Vlákno názorů ke zprávičce Po úniku klíčů bude dnes zneplatněno 23 000 TLS certifikátů od kb - "ponaučení pro všechny: nikdy nikomu nesvěřovat své klíče" hezké...
-
kb (neregistrovaný)
"ponaučení pro všechny: nikdy nikomu nesvěřovat své klíče"
hezké ponaučení, ale třeba internet banking komerční banky funguje právě na principu, že v rámci autentizačního procesu pošlete svůj certifikát vč. privátního kliče v balíčku pkcs12 přes webový formulář bance a musíte rovněž do formuláře zadat heslo k certifikátu:/ -
To je blbost. Privátní klíč se serveru neposílá, jen se jím provede podpis pro autentizaci uživatele.
No mnoho CA generuje klíče v prohlížeči. Je možné, že někteří dokonce na své straně. Je to jakási úlitba adminům, kteří si klíč vygenerovat a odeslat ho s CSR neumějí. Pak už je jen krok k úvaze archivovat i klíče.
Samozřejmě máte pravdu, klíč odesílat nikam ven NENÍ potřeba.
-
kb (neregistrovaný)
do formuláře KB se vkládá certifikát ve formátu .p12 (obsahuje certifikát i klíč) + heslo
https://www.mojebanka.cz/pdf/vlozeni_certifikatu_cz.pdf -
Vkládá, ale to ještě nemusí znamenat, že se taky někam posílá. Předpokládám, že se podpis vytvoří lokálně a po síti putuje už jen ten – jinak by to nemohlo fungovat s čipovou kartou.
Ovšem běžný uživatel to nemá šanci poznat, on prostě dává soubor s privátním klíčem a heslo k jeho rozšifrování do webového formuláře. To je samozřejmě koncepční chyba, se kterou se ovšem těžko dá něco udělat. -
kb (neregistrovaný)
Pokud z .p12 vytáhnu pomocí openssl jen certifikát (bez klíče) a ten vložím do formuláře pro přihlášení do KB, tak se zobrazí zpráva, že certifikát je neplatný, formulář vyžaduje pkcs#12 formát a k tomu heslo. Co se pak reálně odesílá do banky se těžko zjišťuje, ale pokud se klíč odešle uživatel tomu taky težko zabrání.
-
dw (neregistrovaný)
Tak to je zle implementivane, pri nadvazovani tls by si mal server povedat ze nechce automaticky generovany anonymny crt ktory prehliadac generuje pri beznom https ale overeny klientsky certifikat. Prehliadac potom zobrazi vyzvu ktory pksc12 ma byt pouzity, server potom vidilen cast v ktorej je certifjkat a verenny kluc. Prehliadac samohrejme potrebuje aj privagny kluc. V ziadnom pripade by nemal byt poslany na server cely pksc12. Ak to nejaka sajta vyzaduje tak je dobre ju vylucit zo zonamu navstevovanych...
ČLÁNKY DO MAILU