The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Шифрование, PGP

   Корень / Безопасность / Шифрование, PGP

----* Использование CAA записей в DNS для защиты от генерации фиктивных HTTPS-сертификатов   [обсудить]
  Начиная с сентября 2017 года удостоверяющим центрам предписано обязательно проверять CAA-записи в DNS перед генерацией сертификата. CAA ([[https://tools.ietf.org/html/rfc6844 RFC-6844]], Certificate Authority Authorization) позволяет владельцу домена явно определить удостоверяющий центр, который имеет полномочия для генерации сертификатов для указанного домена. При наличии CAA-записи все остальные удостоверяющие центры обязаны блокировать выдачу сертификатов от своего имени для данного домена и информировать его владельца о попытках компрометации.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Методы обнаружения ключей OpenPGP   Автор: stargrave  [комментарии]
  Мы знаем email адрес человека и хотим с ним безопасно связаться. Как узнать его публичный OpenPGP ключ?
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Отключение SSLv2 для защиты сервера от атаки DROWN (доп. ссылка 1)   [комментарии]
  Отключаем SSLv2 для защиты от атаки [[https://www.opennet.ru/opennews/art.shtml?num=43971 DROWN]], позволяющей с MITM-хоста получить доступ к защищённому каналу связи между клиентом и уязвимым сервером. Уязвимость проявляется если сервер поддерживает SSLv2 (не важно какой протокол используется в текущем сеансе, какая реализация библиотеки шифрования используется и какие протоколы поддерживает клиент).
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Обфускация структуры полей в базе данных   Автор: 赤熊  [комментарии]
  Хорошим примером защиты данных в разных базах является их шифрование. Для хранения паролей используют лишь хеш. А хеш, как известно, необратим. Нижепредложенный perl-скрипт хорош для огораживания структуры полей таблиц баз данных под управлением MySQL 5.x. Обфускация полей базы вкупе с шифрованием данных может минимизировать потери в случае эксплуатации sql-injection уязвимостей и утечки данных. В качестве аргументов передаётся файл с SQL-дампом структуры БД и "соль" к хэшу. На выходе формируется файл с полями, заменёнными на нечитаемые наборы символов, что затрудняет определение суть хранимых в полях данных (если данные в БД хранятся в зашифрованном виде).
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Получение сертификата через общедоступный удостоверяющий центр LetsEncrypt (доп. ссылка 1) (доп. ссылка 2)   [комментарии]
  Удостоверяющий центр [[https://letsencrypt.org/ LetsEncrypt]] контролируется сообществом и позволяет любому желающему бесплатно получить TLS-сертификат для организации доступа через защищённое соединение к своему сайту. Для прохождения верификации перед получением сертификата достаточно продемонстрировать контроль над доменом через размещения файла с ключом на web-сервере или запуска специального автоматизированного крипта.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Настройка SSH для использования наиболее защищённых алгоритмов шифрования (доп. ссылка 1)   [комментарии]
  В свете [[https://www.opennet.ru/opennews/art.shtml?num=41356 появления]] сведений об организации АНБ атак, направленных на получение контроля над SSH-соединениями, [[https://stribika.github.io/2015/01/04/secure-secure-shell.html подготовлено]] руководство с рекомендациями по усилению защищённости SSH. АНБ может получить контроль за SSH-соединением в случае использования уязвимых методов шифрования или в результате захвата приватных ключей. Ниже представлены советы по отключению потенциально проблемных алгоритмов и усилению защиты.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Добавление поддержки SSL в pgbouncer при помощи stunnel   Автор: umask  [комментарии]
  Для быстрого старта pgbouncer c поддержкой SSL можно использовать вот такой конфигурационный файл stunnel:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Включение в Fedora и CentOS поддержки шифрования по эллиптическим кривым (доп. ссылка 1) (доп. ссылка 2)   [комментарии]
  По умолчанию в Fedora и CentOS пакет OpenSSL собран без поддержки криптографии по эллиптическим кривым (ECC, Elliptic Curve Crytography), так как реализация потенциально [[https://lists.fedoraproject.org/pipermail/legal/2011-June/001661.html нарушает]] ряд [[http://en.wikipedia.org/wiki/ECC_patents патентов]]. В Debian и Ubuntu пакет openssl собран с поддержкой ECC.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Создание канала связи с использованием TLS-SRP из состава OpenSSL 1.0.1 (доп. ссылка 1)   [комментарии]
  Для создания шифрованного канала связи с использованием вместо ключей шифрования обычных паролей, которые может запомнить человек, можно использовать протокол SRP (Secure Remote Password), поддержка которого появилась в OpenSSL 1.0.1.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Использование TRESOR для хранения ключей шифрования AES не в ОЗУ, а в регистрах CPU (доп. ссылка 1)   [комментарии]
  При использовании зашифрованного раздела с конфиденциальной информацией, злоумышленник, имеющий физический доступ к компьютеру, может воспользоваться методом холодной перезагрузки (https://www.opennet.ru/opennews/art.shtml?num=17035) для получения ключей шифрования. Метод основан на способности оперативной памяти (DRAM) какое-то время сохранять информацию после отключения питания и отсутствия импульсов регенерации ее содержимого (при температуре -50 градусов данные сохраняются более 10 минут). После холодной перезагрузки или переключении чипа памяти на другое устройство память не обнуляется и данные старой рабочей сессии можно проанализировать. Особенно актуальная проблема для ноутбуков, которые часто не выключаются и лишь переводятся в ждущий режим, при котором ОЗУ не обесточивается. В простейшем случае, восстановить ключ из памяти можно используя утилиту msramdmp (http://www.mcgrewsecurity.com/tools/msramdmp/), перезагрузившись в LiveCD (например, можно использовать [[http://www.mcgrewsecurity.com/projects/msramdmp/msramdmp_cd.iso msramdmp_cd.iso]]).
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Перехват WEP и WPA ключей в беспроводной сети при помощи AIR Crack  (доп. ссылка 1) (доп. ссылка 2)   [комментарии]
  Инструкция по подбору ключей шифрования в беспроводных сетях, базирующихся на механизме WEP, являющемся устаревшим, но продолжающем широко использоваться. Данная информация предназначена только для ознакомления и может быть использована исключительно в целях проверки надежности собственной сетевой инфраструктуры.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* IPSec туннель между Cisco и CentOS Linux   Автор: PsV  [комментарии]
  Имеем:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Добавление сертификата в Chromium (доп. ссылка 1) (доп. ссылка 2)   Автор: silverghost  [комментарии]
 
После установки Chromium потребовалось импортировать сертификат для работы с
Webmoney Light. В документации к Chromium рекомендуют использовать команду:

   certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n "WebMoney" -i ./wm.p12

Но такая команда выдает ошибку, по крайней мере в Ubuntu 10.04:

   certutil: could not obtain certificate from file: security library: invalid arguments.

Решается эта проблема путем использования другой утилиты:

   pk12util -d sql:$HOME/.pki/nssdb -i ./wm.p12

Вышеупомянутые утилиты входят в состав пакета libnss3-tools в Ubuntu/Debian,
nss-tools в Fedora/RHEL и mozilla-nss-tools в openSUSE.
 
----* Динамическое подключение шифрованных дисковых разделов   Автор: simplexe  [комментарии]
  Задача: Обеспечить шифрование централизованного хранилища с хранением ключей шифрования на внешнем USB-носителе (воткнул ключ - работает, вытащил - не работает). Пакет truecrypt не подошел из-за особенностей его лицензии и отсутствия во многих дистрибутивах. Для шифрования было решено использовать dm-crypt, из двух фронтэндов cryptsetup и cryptmount был выбран первый.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Доступ к шифрованному файлу паролей (доп. ссылка 1)   Автор: Вячеслав  [комментарии]
  В моей сети есть много устройств и служб, доступ к которым осуществляется посредством telnet. Обычно, устройства группируются по типу и зачастую имеют разные пароли. Запомнить десяток паролей, помимо личных, не всегда легко. Привычно хранить пароли внутри шифрованного раздела, хранилища TrueCrypt или шифрованного с помощью GPG файла. А пользователям Windows со своей SecureCRT, вообще, об этом думать не надо.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Хранение конфиденциальных данных в DropBox (доп. ссылка 1)   Автор: silverghost  [обсудить]
  Для организации безопасного хранения и синхронизации приватных данных данных при помощи сервиса DropBox (http://getdropbox.com) можно задействовать функцию шифрования каталогов. Рекомендации подойдут и для сервиса Ubuntu One (http://one.ubuntu.com)
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Проверка SSL сертификата из командной строки (доп. ссылка 1)   [комментарии]
  Предположим, что нам нужно проверить SSL сертификат сайта www.test.net
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Настройка работы шифрованного корневого раздела во FreeBSD (доп. ссылка 1)   [комментарии]
  Устанавливаем систему стандартным образом в один минимальный корневой раздел, для дополнительных разделов создаем фиктивные точки монтирования. Таблица разделов имеет примерно такой вид:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Создание шифрованного загрузочного LiveUSB c Debian GNU/Linux (доп. ссылка 1)   [комментарии]
  Добавление Loop-AES шифрования к Debian Live.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Добавление SSL шифрования для не SSL сайта силами nginx (доп. ссылка 1)   [комментарии]
  Ниже представлен пример настройки SSL-акселератора, выполненного средствами http-сервера nginx.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Создание шифрованного раздела в Linux (доп. ссылка 1)   [комментарии]
  В CentOS 5.3 добавлена возможность создания шифрованных дисковых разделов на этапе установки. Рассмотрим ручное создание шифрованного раздела /dev/sdb3 при помощи dm-crypt/LUKS.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Шифрование и просмотр видео (gpg, mplayer)   Автор: borey  [комментарии]
  Озадачился такой проблемой. Есть несколько видео клипов, которые я бы не хотел чтобы кто нибудь смог увидеть, если украдут или взломают носитель. Частное видео. Но хотелось бы иметь удобный способ быстро его просмотреть.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Создание приватной шифрованной директории в Ubuntu 8.10 (доп. ссылка 1)   [комментарии]
  В Ubuntu 8.10 появилась возможность создания в домашней директории пользователя каталога, для хранения приватных данных, хранимых в зашифрованном виде (для шифрования используется eCryptfs).
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Как вытащить из SSL сервиса серверный сертификат (доп. ссылка 1)   Автор: Александр Герасёв  [комментарии]
 
Команда для того, чтобы вытащить из ssl-enabled сервиса серверный сертификат:

   openssl s_client -connect server:port -showcerts
 
----* Как зашифровать файл используя mcrypt или openssl (доп. ссылка 1)   Автор: nixcraft  [комментарии]
 
mcrypt (http://mcrypt.sourceforge.net)

Зашифровать:
   mcrypt data.txt
      Enter passphrase:
Расшифровать:
   mcrypt -d data.txt.nc
      Enter passphrase:

openssl (http://www.openssl.org)

Зашифровать:
   openssl enc -aes-256-cbc -salt -in file.txt -out file.out
      Enter aes-256-cbc encryption password:
Расшифровать:
   openssl enc -d -aes-256-cbc -in file.out
      Enter aes-256-cbc encryption password:
 
----* Шифрованный виртуальный диск под FreeBSD 5 (доп. ссылка 1)   Автор: levsha  [комментарии]
  Предполагается что в полном распоряжении есть FreeBSD 5.X Разборки "что ставить на сервер: 4.X или 5.X" не обсуждаются. В случае использования FreeBSD 4.X необходимо вместо mdconfig использовать vnconfig и вместо gbde использовать vncrypt.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Шифрованный swap в FreeBSD 6.0   Автор: neozoid  [комментарии]
  Добавить в /boot/loader.conf:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Аутентификация без пароля через USB Flash в Linux (доп. ссылка 1)   [комментарии]
 
Цель - организовать аутентификацию пользователя в Linux системе, не через ввод пароля, 
а через вставку USB флэша или CDROM, содержащего DSA ключ.

1. Устанавливаем  pam_usb (http://pamusb.sourceforge.net/);

2. В /etc/pam.d/login, /etc/pam.d/xdm и т.д. прописываем, в зависимости от режима:
   2.1. Вход только при вставке Flash с ключем:
      auth       required        pam_usb.so
      #auth required pam_unix.so # комментируем строку.

   2.2. Можем войти просто вставив Flash или набрав пароль:
      auth       sufficient      pam_usb.so # ставим перед "auth required pam_unix.so"

   2.3. Режим входа только при вставке Flash с ключем одновременно с вводом пароля:
      auth       required        pam_usb.so # ставим перед "auth required pam_unix.so"

3. Монтируем Flash в /mnt/usb и генерируем для пользователя ключ:
   usbadm keygen /mnt/usb логин 1024
 
----* popa3d + TLS/SSL (stunnel) на FreeBSD 5.4   Автор: Вотинцев Сергей А.  [комментарии]
  Установка stunnel:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Защищенный канал связи используя stunnel   Автор: Wely  [комментарии]
  Мне потребовалось сделать защищённый канал для связи, под FreeBSD 5.4. Выбрал самый легкий путь для моих условий: поставить stunnel. Эта программа занимается перенаправлением портов через ssl-канал к обычным портам. итак:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Шифрованная передача текста (openssl+nc)   Автор: ZEDER  [обсудить]
 
Передаём на хост .1 в порт 666 текст предварительно его зашифровав паролем "paSSw0rd":
   echo ТЕКСТ | openssl des3 -salt -k paSSw0rd | nc 192.168.48.1 666

принимаем на порту 666 текст:
   nc -l -p 666 | openssl des3 -d -k paSSw0rd
 
----* Шифрование файлов используя loopback устройство под Debian Linux (доп. ссылка 1)   [комментарии]
  Установка пакетов:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Генерация сертификатов для mod_ssl (доп. ссылка 1)   Автор: Александр Елисеенко  [комментарии]
 
В состав дистрибутива openssl входят скрипты CA.sh и CA.pl (/usr/local/openssl/misc)
создаем корневой сертификат
	./CA.sh -newca
генерируем личный ключ и сертификационный запрос сервера
	./CA.sh -newreq
и подписываем его своим корневым сертификатом.
	./CA.sh -sign
переписываем ключ и сертификат сервера в служебный каталог Apache
	cp newreq.pem   /usr/local/etc/apache/sslkey/server.key
	cp newcert.pem  /usr/local/etc/apache/ssl.crt/server.crt
Файл корневого сертификата ./demoCA/cacert.pem необходимо 
распространить по клиентским компьютерам.
 
----* Симметричное шифрование блока данных на Perl.   [комментарии]
 
use Crypt::Blowfish;
use Crypt::CBC;
my $cipher = new Crypt::CBC("Секретный ключ для шифрования",'Blowfish');
my $crypted_block = $cipher->encrypt_hex($text);
my $text = $cipher->decrypt_hex($crypted_block);
$cipher->finish();
 
----* Как настроить работу шифрованной файловой системы в Linux (доп. ссылка 1)   [комментарии]
 
1. Устанавливаем патчи cryptoapi и cryptoloop http://www.kernel.org/pub/linux/kernel/crypto/
2. dd if=/dev/zero of=/usr/testfs bs=1M count=50
3. modprobe cryptoloop; modprobe cryptoapi; modprobe cipher-des
4. losetup -e des /dev/loop0 /usr/testfs
5. mkfs -t ext3 /dev/loop0
6. mount -t ext3 /dev/loop0 /mnt/testfs
 
----* Чем в perl лучше шифровать данные.   [обсудить]
 
Необратимое шифрование (хэш или fingerprint):
  Модули (в порядке возрастания надежности) Digest::MD5, Digest::SHA1, Digest::HMAC_MD5, Digest::HMAC_SHA1
  Пример: use Digest::SHA1 qw(sha1_base64); 
          $hash = sha1_base64("test");

Обратимое шифрование по ключу:
  Модули: Crypt::DES, Crypt::HCE_SHA, Crypt::Blowfish + Crypt::CBC
  Пример: use Crypt::Blowfish; use Crypt::CBC;
          $cipher_handle = new Crypt::CBC($encrypt_key,'Blowfish');
          $crypted_text = $cipher_handle->encrypt_hex($text);
          $text = $cipher_handle->decrypt_hex($crypted_text);

Шифрование с использованием открытого ключа: Crypt::OpenPGP, Crypt::GPG , Crypt::PGP5.
 
----* Шифрование файла   [обсудить]
 
pgp2.6>cat input| pgp -ef userid > output
pgp5.0>cat input| pgpe -f userid > output
gnupg>cat input| gpg -e -r userid > output
 
----* Расшифровка файла   [обсудить]
 
pgp2.6>cat encrypted_файл | pgp -f -z'пароль' > расшифрованный_файл
pgp5.0>cat encrypted_файл | pgpv -f -z'пароль' > расшифрованный_файл
gnupg>cat encrypted_файл | gpg --decrypt > расшифрованный_файл
 
----* Добавление чужого публичного ключа   [обсудить]
 
pgp2.6>pgp -ka <файл с ключом с удаленной машины>
pgp5.0>pgpk -a <файл с ключом с удаленной машины>
gnupg>gpg --import <файл куда будет записан ключ>
# Для pgupg необходимо заверить ключ:
gnupg>gpg --sign-key <имя ключа>
 
----* Экспортирование публичного ключа   [обсудить]
 
pgp2.6> pgp -akx <UserID> <файл куда будет записан ключ>
pgp5.0> pgpk -ax <UserID> <файл куда будет записан ключ>
gnupg> gpg --export -a <UserID> > <файл куда будет записан ключ>
 
----* Cоздание публичного и секретного ключей   [обсудить]
 
	pgp2.6> pgp -kg
	pgp5.0> pgpk -g
	gnupg> gpg --gen-key
 
----* Заметки по использованию GPG   [обсудить]
 
--verify source-name.asc
	Проверить по сигнатуре
--gen-key
	Сгенерировать новый PGP ключ (--quick-random - быстрая но не безопасная генерация)
--gen-revoke uid
	Сгенерировать сертификат на случай забытия пароля.
-s file
	Создать сигнатуру для файла (-sa - в .asc формате)
-e -r user file
	Зашифровать файл
-se -r encuser -u siguser
	Шифрование и подпись зашифрованного
--export
	Экспортировать публичные ключи
--import file
	Импортировать публичный ключ
--edit-key user
	Операции по редактированию keyring
--batch
	Автоматическая обработка, без интерактивных диалогов
 
----* Шифрование архива данных используя openssl   Автор: zeder  [комментарии]
 
Шифрование:

   dd if=./target.tgz | openssl des3 -salt -kfile ./key.file| dd of=./target.tgz.des3

Расшифровка:

   dd if=./target.tgz.des3 | openssl des3 -d -kfile ./key.file| dd of=./target.tgz
 

 Версия для печати




  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor