Názory k článku
Jak na OpenSSL

to vypada na velice dobry serial. diky!!

Vacsinu veci som uz sice priblizne vedel ale dlho sa tomu nevenujem. Clanok sa dobre cita a rozpamatava sa na to. Tesim sa na dalsiu cast.

Dobry clanek, jen tak dale ... diky

Perfektni, neco takoveho mi schazelo. Potreboval jsem jen nahled na SSL, tento serial mi pomuze, perfektni, dik.

Uvital bych, pokud by v nejakem pristim dile byli uvedeny (alespon) odkazy na teorii ohledne SSL - ty klice asi budou prvocisla, bude nejaky rozumny duvod, proc nelze komunikaci rozsifrovat a tak. Prakticke navody jsou dobre tak 2-3 roky, teorie plati porad.

Zadna specialni teorie ohledne SSL neni, vsechno je to zalozene na postupech a metodach normalne pouzivanych v kryptografii. Musim se ale priznat, ze zadny dokument ktery by shrnoval zaklady kryptografie neznam. V Cechach funguje www.krypta.cz, ale na te vychazi clanky dost sporadicky.

Zdravím,

docela pěkná je knížka přiložená v pdf k PGP, myslím, že ji napsal sám Zimmermann. Ta shrnuje základy kryptpgrafie s veřejným klíčem. Dá se stáhnout také samostatně z http://www.pgpi.org.

V češtině teď v nakladatelství Dokořán (http://www.dokoran.cz) vyšla kniha "Kniha kódů a šifer" od Simona Singha, která uvádí v historickém přehledu do principů kryptografie od starověku po kvantovou kryptografii.

Spousta teorie se da najit napr. v Handbook of Applied Cryptography: http://www.cacr.math.uwaterloo.ca/hac/

Jen pro upresneni, nejsou to SSL certifikaty, ale
X509 certifikaty, SSL knihovny je jen vyuzivaj
(ale urcite se daj pouzivat i jinde).
A komunikace s pomoci verejneho a privatniho klice
se pouziva pouze pri navazovani spojeni, pak si
klient se serverem dohodnou symetricky klic, ktery
dale pouzivaj (protoze je to mnohem rychlejsi).

Ad x509: To jsem si rikal kdyz jsem to dneska cetl, ze to nekdo napise :-) O tom, ze SSL certifikaty jsou podle x509 je zmineno v dalsim dile.

Za upresneni s klicem diky.

je to dobre, doufam, ze v pristich dile ale bude co mozna nejvice praktickych ukazek (jak konkretne ziskat svuj 'klic', jak zprovoznit webserver s podporou https apod.)

Presne to tam bude :-)

Chtel bych se taktez primluvit za priklady se zabezpecenim posty (napr. PostFix :)) a hlavne za priklady mail klientu, kteri toto podporuji. Jeden cas jsem se snazil rozbehat pripojeni na Postfixovy server s TLS Outlookem nebo Mozilla mailem, ale zcela bezuspesne :(

Zkuste stunnel.
http://www.stunnel.org/

http://www.aet.tu-cottbus.de/personen/jaenicke/pfixtls/

Provozujeme s NS4, Mozillou, Pine a mnoha různými Outlooky bez problémů.

Tak POP3 uz mi beha (qpopper + ssl), ale u tho postfixu mam porad problemy - vyzaduje ty ssl certifikaty v .pem - co to znamena? Jak je do toho prevedu (nemam self-signed certifikaty - mam to podepsane u FreeSSL)?

Je to dost povrchni clanek a jeste k tomu SSL/TLS protokoly jako takove jsou jiz zastarale (minimalne ve verzi 3). Ukazal to i posledni prulom pana Klimy, ktery popsal jasne kryptoanalyticke postupy jak SSL prolomit.
Celkove je to problematika i RSA, ktere by melo byt postupem vymeneno za ECC. Uz i proto, ze zde neni mozny postup faktorizace a ECC ma mnohonasobne nizsi pravdepodobnost modelovani krivky a tim odhaleni modula nez u RSA a to i pro radove mensi klic.
Proto je tento clanek o nicem.

Tak tohle je smesne. Prave OpenSSL se ted proslavilo onou chybou, ktera je hodne po internetu rozebirana a kdy prave OpenSSL je mozne (pokud neni aplikovany ten fix) prolomit. Jen servery Microsoftu nebyly prolomeny ;) Hlavne ze ma porad plno lidi kecu o bezpecnosti linuxu :))) a to, ze pak je mozne nabourat SSLko jako zcela zasadni komunikacni kanal netu se asi v linuxove komunite bere jako malickost ;) jojo, proste pohodari, co se nestaraji o kvalitu, asi na to nemaji penize ;) uzijte si to ;)

Mno, nezda se mi, ze by ta chyba (myslite pravdepodobne moznost ziskani klice "postranim kanalem") byla nejak vyjimecna, je pouze aktualni. Jeji vyuziti je v praktickych podminkach pomerne netrivialni. Chyby ktere byly cca pred rokem (viz http://www.openssl.org/news/secadv_20020730.txt) mi prijdou zavaznejsi.

To je vec nazoru. Ja osobne pokladam tohle za zasadni chybu, ale jak jiz jsem zminil, je to vec pohledu. A pokud se na to podivate, tak slo o chybu v tom, ze zde neni kontrola pro verzi premaster-secter u OpenSSL (coz napr. prave SSL u MS dela). A tohle presne je v tom utoku pouzito. Proto napr. MS SSL nebylo prolomeno, protoze se striktrne ridi kontrolou. OpenSSL to nechava tak jakoby "by default" a toho ten utok zneuzil. Pochopitelne jedine reseni koncepcni je prechod z PKCS1 na OAEP. Ale to znamena preimplementovat klienty, servery a vsechno. To neni jen tak ;)

tak se pustte do opravy OpenSSL, znalosti na to mate, zdrojaky jsou k dispozici ....
Prej mnoho stesti

A proc bych to delal? A hlavne vyvoj kryptografickych knihoven by mel byt utajen a testovan interne. Je to jedno ze zasadnich bezpecnostnich pravidel, ze se nezverejnuji informace, ktere se mohou zneuzit pro bezpecnost. Myslet si, ze diky tomu nekdo prijde na chyby je velmi naivni. Asi tak, jako bychom si rekli, ze bezpecnost banky overime tim, ze zverejnime vsechny tajne informace o architekture a usporadani bezpecnostnich systemu a ze nam diky tomu lide tohle budou pripominkovat a banka se zlepsi. Takove bance bych nedal ani korunu a to plati i pro OSS a bezpenost. OpenSSL je vhodne pro BFU uzivatele, co posilaji email, ze treba pepicek neco delal s marenkou. Ale pro korporace je OpenSSL zasadni chyba a kdyz to pouziji, tak vubec nic nevedi o kryptografii a bezpecnosti. K tomu jsou urcene produkty komercnich firem jako Baltimore nebo RSA, ale NIKDY ne OSS. Osobne by toto melo byt chraneno i zakonem, ptz to je krajni nezodpovednost pouzivat OSS produkty na zabezpeceni kritickych dat.

tyhle myslenky maji nekolik zasadnich vad, a vesmes jde o spolehani se na nektere "zasady", o ktere se ale oprit nelze:

-"kdyz nezverejnim zdrojaky, nebudou moci vyuzit mych chyb" -to je z kratkodobeho pohledu mozna i pravda, ovsem z dlouhodobeho je to nesmysl, protoze v dnesnim svete nelze utajit jakoukoliv zajimavou informaci...

-"komercni uzavrene (utajene) produkty jsou bezpesnejsi" -nesmysl, i tyto veci pisou jenom lidi ! a navic je to velmi mala skupina lidi, kteri nemuzou videt vsechny nedostatky jejich reseni; taky se muze stat ze se nekdo z nich stane "neloajalni" - nejak ho naserou a je hotovo (kdyz se nekde objevi zdrojaky, nelze zjistit a dokazat kdo je zverejnil); navic i komercni produkty mivaji casto "zadni vratka", dokonce je to vyzadovano vladou USA... TOMU RIKATE BEZPECI ????

O šifrování asi nic nevíš, protože jinak bys věděl, že jedno základní pravidlo říká, že neprolomitelnost šifry nemá záviset na tom, že třetí strana nezná algoritmus (nebo jeho implementaci), ale na tom, že nezná klíč. Volně přeloženo :-) Více viz Auguste Kerckhoffs

Diky muj synu, ze ses mne zastal.
Jsem rad, ze mam i mezi chudymi a prostymi lidmi sve fandy a obdivovatele. Ano, delam to pro vas pro vsechny, kteri mi fandite ;)

Tohle je klasika. Sice patrim mezi uzivatele linuxu, ale musim priznat, ze OpenSSL je jeden z nejderavejsich produktu, a to v bezpecnosti nejde pripustit. A mrzi me, ze nekdo z teto komunity namisto vecne odpovedi nebo i pripusteni toho, ze fakt OpenSSL je deravy shit, tak zacne psat tyhle blaboly. Kdybys neco vedel o OpenSSL a jejich implementaci, tak by sis musel vsimnout, jak je to odflaknuty, jak to sice jeden podle PKCS1, ale prave ta doporuceni (co jak pisou jiny lide zde) vedla az ke zmene PKCS1, tak to je dost tristni.
A co to ma co delas s Gatesem? Chces tu vyvolat flameware? Jen proto, ze neumis priznat, ze treba tohle je fakt shit a chce to najit lepsi produkt pro linux, kteremu lze verit? To nejsi profesional, ale jen obycejny fanatik a blbecek, co rozpouta flame kvuli kravine, jen aby se jeho fanatismus nepolozil.

No dovol, ja profesional jsem, to sis nevsiml, ze Windows rozhodne zdarma nerozdavam? Proc tu clovece vubec penis? Muj priznivec, jak vidim nejses, tak se s tebou vubec nebudu bavit :))

OpenSSL me navic vubec nezajima, mam svoji vlastni implementaci. Ja totiz "nejsem zadnej prostej pohodar, co se nestara o kvalitu, a rozhodne na to penize mam (nezebrej, stejne ti nic nedam), a rozhodne si to uzivam".

P.S. ses tipickej pripad cloveka, co dokaze sam sebe rozcilit - cim vic pises, tim jses sprostsi. Uz radsi nic nepis ;)

Nejsi vtipny :-|

Jen tak mimochodem :) Kdyz jsem to vcera korigovala, rikala jsem si, ze to prase autor fakt netusi, co je interpunkce...no a ted koukam, ze Lemming, tak to je v poradku, ten za drivejsich casu neznal ani rozdil mezi i a y, takze docela pokrok :))).
Ale abych zas neurazila :) - celkem se mi to libi, po dlouhe dobe zase serial o necem, ale to se tyka spis dalsich dilu (ja uz je cetla vsechny, hec :)).

Nojo, ja holt delam mene carek nez byva zvykem :-))) (BTW, ted si nevzpominam, ze bys po mne v "drivejsich casech" neco korigovala.)

A za pochvalu dekuji (i ostatnim ;-)

No jo, ale ty maily...;) Nicmene Pavel neni v tomto o moc lepsi (skoro bych rekla, ze je horsi :)) a navic se mi snazi vysvetlit, ze nektere gramaticke chyby jsou vlastne spravne, neb normalni clovek (rozumej on) to neumi rozlisit :)

eBanka pouziva neplatny korenovy certifikat ( http://www.ebanka.cz/pki/certifikaty/eBanka_ROOT.cer ) pro "Internetove elektronicke klice". Skoda, ze tento clanek jeste nebyl napsan v dobe, kzyz vygenerovali certifikaty. Jejich korenovy certifikat totiz vyprsel jiz v roce 1951.

A jaky to ma vyznam? Tohle je uplne jedno. Kdyby eBanka mela stamiliony uzivatelu, jako napr. VeriSign diky podpore root CA v IE a Netscapu, tak je to neco jineho a je nutne hlidat expiraci i s ohledem na delku provozu toho root certifikatu. A hlavne, neni snadne upgradovat najednou miliony instalaci IE nebo jineho prohlizece aby tam byl aktualni a novy certifikat. Proto ma ta expirace zde vyznam. U eBanky je dulezite datum vydani, to je 2001 a kdy bude expirovat je uplne jedno, zavisi to na vnitrni policy te banky, ktera se muze menit s vyvoje IT a kryptografie.
Jinak zakladni FAQ, kde aspon pochopite, proc je expire date pro root CA delano jsou zde: http://www.verisign.com/server/cus/rootcert/faq.html

Ale vyznam to rozhodne ma... tento FAQ odpovida na otazku, proc VERISIGN nastavuje expiraci svych CA certifikatu na par let od vydani, a ne, proc existuje pole expirace v x509 certifikatu. Faktem je, ze muzou podepsat dalsi certifikaty timto certifikatem, ale kdokoliv muze zpochybnit jakykoliv dokument podepsany certifikatem, ktery NIKDY nebyl platny.

Spis to naznacuje, ze se experti v eBance prilis obtezovali cist prislusne dokumentace a RFC. Zajimalo by me, na co si jeste zapomeli...

Tohle neni nic zavazneho. Ano, 509ka to definuje, ale tohle neni zasadni vec, je to proste optional a jestli si to root udela tak ci ona je jeho vec. Je proste root. Dulezita je distribuce toho CT, to datum je uplne ukradene a podle nej nejde stejne nic poznat. Ma to jen informativni hodnotu, ale vubec zadnou bezpecnostni.

"Filozofie je taková, že do uživatelského SW jsou (pokud možno nějakým bezpečným způsobem) nahrány certifikáty těch autorit, kterým uživatel věří. U browserů se při instalaci automaticky nainstalují i certifikáty důvěryhodných veřejných autorit."

Jen si dovolim upozornit, ze v tomto se skryva pomerne velke riziko, na coz autor bohuzel vubec neupozornil.
Nevim sice presne, jaka je situace dnes, ale mam vazne obavy, ze to, o cem psal na Lupe pred vice nez 2 lety (!) Dan Lukes, je stale aktualni a neskodilo by to pripomenout i dnes:

http://www.lupa.cz/clanek.php3?show=1363

Je v tom riziko v pripade, ze distribuujete software milionum uzivatelu, jako treba u prohlizecu. Proto je zde nutne kontrolovat expiraci. Ale v pripade, ze mate svoji banku, ktera vymeni jednou za 5 let root CT a dam vam ho na diskete nekde na pobocce (nebo nejlepe si ho uz v budoucnu odnesete na smartcart nebo mobilu) a doma si ho nainstalujete, tak v cem je problem? I proto neni chyba (spis je to lenost admina), ze treba ebanka ma expire date prosly. Jak jsem napsal, dulezity je hlavne datum vydani, podle nej se da kontrolovat prolomitelnost root CT.

v kazdem pripade je to exemplarni ostuda pro eBanku ! sice to s timto certifikatem funguje, ale moc duveryhodne to nevypada !!
co jineho by melo byt 100% v poradku kdyz ne tohle ? kdyz je jejich korenovy klic 50 let neplatny, jak na tom budou jine, mene dulezite veci ????
osobne si myslim, ze ten clovek co za tohle muze, uz tam nepracuje... jsem moc zvedavej, jak bude banka za 5 let menit korenovy certifikat... ha ha ha, se z toho poserou, tak to radsi nechaji tak

Dobry clanek, uz se tesim na pristi dily. Pokousel jsem se sifrovat postu a webik, lec bez vysledku.
Jen tak dal .o)

Zajmavy clanek. Nicmene by me v pristich dilech zajimalo, jak nastavit v Apache, aby pri vstupu na stranku prez https zustal "zamecek" uzamceny a ne jen preskrtnuty.

Creating Your Own CA:
http://www.onlamp.com/pub/a/onlamp/2003/02/06/linuxhacks.html

V clanku se pise, ze strany si na zacatku vymeni verejne klice. Pritom ale klient musi znat verejny klic serveru bezpecne uz predem, takze ta "vymena" spis spociva v tom, ze klient posle svuj verejny klic na server. Mam pravdu?

Prave proto existuje podepisovani certifikatu. Verejny klic je soucasti certifikatu. A pokud je cetifikat podepsany duveryhodnou CA, tak je certifikat (i verejny klic) s nejvetsi pravdepodobnosti pravy.