný uživatel používá stejné heslo na více systémech. V žádném z těchto případů nebudu mít přístup k filesystému počítače uživatele abych se zmocnil onoho pkcs12 kontejneru nebo úložiště Firefoxu. V případě úložiště OS, i když dosáhnu spuštění vlastního programu, toto úložiště procesu běžícímu pod daným uživatelem vůbec nemusí být přístupné ke zkopírování, ale pouze přes nějaké systémové volání, které bude vyžadovat interaktivní potvrzení uživatelem, čili i s heslem budu potřebovat nějaký exploit toho systému.

V případě použití hesel je totiž slabina právě to, že uživatel musí toto stále stejné heslo neustále někde zadávat a tedy si ho i pamatovat, což otevírá spoustu možností jak ho získat.
xtonda
 
Příspěvky: 734
Registrován: čtv 08. zář 2011 14:38:19

Re: Komunikace s úřady - certifikáty české pošty

Příspěvekod STP » pát 27. úno 2015 23:16:30

Omlouvám se, že lezu mezi pokročilé, ale je to můj
aktuální problém.
Jde přenést klíč, vygenerovaný ve Windows, (jeho záloha), do Linuxu?
Nebo kde bych o tom přenosu něco našel? Děkuji.
STP
 
Příspěvky: 34
Registrován: ned 06. říj 2013 21:59:27

Re: Komunikace s úřady - certifikáty české pošty

Příspěvekod xsouku04 » pát 27. úno 2015 23:37:04

Máte soubor s koncovkou p12? Co přesně máte a jak to vypadá?
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6858
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: Komunikace s úřady - certifikáty české pošty

Příspěvekod STP » sob 28. úno 2015 0:02:09

Tak na takové podrobnosti se musím zítra podívat do papíru.
Vím, že při obnově mi to nabídne veřejný klíč pro Win., a další pro
jiné systémy.
Problém by mohla být záloha soukromého klíče jen z Windows.
Je to tzv. elektronický podpis Postsignum.
Děkuji za odpověď, vrátím se, až budu znát konkrétní koncovky.
STP
 
Příspěvky: 34
Registrován: ned 06. říj 2013 21:59:27

PředchozíDalší

Zpět na Zajímavosti ze světa Linuxu

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 1 návštěvník