forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Раздел полезных советов: Использования HTTPS-сертификатов для шифрования и подписи произвольных данных, auto_tips (?), 22-Май-24, (0) [смотреть все]

ага, тут одни уже sshными ключами доподписывались Теперь ключи от всего есть ещ, нах. (?), 12:44 , 22-Май-24, (1) –7 //

Ну, как бы в сторону владельца закрытого ключа якобы-типа-что-то зашифрованное м, Anonim (??), 14:31 , 22-Май-24, (2) //

нет Вся суть экспертизы опеннета Ты нечитатель даже местных горе-новостей Одна, нах. (?), 15:18 , 22-Май-24, (3) –4 //

Товарищ Нах, объясни пожалуйста подробно, в чём проблема использования сертифика, КриоМух (ok), 06:10 , 24-Май-24, (4) +5

Да нет там никакой правды, понятие отрытого-закрытого ключа в криптографии униве, Аноним (8), 10:48 , 27-Май-24, (8)

так-то оно так но нах про другое говорит вот кто-то подписал тебе письмо чтобы, gogo (?), 08:57 , 12-Июн-24, (21)

Не смотря на название, автор использует не сами сертификаты, а приватный публичн, Sem (??), 17:00 , 29-Май-24, (10)
Интересное заявление А как тогда вообще выписывать сертификаты Там же постфакт, Аноним (15), 15:23 , 31-Май-24, (15)

в смысле Вот по инструкции и выписывать - Extended Purposes Server Authenticati, нах. (?), 21:09 , 31-Май-24, (16)

он не понимает, о чём пишет, не обращай внимания, 1 (??), 15:26 , 24-Май-24, (5) +1
Обычно к ключу имеют доступ CDN ок, допустим CDN а нет или он собственный , лю, Аноним (17), 06:37 , 02-Июн-24, (17)

симметрично шифруем любые файлы паролем openssl enc -in шифруемое -out зашиф, ананас (-), 23:36 , 24-Май-24, (6) +1 //

в статейке речь не о симметричном шифровании с которым все просто и сравнительн, нах. (?), 13:45 , 28-Май-24, (9) //

Ему просто надо зайти на сайт Васяна браузером, что бы понять, можно ли доверять, Sem (??), 17:04 , 29-Май-24, (11)
чем pki такой кошерный x509 точно также можно зашифровать , gogo (?), 09:01 , 12-Июн-24, (22)

Для шифрования и подписей есть GPG Получить публичный ключ получателя можно с л, Аноним (12), 13:09 , 30-Май-24, (12) +1 //

А осадочек от преодоления недетской болезни со слишком большим числом подписей , Аноним (13), 14:20 , 30-Май-24, (13) //

WOT конечно утопическая немного история и ее на практике невероятно сложно постр, Аноним (14), 23:23 , 30-Май-24, (14)

Есть-то он есть, но в то же самое время его как бы и нет Такой вот кот Шрёдинге, Аноним (18), 22:48 , 05-Июн-24, (18) //

Ну и что теперь Вам или нужно пользоваться криптографией, или не нужно и вы вме, Аноним (19), 00:04 , 06-Июн-24, (19) //

жрать захочешь - поверишь кому угодно компьютеры к сожалению или наоборот - то, Аноним (20), 10:38 , 11-Июн-24, (20)

Сообщения [Сортировка по времени | RSS]

1. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных" –7 +/–

Сообщение от нах. (?), 22-Май-24, 12:44

ага, тут одни уже sshными ключами доподписывались. Теперь ключи от всего есть еще и у тех, других васянов.
Сколько ж раз твердили миру - не надо совать свой ...й во все подходящие по диаметру дырки, даже если он туда помещается.

Ответить | Правка | Наверх | Cообщить модератору

2. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных" +/–

Сообщение от Anonim (??), 22-Май-24, 14:31

Ну, как бы в сторону владельца закрытого ключа якобы-типа-что-то зашифрованное можно отправить))))
Владелец (там у себя) в обратную же без опубликования развернуть-то сможет.
Зачем сразу по голове ТС то... ))))

Ответить | Правка | Наверх | Cообщить модератору

3. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных" –4 +/–

Сообщение от нах. (?), 22-Май-24, 15:18

нет. Вся суть экспертизы опеннета. Ты нечитатель даже местных горе-новостей.
Одна меееееееленькая ашипочка - и закрытый ключ (бережно хранимый в записной книжечке и зачитываемый вслух только в ночь на ивана кидалу при черных свечах при этом!) стал народным достоянием.
А почему? А вот потому что те кто придумывали технологию - предназначали ЭТОТ ключ строго для одного конкретного применения - и больше ни для какого. И краевые эффекты - за ненадобностью ИМ - не исследовали. Ну а потом уже и некогда было, смузи ж не ждет.
Поэтому добрый совет - используйте криптографию - только и исключительно в той позе, для которой она была предназначена.
Особенно такую сложную и плохо изученную как tls. Достаточно вспомнить массовый факап с дефолтными конфигами openvpn. Тоже tls и тоже сертфикаты. Вот вроде даже - по назначению используемые. И кто бы мог подумать и было ли чем?
В сертификате, если что, есть пункт Extended Key Usages Purposes (НЕ НАДО смотреть на non-extended, это до-v3, диды которые им пользовались уже как их зовут-то не очень помнят, а тем более зачем придумали и что на самом деле оно тогда означало - как водится, совсем не то что написано) - вот если там написано
Server Authentication, Client Authentication - то больше ни для чего такой использовать и не надо.
И выписывать себе сертификаты "Можна всьо" - тоже не надо.

Ответить | Правка | Наверх | Cообщить модератору

4. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных" +5 +/–

Сообщение от КриоМух (ok), 24-Май-24, 06:10

Товарищ Нах, объясни пожалуйста подробно, в чём проблема использования сертификатов под веб-сервер для подписывания или шифрования произвольных данных? Для неспеца в криптографии даже близко.
А то чувствую, что за тобой правда, но для общего развития хочется ещё и подробно понять.

Ответить | Правка | Наверх | Cообщить модератору

8. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных" +/–

Сообщение от Аноним (8), 27-Май-24, 10:48

Да нет там никакой правды, понятие отрытого-закрытого ключа в криптографии универсальное, и сфера их применения ничем не ограничена, можно серты для сайта генерить, а можно что угодно другое, другой вопрос к алгоритмам генерации ключей факапы бывают везде

Ответить | Правка | Наверх | Cообщить модератору

21. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных" +/–

Сообщение от gogo (?), 12-Июн-24, 08:57

так-то оно так. но нах про другое говорит.
вот кто-то подписал тебе письмо. чтобы его расшифровать, тебе нужно либо на веб-сервер лезть и там от рута (ключ обычно только рут читать может) с чужими данными манипуляции производить, или копировать закрытый ключ с сервера, чтобы расшифровать у себя в рабочем окружении.
и то, и то есть снижением уровня безопасности. не сказать, что это прям дыра-дырища, но вполне годно как звено в какую-то цепочку эксплойта.

Ответить | Правка | Наверх | Cообщить модератору

10. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных" +/–

Сообщение от Sem (??), 29-Май-24, 17:00

Не смотря на название, автор использует не сами сертификаты, а приватный/публичный ключи. Вполне нормальное решение в условиях, когда PGP не взлетело.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

15. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных" +/–

Сообщение от Аноним (15), 31-Май-24, 15:23

> выписывать себе сертификаты "Можна всьо" - тоже не надо.
Интересное заявление. А как тогда вообще выписывать сертификаты? Там же постфактум определяется для чего пара ключей сгенерирована.
Ну конкретно в этом примере уязвимость будет уровня - при взломе HTTP-сервера и утечке закрытого ключа для шифрования никому ненужного обмена "сайт-браузер"... в том числе и будут скомпрометированы все выпущенные пакеты какого-нибудь репозитория (который был подписан той же парой ключей). Как бы к
> используйте криптографию - только и исключительно в той позе, для которой она была предназначена.
мало отношения имеет. Тут скорее надо понимать что делаешь и какие будут side-эффекты. Что-то на уровне административной ошибки.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

16. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных" +/–

Сообщение от нах. (?), 31-Май-24, 21:09

> Интересное заявление. А как тогда вообще выписывать сертификаты?
в смысле? Вот по инструкции и выписывать - Extended Purposes:
Server Authentication, Client Authentication (нет, не спрашивайте меня зачем в серверном сертификате второе поле. "тут так принято")
А если сертификат не для этого - то и из дидового нерасширенного списка что-нибудь лишнее выкидывать (это успешно предотвратит попытку использовать такой сертификат в вебне).
> Ну конкретно в этом примере уязвимость будет уровня - при взломе HTTP-сервера и утечке закрытого
> ключа для шифрования никому ненужного обмена "сайт-браузер"
угу. тем более что модные-молодежные скриптовые автогенераторы обращаются с этими ключами не особенно бережно.
> Тут скорее надо понимать что делаешь и какие будут side-эффекты.
ну вот авторы аж самого putty (с миллионами пользователей) - ну недопоняли и недоучли. Много шансов не ошибиться у отдельного местного васяна занятого в обычной жизни вовсе не криптографией?
Вот и мне кажется что ноль.

Ответить | Правка | Наверх | Cообщить модератору

5. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных" +1 +/–

Сообщение от 1 (??), 24-Май-24, 15:26

он не понимает, о чём пишет, не обращай внимания

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

17. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных" +/–

Сообщение от Аноним (17), 02-Июн-24, 06:37

>Владелец (там у себя) в обратную же без опубликования развернуть-то сможет.
Обычно к ключу имеют доступ: CDN (ок, допустим CDN'а нет или он собственный), любой человек с доступом веб-сервера на сервере (ок, отправляем на личный сайт, допустим нет сотрудников, но личные сайты обычно и не слишком следят за безопасностью, любой хакер получивший доступ к доступному 24x7 сайту получает и всю переписку), хостер (то есть ничего политического писать не стоит), любой человек который может получить доступ к учетке сертификатора (т.е. хостер почтового ящика/сотовый оператор), удостоверяющий центр.
Т.е. сверхсекретные тайны нацистов от которых зависит чья-то жизнь не отправишь.
Чувствительные для финансов данные тоже.
Котиков конечно можно шифровать, но их лучше шифровать тем же чем и тайны нацистов, иначе легко будет понять что котики закончились.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных"	–7 +/–
Сообщение от нах. (?), 22-Май-24, 12:44
ага, тут одни уже sshными ключами доподписывались. Теперь ключи от всего есть еще и у тех, других васянов. Сколько ж раз твердили миру - не надо совать свой ...й во все подходящие по диаметру дырки, даже если он туда помещается.
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных"	+/–
	Сообщение от Anonim (??), 22-Май-24, 14:31
	Ну, как бы в сторону владельца закрытого ключа якобы-типа-что-то зашифрованное можно отправить)))) Владелец (там у себя) в обратную же без опубликования развернуть-то сможет. Зачем сразу по голове ТС то... ))))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных"	–4 +/–
	Сообщение от нах. (?), 22-Май-24, 15:18
	нет. Вся суть экспертизы опеннета. Ты нечитатель даже местных горе-новостей. Одна меееееееленькая ашипочка - и закрытый ключ (бережно хранимый в записной книжечке и зачитываемый вслух только в ночь на ивана кидалу при черных свечах при этом!) стал народным достоянием. А почему? А вот потому что те кто придумывали технологию - предназначали ЭТОТ ключ строго для одного конкретного применения - и больше ни для какого. И краевые эффекты - за ненадобностью ИМ - не исследовали. Ну а потом уже и некогда было, смузи ж не ждет. Поэтому добрый совет - используйте криптографию - только и исключительно в той позе, для которой она была предназначена. Особенно такую сложную и плохо изученную как tls. Достаточно вспомнить массовый факап с дефолтными конфигами openvpn. Тоже tls и тоже сертфикаты. Вот вроде даже - по назначению используемые. И кто бы мог подумать и было ли чем? В сертификате, если что, есть пункт Extended Key Usages Purposes (НЕ НАДО смотреть на non-extended, это до-v3, диды которые им пользовались уже как их зовут-то не очень помнят, а тем более зачем придумали и что на самом деле оно тогда означало - как водится, совсем не то что написано) - вот если там написано Server Authentication, Client Authentication - то больше ни для чего такой использовать и не надо. И выписывать себе сертификаты "Можна всьо" - тоже не надо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных"	+5 +/–
	Сообщение от КриоМух (ok), 24-Май-24, 06:10
	Товарищ Нах, объясни пожалуйста подробно, в чём проблема использования сертификатов под веб-сервер для подписывания или шифрования произвольных данных? Для неспеца в криптографии даже близко. А то чувствую, что за тобой правда, но для общего развития хочется ещё и подробно понять.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных"	+/–
	Сообщение от Аноним (8), 27-Май-24, 10:48
	Да нет там никакой правды, понятие отрытого-закрытого ключа в криптографии универсальное, и сфера их применения ничем не ограничена, можно серты для сайта генерить, а можно что угодно другое, другой вопрос к алгоритмам генерации ключей факапы бывают везде
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных"	+/–
	Сообщение от gogo (?), 12-Июн-24, 08:57
	так-то оно так. но нах про другое говорит. вот кто-то подписал тебе письмо. чтобы его расшифровать, тебе нужно либо на веб-сервер лезть и там от рута (ключ обычно только рут читать может) с чужими данными манипуляции производить, или копировать закрытый ключ с сервера, чтобы расшифровать у себя в рабочем окружении. и то, и то есть снижением уровня безопасности. не сказать, что это прям дыра-дырища, но вполне годно как звено в какую-то цепочку эксплойта.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных"	+/–
	Сообщение от Sem (??), 29-Май-24, 17:00
	Не смотря на название, автор использует не сами сертификаты, а приватный/публичный ключи. Вполне нормальное решение в условиях, когда PGP не взлетело.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	15. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных"	+/–
	Сообщение от Аноним (15), 31-Май-24, 15:23
	> выписывать себе сертификаты "Можна всьо" - тоже не надо. Интересное заявление. А как тогда вообще выписывать сертификаты? Там же постфактум определяется для чего пара ключей сгенерирована. Ну конкретно в этом примере уязвимость будет уровня - при взломе HTTP-сервера и утечке закрытого ключа для шифрования никому ненужного обмена "сайт-браузер"... в том числе и будут скомпрометированы все выпущенные пакеты какого-нибудь репозитория (который был подписан той же парой ключей). Как бы к > используйте криптографию - только и исключительно в той позе, для которой она была предназначена. мало отношения имеет. Тут скорее надо понимать что делаешь и какие будут side-эффекты. Что-то на уровне административной ошибки.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	16. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных"	+/–
	Сообщение от нах. (?), 31-Май-24, 21:09
	> Интересное заявление. А как тогда вообще выписывать сертификаты? в смысле? Вот по инструкции и выписывать - Extended Purposes: Server Authentication, Client Authentication (нет, не спрашивайте меня зачем в серверном сертификате второе поле. "тут так принято") А если сертификат не для этого - то и из дидового нерасширенного списка что-нибудь лишнее выкидывать (это успешно предотвратит попытку использовать такой сертификат в вебне). > Ну конкретно в этом примере уязвимость будет уровня - при взломе HTTP-сервера и утечке закрытого > ключа для шифрования никому ненужного обмена "сайт-браузер" угу. тем более что модные-молодежные скриптовые автогенераторы обращаются с этими ключами не особенно бережно. > Тут скорее надо понимать что делаешь и какие будут side-эффекты. ну вот авторы аж самого putty (с миллионами пользователей) - ну недопоняли и недоучли. Много шансов не ошибиться у отдельного местного васяна занятого в обычной жизни вовсе не криптографией? Вот и мне кажется что ноль.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных"	+1 +/–
	Сообщение от 1 (??), 24-Май-24, 15:26
	он не понимает, о чём пишет, не обращай внимания
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	17. "Использования HTTPS-сертификатов для шифрования и подписи произвольных данных"	+/–
	Сообщение от Аноним (17), 02-Июн-24, 06:37
	>Владелец (там у себя) в обратную же без опубликования развернуть-то сможет. Обычно к ключу имеют доступ: CDN (ок, допустим CDN'а нет или он собственный), любой человек с доступом веб-сервера на сервере (ок, отправляем на личный сайт, допустим нет сотрудников, но личные сайты обычно и не слишком следят за безопасностью, любой хакер получивший доступ к доступному 24x7 сайту получает и всю переписку), хостер (то есть ничего политического писать не стоит), любой человек который может получить доступ к учетке сертификатора (т.е. хостер почтового ящика/сотовый оператор), удостоверяющий центр. Т.е. сверхсекретные тайны нацистов от которых зависит чья-то жизнь не отправишь. Чувствительные для финансов данные тоже. Котиков конечно можно шифровать, но их лучше шифровать тем же чем и тайны нацистов, иначе легко будет понять что котики закончились.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору