forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Злоумышленникам удалось получить поддельные SSL-сертификаты, opennews (?), 23-Мрт-11, (0) [смотреть все]

Какого именно, не известно Если неизвестно, то почему, можно ведь отследить цеп, Marbleless (?), 17:17 , 23-Мрт-11, (1) –1 //

Написано же , User294 (ok), 17:21 , 23-Мрт-11, (2) +2

Да, вижу, что теперь уже написали Ну, Comodo - оно и есть Comodo Плохо, что сущ, Marbleless (?), 17:38 , 23-Мрт-11, (3) +2 //

Представь себе, и об этом - этот самый разработчик Tor ioerror уже написал , Andrey Mitrofanov (?), 17:45 , 23-Мрт-11, (5) +1

Разработчик Tor анализирова открытые источники списки отозванных сертификатов п, Andrey Mitrofanov (?), 17:41 , 23-Мрт-11, (4) +1 //

я тоже именно так непонял, angel_il (ok), 19:10 , 23-Мрт-11, (10)

Принцип то гнилой,давно пора , xz (??), 19:27 , 23-Мрт-11, (11) +3 //

Принцип не гнилой Гнилой сам подход к его реализации в некоторых клиентских про, iZEN (ok), 10:00 , 24-Мрт-11, (21) +1

Принцип гнилой А сам протокол Я так понимаю если соединение устанавливается , Аноним (-), 22:06 , 23-Мрт-11, (12) –11 //

Ты того матчасть вначале изучи а потом уж на пол-мира позорься , Аноним (-), 01:10 , 24-Мрт-11, (14) +2
Правильно, что разлогинился перед тем, как такой бред писать Почитай как рабо, Vitaly_loki (ok), 05:55 , 24-Мрт-11, (15) +4 //

Может быть он наслушался про MIM и неправильно себе представляет эту атаку , zazik (ok), 09:46 , 24-Мрт-11, (19) +1
Дык читал, и дырку вижу, хотя может просто чего то и недопонял, вы не кипешуйте , Аноним (-), 11:17 , 24-Мрт-11, (24) +1 //

А-а-, дак вы имеете в виду Man-In-the- Middle атаку Ну дак и в чем тут гнилость, Vitaly_loki (ok), 11:36 , 24-Мрт-11, (25)
Все так Поэтому и существуют CA, чьи сертификаты распространяются вместе с брау, filosofem (ok), 12:31 , 24-Мрт-11, (28)

сценарий такой только при использовании rsa возможен также вариант с diffie-hel, . (?), 13:24 , 04-Апр-11, (29)

напомнило http community livejournal com ctrlaltdel_rus 427626 html, alltiptop (ok), 23:52 , 23-Мрт-11, (13)
Недавно отказался от получения сертификата от COMODO и видать правильно, если их, CHERTS (??), 08:49 , 24-Мрт-11, (16)
Доходчиво и ясно http habrahabr ru blogs infosecurity 116084 , iZEN (ok), 09:24 , 24-Мрт-11, (18) –1
wow даже микрософты подсуетились и выпустили секурапдейт http go microsoft c, Аноним (-), 09:54 , 24-Мрт-11, (20)
Вот мне интерестно почему у Comodo не вызвало подозрение то, что ВНЕЗАПНО одновр, Аноним (-), 10:22 , 24-Мрт-11, (22) +1 //

Они же не вручную создаются Пришёл заказ - снялись деньги - поставилась подпис, vadiml (ok), 10:39 , 24-Мрт-11, (23) +2 //

Это понятно, но система же должна реагировать как-то, когда на домен, для которо, TiGR (?), 11:57 , 24-Мрт-11, (27) +1

ну ничего ж не мешает Comodo иметь blacklist ы, misterex (?), 11:39 , 24-Мрт-11, (26)

Сообщения [Сортировка по времени | RSS]

12. "Злоумышленникам удалось получить поддельные SSL-сертификаты" –11 +/–

Сообщение от Аноним (-), 23-Мрт-11, 22:06

Принцип гнилой ? А сам протокол ? Я так понимаю если соединение устанавливается по открытому каналу, и на клиенте изначально нет секретного ключа, то сев на канал в момент установки соединения можно снять все исходные данные для дальнейшей расшифровки.

Ответить | Правка | Наверх | Cообщить модератору

14. "Злоумышленникам удалось получить поддельные SSL-сертификаты" +2 +/–

Сообщение от Аноним (-), 24-Мрт-11, 01:10

Ты того ... матчасть вначале изучи а потом уж на пол-мира позорься :)

Ответить | Правка | Наверх | Cообщить модератору

15. "Злоумышленникам удалось получить поддельные SSL-сертификаты" +4 +/–

Сообщение от Vitaly_loki (ok), 24-Мрт-11, 05:55

Правильно, что разлогинился перед тем, как такой бред писать :) Почитай как работает ассиметричное шифрование.
- Клиент скачивает с сервера сертификат (открытый ключ).
- Потом клиент генерирует сеансовый ключ,
- Зашифровывает его открытым ключом (сертификатом). Расшифровать сеансовый ключ может ТОЛЬКО сервер (ибо только у него есть закрытая часть ключа).
- Сеансовый ключ отсылается серверу (отсылается он ЗАШИФРОВАННЫЙ открытым ключом).
Потом соединение шифруется уже сеансовым ключ. Итого, закрытый/открытый ключ нужен только для того чтоб обменяться сеансовым ключом

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

19. "Злоумышленникам удалось получить поддельные SSL-сертификаты" +1 +/–

Сообщение от zazik (ok), 24-Мрт-11, 09:46

> Правильно, что разлогинился перед тем, как такой бред писать :) Почитай как
> работает ассиметричное шифрование.
> - Клиент скачивает с сервера сертификат (открытый ключ).
> - Потом клиент генерирует сеансовый ключ,
> - Зашифровывает его открытым ключом (сертификатом). Расшифровать сеансовый ключ может
> ТОЛЬКО сервер (ибо только у него есть закрытая часть ключа).
> - Сеансовый ключ отсылается серверу (отсылается он ЗАШИФРОВАННЫЙ открытым ключом).
> Потом соединение шифруется уже сеансовым ключ. Итого, закрытый/открытый ключ нужен только
> для того чтоб обменяться сеансовым ключом
Может быть он наслушался про MIM и неправильно себе представляет эту атаку?

Ответить | Правка | Наверх | Cообщить модератору

24. "Злоумышленникам удалось получить поддельные SSL-сертификаты" +1 +/–

Сообщение от Аноним (-), 24-Мрт-11, 11:17

Дык читал, и дырку вижу, хотя может просто чего то и недопонял, вы не кипешуйте так, если объясните в чем я не прав и чего не понимаю то буду вам весьма благодарен.
Мы посередине. Значит в начале можем вместо сертификата сервера подсунуть клиенту свой (самоподписанность также обходится), и соответственно расшифровать его запрос, т.к. алгоритм формирования сеансового ключа известен и закрытая часть ключа у нас есть. Далее расшифровав клиентский запрос мы формируем и отправляем серверу свой запрос, как будто мы изначальный клиент, и далее действуем как прокси, ну и собственно все.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

25. "Злоумышленникам удалось получить поддельные SSL-сертификаты" +/–

Сообщение от Vitaly_loki (ok), 24-Мрт-11, 11:36

А-а-, дак вы имеете в виду Man-In-the- Middle атаку. Ну дак и в чем тут гнилость протокола? Если вы предоставили клиенту КОРРЕКТНЫЙ сертификат, подменили DNS-запись, то какие претензии к протоколу то? Может это DNS гнилой? :) Или ARP? :) По-вашему получается гнилое все ассиметричное шифрование, как класс.

Ответить | Правка | Наверх | Cообщить модератору

28. "Злоумышленникам удалось получить поддельные SSL-сертификаты" +/–

Сообщение от filosofem (ok), 24-Мрт-11, 12:31

Все так. Поэтому и существуют CA, чьи сертификаты распространяются вместе с браузером и которые подтверждают аутентичность сертификата сервера.
В чем гнилость протокола и какие есть еще варианты?

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

29. "Злоумышленникам удалось получить поддельные SSL-сертификаты" +/–

Сообщение от . (?), 04-Апр-11, 13:24

сценарий такой только при использовании rsa; возможен также вариант с diffie-hellman

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

12. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	–11 +/–
Сообщение от Аноним (-), 23-Мрт-11, 22:06
Принцип гнилой ? А сам протокол ? Я так понимаю если соединение устанавливается по открытому каналу, и на клиенте изначально нет секретного ключа, то сев на канал в момент установки соединения можно снять все исходные данные для дальнейшей расшифровки.
Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	+2 +/–
	Сообщение от Аноним (-), 24-Мрт-11, 01:10
	Ты того ... матчасть вначале изучи а потом уж на пол-мира позорься :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	+4 +/–
	Сообщение от Vitaly_loki (ok), 24-Мрт-11, 05:55
	Правильно, что разлогинился перед тем, как такой бред писать :) Почитай как работает ассиметричное шифрование. - Клиент скачивает с сервера сертификат (открытый ключ). - Потом клиент генерирует сеансовый ключ, - Зашифровывает его открытым ключом (сертификатом). Расшифровать сеансовый ключ может ТОЛЬКО сервер (ибо только у него есть закрытая часть ключа). - Сеансовый ключ отсылается серверу (отсылается он ЗАШИФРОВАННЫЙ открытым ключом). Потом соединение шифруется уже сеансовым ключ. Итого, закрытый/открытый ключ нужен только для того чтоб обменяться сеансовым ключом
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	19. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	+1 +/–
	Сообщение от zazik (ok), 24-Мрт-11, 09:46
	> Правильно, что разлогинился перед тем, как такой бред писать :) Почитай как > работает ассиметричное шифрование. > - Клиент скачивает с сервера сертификат (открытый ключ). > - Потом клиент генерирует сеансовый ключ, > - Зашифровывает его открытым ключом (сертификатом). Расшифровать сеансовый ключ может > ТОЛЬКО сервер (ибо только у него есть закрытая часть ключа). > - Сеансовый ключ отсылается серверу (отсылается он ЗАШИФРОВАННЫЙ открытым ключом). > Потом соединение шифруется уже сеансовым ключ. Итого, закрытый/открытый ключ нужен только > для того чтоб обменяться сеансовым ключом Может быть он наслушался про MIM и неправильно себе представляет эту атаку?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	+1 +/–
	Сообщение от Аноним (-), 24-Мрт-11, 11:17
	Дык читал, и дырку вижу, хотя может просто чего то и недопонял, вы не кипешуйте так, если объясните в чем я не прав и чего не понимаю то буду вам весьма благодарен. Мы посередине. Значит в начале можем вместо сертификата сервера подсунуть клиенту свой (самоподписанность также обходится), и соответственно расшифровать его запрос, т.к. алгоритм формирования сеансового ключа известен и закрытая часть ключа у нас есть. Далее расшифровав клиентский запрос мы формируем и отправляем серверу свой запрос, как будто мы изначальный клиент, и далее действуем как прокси, ну и собственно все.
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	25. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	+/–
	Сообщение от Vitaly_loki (ok), 24-Мрт-11, 11:36
	А-а-, дак вы имеете в виду Man-In-the- Middle атаку. Ну дак и в чем тут гнилость протокола? Если вы предоставили клиенту КОРРЕКТНЫЙ сертификат, подменили DNS-запись, то какие претензии к протоколу то? Может это DNS гнилой? :) Или ARP? :) По-вашему получается гнилое все ассиметричное шифрование, как класс.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	+/–
	Сообщение от filosofem (ok), 24-Мрт-11, 12:31
	Все так. Поэтому и существуют CA, чьи сертификаты распространяются вместе с браузером и которые подтверждают аутентичность сертификата сервера. В чем гнилость протокола и какие есть еще варианты?
	Ответить \| Правка \| К родителю #24 \| Наверх \| Cообщить модератору


	29. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	+/–
	Сообщение от . (?), 04-Апр-11, 13:24
	сценарий такой только при использовании rsa; возможен также вариант с diffie-hellman
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору