Slabý certifikát pro šifrované hovory?

tls,srtp,zrtp a bezpečnostní potíže VoIP

Re: Slabý certifikát pro šifrované hovory?

Příspěvekod alfi » pon 08. kvě 2017 11:32:44

Souhlas s původním dotazem/připomínkou. Provozovat dneska "šifrování" jen s SHA-1 klíči je spíš ostuda - už přes dva roky se nesmí vydávat nové. Pokud je ale SHA-1 podepsaná i certifikační autorita, změna nebude úplně jednoduchá (i když přesvědčit cca 80 klientů není zase až tolik). Každý klíč může být podepsaný i více autoritama - tj. dá se přidat CA nová se SHA256, nějakou chvíli propagovat správný klíč a původní smazat až později.

SSL/TLS vrstva je (naštěstí) stejná pro všechny protokoly (http, smtp, imap, sip..), tj. doporučená nastavení pro https jde používat všude, stejně tak jde využít stávající know-how z http (vč. základního testu přímo z prohlížeče, viz https://sip.odorik.cz:5061 :-) ). Jen veřejně dostupné TLS testery ne vždycky podporujou nestandardní porty, ale i takový se dá najít, viz např. https://www.htbridge.com/ssl/?id=gz4rD8cz = výsledek je do komerčního šifrovaného provozu nepoužitelný, ať už tam chodí data jakékoliv.

Pěkný návod s vysvětlením základních pricipů, možných chyb a průběžnou aktualizací je třeba tady https://wiki.mozilla.org/Security/Server_Side_TLS :-)
alfi
 
Příspěvky: 331
Registrován: čtv 03. led 2013 16:31:10

Re: Slabý certifikát pro šifrované hovory?

Příspěvekod kovik » pát 19. kvě 2017 13:28:04

Dobry den,
zprovoznil sem silnejsi certifikat na portu 6670 viz http://www.odorik.cz/w/srtp#verejny_klic_certifikacni_autority

Diky za pripominky a rady.
Uživatelský avatar
kovik
 
Příspěvky: 399
Registrován: stř 16. lis 2011 12:07:52

Re: Slabý certifikát pro šifrované hovory?

Příspěvekod m011 » pát 28. črc 2017 19:14:20

Nový certifikát je na tom lépe. Potřebujete stále podporovat SSLv3? Šifry používající RC4 nebo 3DES by bylo vhodné zakázat. Jednoduchou analýzu SSL certifikátů a nastavení lze vidět na následující odkazech:

sip.odorik.cz:5061
sip.odorik.cz:6670
srovnaní s ww.odorik.cz:443

Obecně nejlepší řešení je používat certifikáty vydané certifikačními autoritami, jako máte na 'www.odorik.cz. Jeden SSL certifikát může být vydán na více domén, např. odorik.cz, 'www.odorik.cz, sip.odorik.cz a forum.odorik.cz. HTTPS by si zasloužilo i toto fórum, když používá přihlašovací údaje.

K náročnosti faktorizace RSA 512 bit - v roce 2009 faktorizoval Benjamin Moody RSA 512 bit na svém počítači (dual-core Athlon64 at 1900 MHz) s využitím volně dostupného softwaru GGNFS za 73 dnů. Teď jsme v roce 2017!
m011
 
Příspěvky: 1
Registrován: pát 28. črc 2017 18:31:28

Předchozí

Zpět na Bezpečnost a šifrování hovorů

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 1 návštěvník