Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

X.509 – świetlana przyszłość czy rychły upadek?

OpublikowałBratomił Ptok Został zmieniony 10 lat temu

Podobne prezentacje

Prezentacja na temat: "X.509 – świetlana przyszłość czy rychły upadek?"— Zapis prezentacji:

1 X.509 – świetlana przyszłość czy rychły upadek?
Kierunki rozwoju infrastruktury klucza publicznego Radek Michalski

2 Agenda Powtórka z rozrywki: kryptografia asymetryczna
Jak czerpie z niej PKI? X.509 – niekwestionowany lider? Historia standardu Elementy składowe X.509 – nie ma róży bez kolców Problemy organizacyjne Problemy techniczne Kilka praktycznych przykładów Jeśli nie X.509, to …? PKI – co trzeba przemyśleć

3 Kryptografia asymetryczna
Lata 70-te XX wieku, Nie jeden, a para kluczy, Trudna obliczeniowo zależność między nimi, Dystrybucja klucza nie jest już tak dużym problemem (ale ciągle jest), W porównaniu z szyfrowaniem symetrycznym – asymetryczne wolniejsze.

4 Kryptografia asymetryczna

5 Public Key Infrastructure (PKI)
Zestaw sprzętu, oprogramowania, ludzi, procedur i zasad potrzebny do tworzenia, zarządzania, przechowywania oraz dystrybucji i unieważniania certyfikatów bazujących na kryptografii klucza publicznego. Postulaty PKI: poufność, integralność, uwierzytelnianie, niezaprzeczalność.

6 Trusted Third Party Przed komunikacją między Bogdanem a Stefano…

7 X wprowadzenie Powstaje jako rozszerzenie usług katalogowych LDAP X.500 (1988), Ścisła integracja z katalogiem, Możliwość własnego rozszerzania funkcjonalności (nowe pola, np. EV), Z założenia – model hierarchiczny z możliwością certyfikacji krzyżowej.

8 X.509 – elementy składowe Urząd certyfikacji (CA),
Urząd rejestracyjny (RA) - opcja, Użytkownik końcowy (EE), Certyfikat = klucz publiczny EE wraz z dodatkowymi informacjami podpisany przez CA, Repozytorium certyfikatów, Listy odwołań (CRL).

9 Uzyskiwanie certyfikatu

10 X.509 – nagonkę czas zacząć! Czyim certyfikatem dysponuję?
Jak skutecznie zidentyfikować podmiot certyfikatu w globalnej sieci? Do czego ten certyfikat służy? Którego certyfikatu powinienem teraz użyć? Czy mogę ufać temu CA? W jaki sposób otrzymaliście certyfikaty waszych głównych CA? Dlaczego właśnie je? Czy CA dobrze realizuje swoją politykę certyfikacji? A czy przypadkiem nie odwołano certyfikatu? Jeśli tak, to jak to mam sprawdzić?

11 X.509 w praktyce – phishing Magazyn certyfikatów głównych – słabo chroniony - można dodać własny certyfikat Root CA na zwykłym użytkowniku bez monitów (Windows XP, Vista). Zatem przygotowujemy: Certyfikat Root CA (np. z użyciem OpenSSL) Certyfikat serwera SSL podpisany przez CA (CN serwera może zawierać wildcards lub nie) Root CA cert -> magazyn użytkownika

12 Certyfikaty Root CA i podmiotu
Root CA Podmiot (*.com)

13 X.509 w praktyce – phishing Tworzymy witrynę SSL z wygenerowanym certyfikatem,

14 X.509 w praktyce – phishing Tworzymy witrynę SSL z wygenerowanym certyfikatem, Nowy pomysł – Extended Validation Obsługa w IE7, kolejne przeglądarki wkrótce, Dokładniejsza weryfikacja podmiotu, Stwórz własny certyfikat EV, reszta j.w. Duże pieniądze czekają!

15 X.509 w praktyce - CRL IE 6 =  IE 7 =  Firefox =  Mozilla = 
Opera =  Dlaczego? Verisign CRL - 880kB A co z OCSP?

16 X.509 w praktyce – kolizje Atak dnia urodzin przeniesiony do X.509:
Marzec 2005 – ten sam podpis CA dla podobnych wizualnie pól w certyfikacie, Maj ten sam podpis CA dla różnych podmiotów. Ograniczenia: CA może wprowadzać losowe bity przed podpisaniem. Musimy doprowadzić do podpisania przez zaufane CA jednego z pary certyfikatów aby poznać ten podpis.

17 X.509 – inne problemy Różne sposoby dostępu do repozytoriów: HTTP, LDAP, FTP (problem w przypadku certyfikacji krzyżowej), Przynajmniej jeden certyfikat Root CA powinien zostać przekazany out-of-band, W niektórych implementacjach X.509 nie sprawdza się zastosowania klucza.

18 Inne modele PKI Web of trust: PGP SPKI Każdy może zostać TPP,
Podmiot identyfikujemy po u. Proste nabijanie licznika zaufania, SPKI Identyfikator – klucz publiczny, Podmiot sami określamy – jest on wtedy jednoznaczny dla nas.

19 PKI - wyzwania Do jakich transakcji użyto mojego klucza prywatnego?
Podobnie jak rejestr transakcji karty kredytowej, Kto ma go przygotować? Niekoniecznie chcemy się nimi chwalić, Problem ograniczenia kwoty transakcji dla danego klucza, Biometria jako sposób dostępu do klucza prywatnego.

20 Pytania? RFC Using TLS with IMAP, POP3 and ACAP Colliding X.509 Certificates for Different Identities Faking Extended Validation SSL Certificates in IE 7 Installing Fake Root Keys in a PC Ten risks of PKI – Schneier, Ellison

Pobierz ppt "X.509 – świetlana przyszłość czy rychły upadek?"

Podobne prezentacje

Infrastruktura kluczy publicznych

Infrastruktura kluczy publicznych
SI CEPiK Przekazywanie danych o badaniach do

SI CEPiK Przekazywanie danych o badaniach do
Systemy uwierzytelniania w serwisach internetowych

Systemy uwierzytelniania w serwisach internetowych
IDENTYFIKACJA UŻYTKOWNIKA W SIECI INTERNET

IDENTYFIKACJA UŻYTKOWNIKA W SIECI INTERNET
20041 Projektowanie dynamicznych witryn internetowych Paweł Górczyński ASP 3.0.

20041 Projektowanie dynamicznych witryn internetowych Paweł Górczyński ASP 3.0.
Usługi sieciowe Wykład 6 Apache2- debian

Usługi sieciowe Wykład 6 Apache2- debian
Nowy model komunikacji z emitentami

Nowy model komunikacji z emitentami
Prezentacja na temat: Porównanie Windows XP i Windows 7

Prezentacja na temat: Porównanie Windows XP i Windows 7
Marcin Piotrowski. Najpopularniejszymi darmowymi przeglądarkami są Internet Explorer, Opera, Mozilla Firefox, Google Chrome.

Marcin Piotrowski. Najpopularniejszymi darmowymi przeglądarkami są Internet Explorer, Opera, Mozilla Firefox, Google Chrome.
CA w praktyce Warsztaty promocyjne dla użytkowników Usługi Powszechnej Archiwizacji Gracjan Jankowski, Maciej Brzeźniak, PCSS.

CA w praktyce Warsztaty promocyjne dla użytkowników Usługi Powszechnej Archiwizacji Gracjan Jankowski, Maciej Brzeźniak, PCSS.
1 Import certyfikatów do Firefox Warsztaty promocyjne dla użytkowników usługi Gracjan Jankowski, Michał Jankowski, PCSS.

1 Import certyfikatów do Firefox Warsztaty promocyjne dla użytkowników usługi Gracjan Jankowski, Michał Jankowski, PCSS.
INTERNET jako „ocean informacji”

INTERNET jako „ocean informacji”
Konwersja klucza z formatu PEM (certyfikaty Gridowe) do PKCS12 Warsztaty promocyjne dla użytkowników usługi Michał Jankowski, PCSS.

Konwersja klucza z formatu PEM (certyfikaty Gridowe) do PKCS12 Warsztaty promocyjne dla użytkowników usługi Michał Jankowski, PCSS.
ADAM Active Directory w trybie aplikacyjnym

ADAM Active Directory w trybie aplikacyjnym
SSL - założenia i realizacja Prezentacja na potrzeby projektu E-Bazar Grupa R&D.

SSL - założenia i realizacja Prezentacja na potrzeby projektu E-Bazar Grupa R&D.
PKI – standardy i praktyka

PKI – standardy i praktyka
PODPIS ELEKTRONICZNY PODSTAWY WIEDZY I ZASTOSOWANIA

PODPIS ELEKTRONICZNY PODSTAWY WIEDZY I ZASTOSOWANIA
SSL - protokół bezpiecznych transmisji internetowych

SSL - protokół bezpiecznych transmisji internetowych
Co robić z moim kluczem? gdzie i jak przechowywać? kilka sposobów zależnie od dostępu do komputera, nie ma jednej, najlepszej metody polecane sposoby postępowania,

Co robić z moim kluczem? gdzie i jak przechowywać? kilka sposobów zależnie od dostępu do komputera, nie ma jednej, najlepszej metody polecane sposoby postępowania,
PGP Instalacja Poradnik.

PGP Instalacja Poradnik.

Podobne prezentacje

Reklamy Google