Články v rubrice Šifrování

Z SSL Observatory je známo, že mnoho klíčů na TLS službách je sdílených. Před měsícem Lenstra et al. publikovali práci, ukazující, že v mnoha embedded zařízeních jsou sdílená prvočísla v RSA modulech. Co je horší než sdílené moduly nebo sdílená prvočísla? Obojí zároveň. Jak k takto nebezpečné situaci došlo?

Když se začátečníci na fórech zeptají, jak si na svém hostingu mohou rozběhnout podporu SSL, obvykle se dozví, že to nejde, protože u SSL je třeba mít pro každou doménu vlastní IP adresu. Toto nepříjemné omezení se snaží (poměrně úspěšně) řešit rozšíření SNI, která funguje dobře, má ovšem také své ale.

Ubuntu Privacy Remix Team vydal vlastní analýzu bezpečnosti open-source šifrovacího programu TrueCrypt. Ten je mezi uživateli populární zejména kvůli jednoduchému použití a rozšířenému povědomí o jeho bezpečnosti. Je ale TrueCrypt skutečně tak bezpečný, jak jeho autoři tvrdí? A jak ho bezpečně používat?

SSL dostává v posledních měsících jednu ránu za druhou. Nejprve byly napadeny dvě certifikační autority, což vyvolalo řadu otázek okolo bezpečnosti modelu PKI. Nyní bylo napadeno samotné SSL a autoři útoku tvrdí, že mohou odposlechnout libovolnou komunikaci. V důsledku tak mohou odcizit cookie a celé sezení.

Běžné implementace šifrovacích algoritmů spoléhají na ukládání šifrovacích klíčů i algoritmů v paměti RAM. To je sice standardní způsob, má ale svá úskalí a bezpečnostní nedostatky. Šifrovací klíče je možné z paměti několika způsoby dostat, a pak máme velký bezpečnostní problém. TRESOR na to jde jinak.

Internetové vody rozvířil případ společnosti Comodo, jejíž napadení umožnilo do světa rozeslat podvržené SSL certifikáty. Ty mohou sloužit pro prakticky neodhalitelné man-in-the-middle útoky. Jeden bezpečnostní incident ukázal několik výrazných slabin celého SSL (HTTPS) a jeho principiálních děr.

Uživatelé, ISP a zástupci zájmových skupin mezi sebou hrají hru na kočku a na myš, kdy jedna skupina přijde s revolučním opatřením proti kopírování, aby jej druhá skupina mohla překonat a zařídit se mnohem lépe. BitTorrent je jednou z nejnapadanějších technologií a nikomu se zatím nepodařilo ho odstavit.

Bezpečnost elektronického bankovnictví je založena mimo jiné na SSL šifrování webových stránek. Zabezpečení ale není jen otázkou aktivace SSL, důležitou roli hrají také certifikáty, šifrovací algoritmy nebo třeba protokoly pro výměnu klíčů. Některé banky bohužel iluzi bezpečí jen vytvářejí.

Určitě jste už chtěli někomu něco sdělit po internetu tak, aby to nemohl číst nikdo jiný. Pravděpodobně znáte věci jako GPG, ale jsou pro vás příliš složité, nebo prostě nechcete učit protistranu tak komplexní technologii kvůli pár slovům. Pro takové použití je tu Off-The-Record, šifrování s mnoha výhodami.

V souvislosti se zrušením volného certifikátu na Thawte a s několika dalšími důvody jsme v redakci začali uvažovat o něčem, co by elegantně dokázalo podepisovat e-maily a šifrovat komunikaci. Ano, tento seriál bude o otevřeném způsobu šifrování, PGP a o jeho svobodné implementaci GnuPG. Dnes si vygenerujeme klíče.

Článok popisuje vybrané možnosti a konfiguráciu modulu mod_ssl, ktorý rozširuje webový server Apache HTTPD o podporu protokolu SSL. Zaoberá sa nielen autentizáciou servera, ale aj klientov pomocou klientských certifikátov. Podrobne si rozoberieme celú tvorbu a použitie certifikátov a všetko si ukážeme na príkladoch.

V závěrečném dílu seriálu o šifrování disků si probereme správu šifrovaných oddílů, správu klíčů, vytváření šifrovaných kontejnerů a možnosti přístupu k LUKS kontejnerům z MS Windows. Ukážeme si, jak zazálohovat LUKS hlavičku, jak šifrované oddíly zprovoznit při bootu a jak zašifrovat celý systém.

V tomto díle našeho seriálu o šifrování disků si ukážeme, jak připravit disk či oddíl k zašifrování zaplněním náhodnými daty a jak jej následně zašifrovat pomocí dm-crypt/LUKS. Probereme si, jaká nastavení šifry a šifrovacího módu jsou na daných jádrech nejvhodnější k zajištění maximální bezpečnosti.

Chtěli byste si v GNU/Linuxu zašifrovat celé disky či diskové oddíly a přemýšlíte, kudy na to vlastně jít? V tomto seriálu si představíme nativní linuxové řešení dm-crypt/LUKS. V prvním díle se podíváme na to, co je dm-crypt a LUKS a budeme se věnovat především teoretickému úvodu do diskového šifrování.

Linuxová varianta programu TrueCrypt byla dlouho ochuzena o grafické rozhraní. To od použití odrazovalo běžné uživatele. Včera byla konečně vydána dlouho očekávaná pátá verze, která kromě grafiky nabízí také podstatně jednodušší instalaci, vyšší bezpečnost a méně problémů při aktualizaci jádra.

Další článek věnovaný možnostem použití OpenPGP v různých webmailech. Tentokrát se zaměříme na jednosměrnou anonymní elektronickou poštu. Co má společného OpenPGP s anonymními emaily? Anonymní e-maily mohou být také šifrovány a digitálně podepisovány. Použít můžeme například Web Secure Email.

TrueCrypt je v poslední době čím dál oblíbenějším nástrojem pro jednoduché šifrování důležitých dat nejen na přenosných médiích. Jeho velkou výhodou je, že jej můžete nainstalovat do MS Windows i linuxových distribucí. Bezpečnému transportu dat tak nic nebrání. Jak se TrueCrypt používá v Linuxu?

Druhý díl seriálu věnovaného možnostem použití OpenPGP ve webmailech. V prvním díle byl soukromý klíč uložen na serveru, kde také probíhalo veškeré šifrování. Provozovatel serveru měl přístup k otevřenému tvaru klíče. Nevyhovuje? V dnešním díle zůstane klíč na serveru. Avšak pouze v zašifrovaném tvaru.

Podepsat či zašifrovat zprávu pomocí OpenPGP, stejně jako zprávu dešifrovat či ověřit elektronický podpis, je dnes docela snadné. Stačí využít možností OpenPGP kompatibilních poštovních klientů. Co ale přístup k poštovní schránce přes webové rozhraní (webmail)? Co freemailové poštovní schránky?

TrueCrypt je open-source nástroj, který umožňuje vytvářet šifrované diskové oddíly na operačních systémech MS Windows a GNU/Linux. Kromě toho, že se jedná o velmi jednoduché a uživatelsky příjemné řešení, nabízí TrueCrypt také velmi bezpečné a silné šifrování. Jak přesne šifruje? Proč je tak bezpečný?

Možnosti šifrování a podepisování elektronické pošty pomocí OpenPGP (GnuPG a PGP) jistě není nutno čtenářům Root.cz představovat. Řada z nás má nainstalováno rozšíření Enigmail pro Mozilla Thunderbird. Co ale OpenPGP a HTTP? Co takhle pomocí OpenPGP podepisovat webové formuláře nebo autentizovat uživatele?

Svět začíná postupně zavádět elektronické pasy. Ty by podle oficiálních informací měly přispět k celkovému zvýšení bezpečnosti a zavést pořádek. Poslední výzkumy ale ukazují na minimální zabezpečení elektronických pasů, které je možno velmi jednoduše obejít. Jak na to? Jaká jsou rizika? Máme pasům ještě věřit?

Celá staletí bylo utajování textů založeno buď na jejich skrytí (steganografie) nebo na využití transpozičních a substitučních šifer. Tyto šifry pracovaly s celým znakem (výjimečně bigramem) otevřeného textu. Dnes, v době počítačů, je naopak zcela přirozené, že šifrování probíhá na úrovní bitové reprezentace písmen.

Všechny současné hašovací funkce mají bezpečnostní problémy. Ve světě probíhá intenzivní úsilí k nalezení nového konceptu. Ukazujeme, jak jednoduchá je příčina současných problémů a navrhujeme nový koncept. V tomto příspěvku prezentujeme část výsledků projektu NBÚ Bezpečná hašovací funkce.

Hašovací funkce MD5 se stala brzy po svém uvedení nejoblíbenější hašovací funkcí. Dnes je problém ji ve všech aplikacích nahradit. Marc Stevens, Arjen Lenstra a Benne de Weger vypracovali a včera oznámili metodu tzv. cílených kolizí MD5. Ukážeme si novou metodu a její použití v certifikátech.

Prednedávnom sa na Roote objavila správička s údajnou chybou v PGPdisku. O pár dní bolo treba dávať veci na pravú mieru. Skúsime odpovedať, čo sa stalo, prečo sa to stalo a čo to znamená. Môžme spať v kľude? Je PGP bezpečné? Čo je a čo nie je pravda?

Exkluzivní článek, který popisuje nový objev předního českého kryptoanalytika Vlastimila Klímy. K hledání kolizí použil zcela novou metodu, kterou nazval tunelování. Metoda je velmi rychlá a umožňuje snížit dobu hledání kolizí na běžném PC z osmi hodin na jednu minutu.

Spojenia cez SSL sa často berú ako bezpečné a mnohé návody dávajú rady typu 'dávajte svoje citlivé údaje len tam, kde vidíte https spojenie'. Tipujem, že väčšina ľudí (a špeciálne ne-IT profesionáli) netuší, aké jednoduché môže byť odpočúvanie/modifikácia SSL spojenia, ak si poriadne nedajú pozor na certifikáty. Hocikto na routeri/gateway použitím utility stunnel a iptables to dokáže.

Finanční server Měšec vydal ve spolupráci se serverem Root studii, která analyzuje zabezpečení internetového bankovnictví v České republice. Protože se jedná o zajímavé téma i pro čtenáře Roota, řekneme si o studii více a představíme si nejzajímavější informace, které obsahuje.

Už víme, jak funguje elektronický podpis a co k tomu vlastně potřebujeme. Dnes naše povídání dokončíme tím, že si ukážeme, jak vše realizovat v praxi. Pak už můžeme začít podepisovat.