Полезная информация
№126-01-2006 02:08:15
SSL и тому подобное...
Сижу на Лисе очень давно, но таким вопросом задался совсем недавно. Причиной всему - локалка и веселые ребята, так и наровящие стянуть пару-другую паролей от чего-угодно (и важное не проскочит мимо). Короче, я про что. В безопасности указано, что используются протоколы SSL 1.0, 2.0, 3.0. Так вот, они все время задействаваны или только при безопасном соединении? И еще, помогут ли они скрыть инфу от снифферов?
Знаю, что например почту можно слать SMTP-SSL, снимать через IMAP-SSL, а что насчет остального трафа (загруженные страницы, вводимая инфа в вебформах и т.д.)?
Отсутствует
№226-01-2006 10:35:33
Re: SSL и тому подобное...
Сижу на Лисе очень давно, но таким вопросом задался совсем недавно. Причиной всему - локалка и веселые ребята, так и наровящие стянуть пару-другую паролей от чего-угодно (и важное не проскочит мимо). Короче, я про что. В безопасности указано, что используются протоколы SSL 1.0, 2.0, 3.0. Так вот, они все время задействаваны или только при безопасном соединении? И еще, помогут ли они скрыть инфу от снифферов?
Знаю, что например почту можно слать SMTP-SSL, снимать через IMAP-SSL, а что насчет остального трафа (загруженные страницы, вводимая инфа в вебформах и т.д.)?
SSL соединение должен поддерживать сервер, и настроен тоже на работу по протоколу HTTPS. Трафик при этом перехватить наверное можно, но он будет зашифрован, т.е. просмотреть мало чего можно. Ключи для шифрации создаются каждый сеанс и только на время сеанса.
Действует безопасность до тех пор, пока ты сидишь на ресурсе вида https://чего-то.
Для получения/отправки почты по зашифрованным каналам так же необходима поддержка SSL самими почтовыми серверами. Thunderbird нормально работает по зашифрованным протоколам, правда есть одно неудобство - антивирусы не могут проверять почту, отправляемую по зашифрованным протоколам.
Так же необходимо знать, что чаще всего передача по зашифрованным каналам идёт на отдельных портах, что необходимо учитывать при настройке файервола.
Данные в формах и пароли по зашифрованным каналам передаются тоже в зашифрованном виде.
Сеанс по зашифрованному каналу выглядит примерно так: клиентская программа(в дальнейшем клиент) делает запрос на сервер, после чего сервер и клиент генерирую ключи (или сертификаты, зависит от вида канала), которыми обмениваются, после чего весь трафик перед передачей шифруется, передаётся, и после приёма расшифровывается.
Есть доля вероятности перехвата ключей при подключении к зашифрованному каналу, и дальнейшей дешифровке сеанса, но эта вероятность мала, к тому же это трудоёмко и дорого. И если ваши весёлые ребята заинтересованы и очень богаты (или сильно умны) то могут попытаться перехватить сеансовые ключи.
Этот мир, не совершенный, состоит из всех из нас. Он прямое отражение наших чувств и наших глаз.
Этот мир не станет лучше и не станет он добрее, если сами мы добрее не станем.
(@ Игорь Тальков, Этот мир).
Отсутствует
№326-01-2006 11:27:04
Re: SSL и тому подобное...
Сеанс по зашифрованному каналу выглядит примерно так: клиентская программа(в дальнейшем клиент) делает запрос на сервер, после чего сервер и клиент генерирую ключи (или сертификаты, зависит от вида канала), которыми обмениваются, после чего весь трафик перед передачей шифруется, передаётся, и после приёма расшифровывается.
Не так всё просто.
1. После запроса браузера сервер предоставляет свой асимметричный ключ (часть сертификата).
2. Браузер проверяет сертификат сервера и выдаёт предупреждение, если он подписан недоверенным СЦ, закончился его срок, не совпадает имя на сертификате и адреса сайта и т.д.
3. Браузер генерирует сеансовый симметричный ключ, зашифровывает его асимметричным ключом сервера и отсылает серверу.
4. Сервер и браузер шифруют передаваемые данные при помощи сеансового симметричного ключа. По-моему, ещё используется MAC.
Это очень кратко, подробнее см.:
http://www.pgpru.com/forum/viewtopic.php?p=5059#5059
http://www.nucleus.co.nz/kb/index.php?op=view&t=397
http://luxsci.com/info/about_ssl.html
http://inssl.com/content/view/14/26/
Имейте в виду, что некоторый материл устарел, т.к. экспортные ограничения США на крипто были сняты ещё в 2000 г., и шифрование сейчас весьма надёжное.
Есть доля вероятности перехвата ключей при подключении к зашифрованному каналу, и дальнейшей дешифровке сеанса, но эта вероятность мала, к тому же это трудоёмко и дорого.
Нет, совсем недорого. Но так просто подменить, чтобы браузер не предупредил о недоверенном сертификате довольно сложно.
Впрочем, спецслужбам это под силу, но только при очень большой их заинтересованности в этом (однако с OpenPGP им работать сложнее 
).
Про махинации с SSL-сертификатами читайте:
http://www.pgpru.com/forum/viewtopic.php?p=6499#6499
http://www.pgpru.com/forum/viewtopic.php?t=611
и как жуткий оффтоп в этой теме
Проще говоря, подменить сертификат так, чтобы пользователь ничего не заметил, сложно. Нужна подпись одного из доверенных центров сертификации, прописанных в браузере. Они, как правило, направо-налево подписи не раздают, но и не стоит доверять их подписи безоговорочно.
Подменить сеансовый ключ невозможно удалённо, но можно путём встраивания бэкдора в проприентарный продукт (IE, Opera). Достаточно сделать хитрый PRNG.
И если ваши весёлые ребята заинтересованы и очень богаты (или сильно умны) то могут попытаться перехватить сеансовые ключи.
Перехватить сеансовые ключи невозможно, они зашифрованными передаются. Всё-таки протокол SSL создавался не дураками.
Отредактировано Lustermaf (21-02-2006 11:11:41)
Отсутствует
№426-01-2006 13:24:07
Re: SSL и тому подобное...
и как жуткий оффтоп в этой теме
Проще говоря, подменить сертификат так, чтобы пользователь ничего не заметил, сложно. Нужна подпись одного из доверенных центров сертификации, прописанных в браузере. Они, как правило, направо-налево подписи не раздают, но и не стоит доверять их подписи безоговорочно.
Кстати, один из наиболее, на мой взгляд, продуктивных способов атаки - подмена корневого сертификата в самом браузере(возможно ещё в дистрибутиве) К сожалению, мне не удалось донести эту мысль до моего оппонента в той теме. Поэтому получать браузер(не только Firefox, любой) нужно из надёжного источника. Или можно проверить отпечатки корневых сертификатов, это долго и муторно, но надёжно.
Отсутствует
№526-01-2006 15:10:09
Re: SSL и тому подобное...
А как насчет SSL прокси, если его заюзать, то нет необходимости в поддержке SSL сервером, как я понимаю. Я тут посмотрел немного, все время на платные прокси натыкаюсь. Вечерком еще гляну, найду может чего. А может кто что подскажет
Отсутствует
№626-01-2006 16:53:53
Re: SSL и тому подобное...
К сожалению, мне не удалось донести эту мысль до моего оппонента в той теме. Поэтому получать браузер(не только Firefox, любой) нужно из надёжного источника. Или можно проверить отпечатки корневых сертификатов, это долго и муторно, но надёжно.
А проверяю OpenPGP-подпись инсталляторов Firefox и Thunderbird. Однако в последнее время у MoCo наблюдается безответственное отношение к этому делу.
А как насчет SSL прокси, если его заюзать, то нет необходимости в поддержке SSL сервером, как я понимаю.
В таком случае на пути от прокси к сайту трафик всё равно будет нешифрованный.
Я тут посмотрел немного, все время на платные прокси натыкаюсь. Вечерком еще гляну, найду может чего. А может кто что подскажет
Tor.
Eсли Вы хотите обсуждать этот продукт, пожалуйста, откройте новую тему в разделе «Флейм», ибо Tor не имеет отношение к SSL.
Отредактировано Lustermaf (26-01-2006 16:57:05)
Отсутствует
Board footer
Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia 
Язык отображения форума: [Русский] [English]