Stránka 1 z 1

Zabezpečenie, alebo čo sú všetky tie zámky

Napsal: 24 led 2011 16:52
od sudanec
Pri prehliadaní internetu, práci s e-mailom či chatovaní s priateľmi alebo využívaní iných webových služieb sme vystavovaní neustálemu potvrdzovaniu bezpečnostných rizík, svietiacim zámkom, ktoré sú raz žlté, raz preškrtnuté.. no a cieľom tohto návodu by malo byť pomôcť Vám trochu porozumieť práve základným pojmom z informačnej bezpečnosti, konkrétne z autentifikácie a šifrovania na internete.
Upozornenie: tento návod slúži iba ako vodítko pre používateľov, ktorí chcú preniknúť do základov problematiky. Rozhodne nejde o komplexný návod alebo výklad zabezpečenia komunikácie na internete. Ak by sa niekomu chcelo komplexnejší návod písať, uvítam to.

Návod je rozdelený na tieto časti:
  1. Autentifikácia
  2. Šifrovanie
Prílohy:
  1. Bežné šifrovanie v SSL
  2. Vynútenie silnejšej šifry
V prípade nejasností či ďalších otázok založte, prosím, nové vlákno v sekcii Prohlížeče, antispamy a poštovní klienti

Autentifikácia

Napsal: 24 led 2011 16:55
od sudanec
Autentifikácia serveru

Autentifikácia servera je zväčša vykonávaná prostredníctvom SSL (TLS). Priebeh je približne nasledovný:
  1. Klient vyžiada zabezpečené pripojenie
  2. Server odošle klientovi svoj certifikát
  3. Klient overí certifikát
Práve overenie certifikáta je z pohľadu bežného používateľa potenciálne najrizikovejšia časť komunikácie. Ak totiž chcete zabezpečiť, aby na druhej strane stál naozaj napríklad server Vašej banky, je potrebné overiť, že je certifikát platný a správny. To sa robí prostredníctvom overenia certifikátu certifikačnej autority, ktorá certifikát serveru podpísala. Nasleduje celá hierarchia overení, až kým sa prehliadač nedostane k certifikátu, ktorému verí. Tieto certifikáty sú nazývané aj koreňové certifikáty a sú uložené aj vo Vašom počítači. Ak Váš prehliadač nie je schopný certifikát overiť, môže to byť z viacerých dôvodov. Buď je certifikát neplatný (napr. mu vypršala platnosť), nie je vystavený na rovnakú adresu ako je tá, na ktorú ste pripojený, alebo nedokáže overiť certifikát, pretože nepozná danú certifikačnú autoritu. Preto je veľmi dôležité preštudovať, ktorý z dôvodov odmietnutie certifikátu Vašim prehliadačom spôsobil; v opačnom prípade by ste sa mohli vystaviť riziku kompromitácie cieľového serveru.

Ukážeme si, ako takéto upozornenie vyzerá v prehliadači Google Chrome; v ostatných prehliadačoch je to to isté, ibaže v ružovom.
  1. Po zadaní adresy do prehliadača sa zobrazí nasledovné okno:

    Obrázek
  2. Pre overenie certifikátu kliknite na ikonku zámku vpravo hore pri poli s adresou a zvoľte Certificate information:

    Obrázek
  3. Zobrazia sa Vám základné informácie o certifikáte. Overte najmä zvýraznené položky:

    Obrázek
  4. Kliknite na možnosť Detaily pre zobrazenie ďalších parametrov certifikátu:

    Obrázek
  5. Tiež možno overiť hierarchiu certifikátu:

    Obrázek

Autentifikácia klienta

Keďže sa autentifikácia klienta u nás prakticky nepoužíva, nebudeme sa jej podrobnejšie venovať.

Šifrovanie

Napsal: 24 led 2011 16:56
od sudanec
Šifrovanie komunikácie

Šifrovanie Vašej komunikácie so serverom je dôležité, ak prenášate citlivé údaje, ako sú napríklad bankové informácie, priemyselné patenty, a podobne. Zaujímavé môže byť chrániť aj osobné dáta ako fotografie a osobné údaje napríklad pri komunikácii so sociálnymi sieťami (Twitter, Facebook, ...).
Zvolený spôsob šifrovania je výsledkom vyjednávania Vášho prehliadača a serveru, na ktorý sa pripájate. V princípe Váš prehliadač serveru pošle preferované spôsoby šifrovania; z nich si server vyberie najsilnejší, ktorý podporuje. Cieľom tohto návodu nie je uviesť Vás do problematiky šifrovania bezpečnosti šifier, ale získať prehľad v informáciach, ktoré Vám prehliadač ponúka na overenie; takto bude návod aj koncipovaný.

Po uskutočnení zabezpečeného pripojenia možno vyvolať mnoho užitočných informácií, ktoré sa môže oplatiť skontrolovať:
  • Druh šifry - v tomto prípade RC4 (128) je široko používaná prúdová šifra, ktorej použitie na prenos bežných dát je postačujúce. Ďalšie bežné algoritmy sú napr. AES_256_CBC (bloková šifra AES s 256-bitovým kľúčom použitá v móde CBC), CAMELLIA_256_CBC, 3DES, atp.
  • SHA1 predstavuje hašovaciu funkciu, ktorá sa používa. Jej modernejšími náhradami sú napríklad SHA-256 alebo SHA-512, často sa používa i hašovacia funkcia MD5
  • RSA je algoritmus na výmenu kľúčov; bežne možno použiť tiež upravené formy DHE (Diffie-Hellman) algoritmu. Pozor, v nemodifikovanej verzii je tento protokol náchylný na útok typu muž uprostred, používa sa verzia DHE_RSA
  • Informácia o predchádzajúcej návšteve Vám hovorí, že s vysokou pravdepodobnosťou nejde o podvrhnutú stránku
Obrázek


Ďalšia podstatná informácia je, že nie všetok obsah zobrazenej stránky je šifrovaný. V bežnom prípade to znamená, že šifrovaná nie je napr. reklama alebo iné necitlivé dáta. Tiež možno nahliadnuť, že na komunikáciu nebola použitá kompresia; ak sa nejaká používa, je to zvyčajne metóda DEFLATE.

Bežné šifrovanie v SSL

Napsal: 27 led 2011 22:48
od sudanec
Šifrovanie v SSL

V tejto prílohe uvedieme príklady bežných šifrovacích systémov vrstvy SSL (TLS), s ktorými sa môžte stretnúť pri prehľadávaní webu. Najprv si vysvetlíme použité skratky:
  • 3DES = Tripple Data Encryption Algorithm, bloková šifra, zväčša používaný v EDE
  • AES = bloková šifra
  • CBC = Cipher Block Chaining mód blokových šifier
  • DHE = Diffie-Hellman algoritmus na výmenu kľúčov založený na probléme faktorizácie
  • DSS = Digital Signature Standard (DSA), šifra založená na probléme diskrétneho logaritmu v zvolených grupách
  • ECDHE = viď DHE, na eliptických krivkách
  • ECDSA = viď DSS, nad grupou eliptických kriviek
  • EDE = Encrypt - Decrypt - Encrypt, mód viacnásobného použitia blokových šifier
  • RSA = asymetrická šifra založená na probléme faktorizácie veľkých čísel, používaná aj na výmenu kľúčov
  • SHA = hašovacia funkcia
  • TLS = Transport Security Layer, pokračovateľ (nové verzie) SSL
A teraz samotné ciphersuits:
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
Ďalšími bežne používanými metódami sú tzv. prúdové šifry, napr.:
RC4_128 s haš. fciou SHA1 a výmenou kľúčov cez RSA, čo je spôsob zabezpečenia napr. pre Google Mail alebo Facebook


V praxi používaných spôsobov zabezpečenia je ešte podstatne viac; uvádzame však iba tie snáď najpoužívanejšie a v dnešnej dobe považované za postačujúco bezpečné na bežné činnosti pre bežných používateľov.

Vynútenie silnejšej šifry

Napsal: 17 dub 2011 17:35
od sudanec
Vynútenie silnejšej šifry

UPOZORNENIE. Vykonanie nasledovného postupu môže znemožniť načítanie niektorých (najmä starších) webstránok (najmä na starších serveroch). Ide o totálne paranoidné nastavenie a neexistuje racionálny dôvod ho vykonať (áno, ja to tak mám).
Ak chcete napríklad Vašu banku donútiť komunikovať s Vami prostredníctvom silnej šifry, vo Firefoxe možno postupovať takto:
  1. Do poľa s adresou zadajte
    • about:config
  2. Do poľa Filter zadajte _128
  3. Nastavte Value položiek security.sslx.y na false
    Príklad položky: security.ssl3.rsa_aes_128_sha
  4. Do poľa Filter zadajte DES
  5. Nastavte Value položiek security.sslx.y na false
  6. Do poľa Filter zadajte RC4
  7. Nastavte Value položiek security.sslx.y na false
Tieto nastavenia NEfungujú napríklad pre: Na uvedených stránkach sa teda po vykonaní uvedených nastavení proste NEprihlásite.