Pri prehliadaní internetu, práci s e-mailom či chatovaní s priateľmi alebo využívaní iných webových služieb sme vystavovaní neustálemu potvrdzovaniu bezpečnostných rizík, svietiacim zámkom, ktoré sú raz žlté, raz preškrtnuté.. no a cieľom tohto návodu by malo byť pomôcť Vám trochu porozumieť práve základným pojmom z informačnej bezpečnosti, konkrétne z autentifikácie a šifrovania na internete.
Upozornenie: tento návod slúži iba ako vodítko pre používateľov, ktorí chcú preniknúť do základov problematiky. Rozhodne nejde o komplexný návod alebo výklad zabezpečenia komunikácie na internete. Ak by sa niekomu chcelo komplexnejší návod písať, uvítam to.
Návod je rozdelený na tieto časti:
Prílohy:
V prípade nejasností či ďalších otázok založte, prosím, nové vlákno v sekcii Prohlížeče, antispamy a poštovní klienti
Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz
Zabezpečenie, alebo čo sú všetky tie zámky
Moderátor: Moderátoři
Pravidla fóra
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
- sudanec
- VIP
- Příspěvky: 2119
- Registrován: 02 lis 2006 00:48
- Bydliště: Khartoum, Sudan
- Kontaktovat uživatele:
Autentifikácia
Autentifikácia serveru
Autentifikácia servera je zväčša vykonávaná prostredníctvom SSL (TLS). Priebeh je približne nasledovný:
Ukážeme si, ako takéto upozornenie vyzerá v prehliadači Google Chrome; v ostatných prehliadačoch je to to isté, ibaže v ružovom.
Autentifikácia klienta
Keďže sa autentifikácia klienta u nás prakticky nepoužíva, nebudeme sa jej podrobnejšie venovať.
Autentifikácia servera je zväčša vykonávaná prostredníctvom SSL (TLS). Priebeh je približne nasledovný:
- Klient vyžiada zabezpečené pripojenie
- Server odošle klientovi svoj certifikát
- Klient overí certifikát
Ukážeme si, ako takéto upozornenie vyzerá v prehliadači Google Chrome; v ostatných prehliadačoch je to to isté, ibaže v ružovom.
- Po zadaní adresy do prehliadača sa zobrazí nasledovné okno:
- Pre overenie certifikátu kliknite na ikonku zámku vpravo hore pri poli s adresou a zvoľte Certificate information:
- Zobrazia sa Vám základné informácie o certifikáte. Overte najmä zvýraznené položky:
- Kliknite na možnosť Detaily pre zobrazenie ďalších parametrov certifikátu:
- Tiež možno overiť hierarchiu certifikátu:
Autentifikácia klienta
Keďže sa autentifikácia klienta u nás prakticky nepoužíva, nebudeme sa jej podrobnejšie venovať.
- sudanec
- VIP
- Příspěvky: 2119
- Registrován: 02 lis 2006 00:48
- Bydliště: Khartoum, Sudan
- Kontaktovat uživatele:
Šifrovanie
Šifrovanie komunikácie
Šifrovanie Vašej komunikácie so serverom je dôležité, ak prenášate citlivé údaje, ako sú napríklad bankové informácie, priemyselné patenty, a podobne. Zaujímavé môže byť chrániť aj osobné dáta ako fotografie a osobné údaje napríklad pri komunikácii so sociálnymi sieťami (Twitter, Facebook, ...).
Zvolený spôsob šifrovania je výsledkom vyjednávania Vášho prehliadača a serveru, na ktorý sa pripájate. V princípe Váš prehliadač serveru pošle preferované spôsoby šifrovania; z nich si server vyberie najsilnejší, ktorý podporuje. Cieľom tohto návodu nie je uviesť Vás do problematiky šifrovania bezpečnosti šifier, ale získať prehľad v informáciach, ktoré Vám prehliadač ponúka na overenie; takto bude návod aj koncipovaný.
Po uskutočnení zabezpečeného pripojenia možno vyvolať mnoho užitočných informácií, ktoré sa môže oplatiť skontrolovať:
Ďalšia podstatná informácia je, že nie všetok obsah zobrazenej stránky je šifrovaný. V bežnom prípade to znamená, že šifrovaná nie je napr. reklama alebo iné necitlivé dáta. Tiež možno nahliadnuť, že na komunikáciu nebola použitá kompresia; ak sa nejaká používa, je to zvyčajne metóda DEFLATE.
Šifrovanie Vašej komunikácie so serverom je dôležité, ak prenášate citlivé údaje, ako sú napríklad bankové informácie, priemyselné patenty, a podobne. Zaujímavé môže byť chrániť aj osobné dáta ako fotografie a osobné údaje napríklad pri komunikácii so sociálnymi sieťami (Twitter, Facebook, ...).
Zvolený spôsob šifrovania je výsledkom vyjednávania Vášho prehliadača a serveru, na ktorý sa pripájate. V princípe Váš prehliadač serveru pošle preferované spôsoby šifrovania; z nich si server vyberie najsilnejší, ktorý podporuje. Cieľom tohto návodu nie je uviesť Vás do problematiky šifrovania bezpečnosti šifier, ale získať prehľad v informáciach, ktoré Vám prehliadač ponúka na overenie; takto bude návod aj koncipovaný.
Po uskutočnení zabezpečeného pripojenia možno vyvolať mnoho užitočných informácií, ktoré sa môže oplatiť skontrolovať:
- Druh šifry - v tomto prípade RC4 (128) je široko používaná prúdová šifra, ktorej použitie na prenos bežných dát je postačujúce. Ďalšie bežné algoritmy sú napr. AES_256_CBC (bloková šifra AES s 256-bitovým kľúčom použitá v móde CBC), CAMELLIA_256_CBC, 3DES, atp.
- SHA1 predstavuje hašovaciu funkciu, ktorá sa používa. Jej modernejšími náhradami sú napríklad SHA-256 alebo SHA-512, často sa používa i hašovacia funkcia MD5
- RSA je algoritmus na výmenu kľúčov; bežne možno použiť tiež upravené formy DHE (Diffie-Hellman) algoritmu. Pozor, v nemodifikovanej verzii je tento protokol náchylný na útok typu muž uprostred, používa sa verzia DHE_RSA
- Informácia o predchádzajúcej návšteve Vám hovorí, že s vysokou pravdepodobnosťou nejde o podvrhnutú stránku
Ďalšia podstatná informácia je, že nie všetok obsah zobrazenej stránky je šifrovaný. V bežnom prípade to znamená, že šifrovaná nie je napr. reklama alebo iné necitlivé dáta. Tiež možno nahliadnuť, že na komunikáciu nebola použitá kompresia; ak sa nejaká používa, je to zvyčajne metóda DEFLATE.
- sudanec
- VIP
- Příspěvky: 2119
- Registrován: 02 lis 2006 00:48
- Bydliště: Khartoum, Sudan
- Kontaktovat uživatele:
Bežné šifrovanie v SSL
Šifrovanie v SSL
V tejto prílohe uvedieme príklady bežných šifrovacích systémov vrstvy SSL (TLS), s ktorými sa môžte stretnúť pri prehľadávaní webu. Najprv si vysvetlíme použité skratky:
RC4_128 s haš. fciou SHA1 a výmenou kľúčov cez RSA, čo je spôsob zabezpečenia napr. pre Google Mail alebo Facebook
V praxi používaných spôsobov zabezpečenia je ešte podstatne viac; uvádzame však iba tie snáď najpoužívanejšie a v dnešnej dobe považované za postačujúco bezpečné na bežné činnosti pre bežných používateľov.
V tejto prílohe uvedieme príklady bežných šifrovacích systémov vrstvy SSL (TLS), s ktorými sa môžte stretnúť pri prehľadávaní webu. Najprv si vysvetlíme použité skratky:
- 3DES = Tripple Data Encryption Algorithm, bloková šifra, zväčša používaný v EDE
- AES = bloková šifra
- CBC = Cipher Block Chaining mód blokových šifier
- DHE = Diffie-Hellman algoritmus na výmenu kľúčov založený na probléme faktorizácie
- DSS = Digital Signature Standard (DSA), šifra založená na probléme diskrétneho logaritmu v zvolených grupách
- ECDHE = viď DHE, na eliptických krivkách
- ECDSA = viď DSS, nad grupou eliptických kriviek
- EDE = Encrypt - Decrypt - Encrypt, mód viacnásobného použitia blokových šifier
- RSA = asymetrická šifra založená na probléme faktorizácie veľkých čísel, používaná aj na výmenu kľúčov
- SHA = hašovacia funkcia
- TLS = Transport Security Layer, pokračovateľ (nové verzie) SSL
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
RC4_128 s haš. fciou SHA1 a výmenou kľúčov cez RSA, čo je spôsob zabezpečenia napr. pre Google Mail alebo Facebook
V praxi používaných spôsobov zabezpečenia je ešte podstatne viac; uvádzame však iba tie snáď najpoužívanejšie a v dnešnej dobe považované za postačujúco bezpečné na bežné činnosti pre bežných používateľov.
- sudanec
- VIP
- Příspěvky: 2119
- Registrován: 02 lis 2006 00:48
- Bydliště: Khartoum, Sudan
- Kontaktovat uživatele:
Vynútenie silnejšej šifry
Vynútenie silnejšej šifry
UPOZORNENIE. Vykonanie nasledovného postupu môže znemožniť načítanie niektorých (najmä starších) webstránok (najmä na starších serveroch). Ide o totálne paranoidné nastavenie a neexistuje racionálny dôvod ho vykonať (áno, ja to tak mám).
Ak chcete napríklad Vašu banku donútiť komunikovať s Vami prostredníctvom silnej šifry, vo Firefoxe možno postupovať takto:
UPOZORNENIE. Vykonanie nasledovného postupu môže znemožniť načítanie niektorých (najmä starších) webstránok (najmä na starších serveroch). Ide o totálne paranoidné nastavenie a neexistuje racionálny dôvod ho vykonať (áno, ja to tak mám).
Ak chcete napríklad Vašu banku donútiť komunikovať s Vami prostredníctvom silnej šifry, vo Firefoxe možno postupovať takto:
- Do poľa s adresou zadajte
- about:config
- Do poľa Filter zadajte _128
- Nastavte Value položiek security.sslx.y na false
Príklad položky: security.ssl3.rsa_aes_128_sha - Do poľa Filter zadajte DES
- Nastavte Value položiek security.sslx.y na false
- Do poľa Filter zadajte RC4
- Nastavte Value položiek security.sslx.y na false
- https://www2.secure.hsbcnet.com (HSBC CZ)
- https://cz.mbank.eu/ (mBank CZ)
- https://sk.mbank.eu/ (mBank SK)
- https://ibpb.pabk.sk/ibcz (Poštová Banka CZ)
- https://ibpb.pabk.sk/ib (Poštová Banka SK)
- https://ibs.rb.cz/IB (Raiffeisen bank CZ)
- https://ib.slsp.sk/ (Slovenská Sporiteľňa SK)
- https://ibs.luba.sk (Volksbank Slovensko SK; český Volksbank funguje - prepne sa do AES-256)
- https://ib.vub.sk/ (VÚB SK)