X.509 – świetlana przyszłość czy rychły upadek?

Slides:



Advertisements
Podobne prezentacje
Infrastruktura kluczy publicznych
Advertisements

SI CEPiK Przekazywanie danych o badaniach do
Systemy uwierzytelniania w serwisach internetowych
IDENTYFIKACJA UŻYTKOWNIKA W SIECI INTERNET
20041 Projektowanie dynamicznych witryn internetowych Paweł Górczyński ASP 3.0.
Usługi sieciowe Wykład 6 Apache2- debian
Nowy model komunikacji z emitentami
Prezentacja na temat: Porównanie Windows XP i Windows 7
Marcin Piotrowski. Najpopularniejszymi darmowymi przeglądarkami są Internet Explorer, Opera, Mozilla Firefox, Google Chrome.
CA w praktyce Warsztaty promocyjne dla użytkowników Usługi Powszechnej Archiwizacji Gracjan Jankowski, Maciej Brzeźniak, PCSS.
1 Import certyfikatów do Firefox Warsztaty promocyjne dla użytkowników usługi Gracjan Jankowski, Michał Jankowski, PCSS.
INTERNET jako „ocean informacji”
Konwersja klucza z formatu PEM (certyfikaty Gridowe) do PKCS12 Warsztaty promocyjne dla użytkowników usługi Michał Jankowski, PCSS.
ADAM Active Directory w trybie aplikacyjnym
SSL - założenia i realizacja Prezentacja na potrzeby projektu E-Bazar Grupa R&D.
PKI – standardy i praktyka
PODPIS ELEKTRONICZNY PODSTAWY WIEDZY I ZASTOSOWANIA
SSL - protokół bezpiecznych transmisji internetowych
Co robić z moim kluczem? gdzie i jak przechowywać? kilka sposobów zależnie od dostępu do komputera, nie ma jednej, najlepszej metody polecane sposoby postępowania,
PGP Instalacja Poradnik.
Znany tylko własny klucz; Pęk kluczy zawiera tylko jeden klucz Czy to nie wystarczy????? -wystarczy, aby skutecznie podpisać własne rzeczy -nie wystarczy,
PKI, OPIE Auth Mateusz Jasiak.
PKI (Public Key Infrastructure) Hasła jednorazowe (OPIE, OTP, S\Key)
Kryptografia – elementarz cześć I
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK Implementacja eduroam Tomasz Wolniewicz UCI UMK.
Warszawska Wyższa Szkoła Informatyki Warszawa 2007
Dążenie do odkrywania tajemnic tkwi głęboko w naturze człowieka, a nadzieja dotarcia tam, dokąd inni nie dotarli, pociąga umysły najmniej nawet skłonne.
Artur Spulnik, Aleksandra Otremba
Łukasz Trzciałkowski Bartłomiej Żuchowski Łukasz Pawłowski.
Usługi katalogowe LDAP.
System Użytkowników Wirtualnych
Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych Michał Jankowski Paweł Wolniewicz
Komputery w finansach Wykład I
Technika płatności w Internecie.
Galileo - Knowledge Testing Service e-MSoft Artur Majuch.
PKI – a bezpieczna poczta
eFaktura w DHL Express Poland
Rozwój aplikacji przy wykorzystaniu ASP.NET
Sieci oparte na architekturze Internetu
Czerwiec 2007 Koncepcja budowy platformy do wymiany informacji objętych tajemnicą służbową w oparciu o LotusNotes i produkty firmy MALKOM
Ministerstwo Finansów
QR-CERT Centrum Certyfikacji i Personalizacji
Zakładane cele : Jednolity kanał udostępniania elektronicznych usług publicznych przez administrację publiczną (ESP) Platforma współkorzystania z wypracowanych.
Zastosowania kryptografii
Prezentacja i szkolenie
Ogólnokrajowa karta miejska
Informatyka Relacyjne bazy danych.
Internetowe surfowanie
Chyba najczęściej używaną przeglądarką internetową jest INTERNET EXPLORER, bo jest ona domyślnie instalowana w wiodącym na rynku polskim oprogramowaniu.
Podpis elektroniczny Między teorią a praktyką
Jak dodać funkcjonalność płatności internetowej PayU do strony WWW
Narzędzia klienta usługi archiwizacji Warsztaty „Usługa powszechnej archiwizacji” Michał Białoskórski, CI TASK Bartłomiej Balcerek, WCSS.
Toruń 28/ Metadane SAML opisują, w jaki sposób ma być realizowana komunikacja pomiędzy IdP i SP Metadane są typowo prezentowane w postaci XML.
Podstawy funkcjonowania podpisu elektronicznego
Andrzej Majkowski 1 informatyka +. 2 Bezpieczeństwo protokołu HTTP Paweł Perekietka.
Aby do danych nie dostała się postronna osoba ( hacker ) stosuje się różne metody kryptograficzne.
INTERNET jako „ocean informacji”
Informatyka Zakres rozszerzony Zebrał i opracował : Maciej Belcarz TEMAT : Administracja i bezpieczeństwosieci TEMAT : Administracja i bezpieczeństwosieci.
WYŻSZA SZKOŁA INFORMATYKI I ZARZĄDZANIA z siedzibą w Rzeszowie WYDZIAŁ INFORMATYKI STOSOWANEJ VPN TYPU KLIENT-SERWER, KONFIGURACJA NA MICROSOFT ISA 2006.
Instalacja certyfikatu Dostęp do Rachunku przez Internet BS Pawłowice dla przeglądarki Mozilla Firefox.
UNIWERSYTET WARSZAWSKI Bankowość elektroniczna
Elementy przeglądarki internetowej Pasek menu Pasek kart Pasek adresowy Pasek wyszukiwania Okno z zawartością strony internetowej Zakładki (ulubione)
1 Lokalny System Informatyczny (LSI2014+) do obsługi Wielkopolskiego Regionalnego Programu Operacyjnego na lata
Podsłuchiwanie szyfrowanych połączeń – niezauważalny atak na sesje SSL Paweł Pokrywka, Ispara.pl.
SIECI KOMPUTEROWE WYKŁAD 8. BEZPIECZEŃSTWO SIECI
SIECI KOMPUTEROWE WYKŁAD 8. BEZPIECZEŃSTWO SIECI
Cyber Security Management
Sponsorzy: Media:. Sponsorzy: Media: MBUM 9/11/2017 Mikrotik Beer User Meeting Integracja uwierzytelniania tunelu L2TP/IPsec z Microsoft Active Directory.
KRYPTOGRAFIA KLUCZA PUBLICZNEGO WIKTOR BOGUSZ. KRYPTOGRAFIA KLUCZA PUBLICZNEGO Stosując metody kryptograficzne można zapewnić pełną poufność danych przechowywanych.
Samorządowa Elektroniczna Platforma Informacyjna (SEPI) Kompleksowe rozwiązanie służące do udostępniania informacji i usług publicznych.
Zapis prezentacji:

X.509 – świetlana przyszłość czy rychły upadek? Kierunki rozwoju infrastruktury klucza publicznego Radek Michalski radek@smartsystems.pl

Agenda Powtórka z rozrywki: kryptografia asymetryczna Jak czerpie z niej PKI? X.509 – niekwestionowany lider? Historia standardu Elementy składowe X.509 – nie ma róży bez kolców Problemy organizacyjne Problemy techniczne Kilka praktycznych przykładów Jeśli nie X.509, to …? PKI – co trzeba przemyśleć

Kryptografia asymetryczna Lata 70-te XX wieku, Nie jeden, a para kluczy, Trudna obliczeniowo zależność między nimi, Dystrybucja klucza nie jest już tak dużym problemem (ale ciągle jest), W porównaniu z szyfrowaniem symetrycznym – asymetryczne wolniejsze.

Kryptografia asymetryczna

Public Key Infrastructure (PKI) Zestaw sprzętu, oprogramowania, ludzi, procedur i zasad potrzebny do tworzenia, zarządzania, przechowywania oraz dystrybucji i unieważniania certyfikatów bazujących na kryptografii klucza publicznego. Postulaty PKI: poufność, integralność, uwierzytelnianie, niezaprzeczalność.

Trusted Third Party Przed komunikacją między Bogdanem a Stefano…

X.509 - wprowadzenie Powstaje jako rozszerzenie usług katalogowych LDAP X.500 (1988), Ścisła integracja z katalogiem, Możliwość własnego rozszerzania funkcjonalności (nowe pola, np. EV), Z założenia – model hierarchiczny z możliwością certyfikacji krzyżowej.

X.509 – elementy składowe Urząd certyfikacji (CA), Urząd rejestracyjny (RA) - opcja, Użytkownik końcowy (EE), Certyfikat = klucz publiczny EE wraz z dodatkowymi informacjami podpisany przez CA, Repozytorium certyfikatów, Listy odwołań (CRL).

Uzyskiwanie certyfikatu

X.509 – nagonkę czas zacząć! Czyim certyfikatem dysponuję? Jak skutecznie zidentyfikować podmiot certyfikatu w globalnej sieci? Do czego ten certyfikat służy? Którego certyfikatu powinienem teraz użyć? Czy mogę ufać temu CA? W jaki sposób otrzymaliście certyfikaty waszych głównych CA? Dlaczego właśnie je? Czy CA dobrze realizuje swoją politykę certyfikacji? A czy przypadkiem nie odwołano certyfikatu? Jeśli tak, to jak to mam sprawdzić?

X.509 w praktyce – phishing Magazyn certyfikatów głównych – słabo chroniony - można dodać własny certyfikat Root CA na zwykłym użytkowniku bez monitów (Windows XP, Vista). Zatem przygotowujemy: Certyfikat Root CA (np. z użyciem OpenSSL) Certyfikat serwera SSL podpisany przez CA (CN serwera może zawierać wildcards lub nie) Root CA cert -> magazyn użytkownika

Certyfikaty Root CA i podmiotu Root CA Podmiot (*.com)

X.509 w praktyce – phishing Tworzymy witrynę SSL z wygenerowanym certyfikatem,

X.509 w praktyce – phishing Tworzymy witrynę SSL z wygenerowanym certyfikatem, Nowy pomysł – Extended Validation Obsługa w IE7, kolejne przeglądarki wkrótce, Dokładniejsza weryfikacja podmiotu, Stwórz własny certyfikat EV, reszta j.w. Duże pieniądze czekają!

X.509 w praktyce - CRL IE 6 =  IE 7 =  Firefox =  Mozilla =  Opera =  Dlaczego? Verisign CRL - 880kB A co z OCSP?

X.509 w praktyce – kolizje Atak dnia urodzin przeniesiony do X.509: Marzec 2005 – ten sam podpis CA dla podobnych wizualnie pól w certyfikacie, Maj 2007 - ten sam podpis CA dla różnych podmiotów. Ograniczenia: CA może wprowadzać losowe bity przed podpisaniem. Musimy doprowadzić do podpisania przez zaufane CA jednego z pary certyfikatów aby poznać ten podpis.

X.509 – inne problemy Różne sposoby dostępu do repozytoriów: HTTP, LDAP, FTP (problem w przypadku certyfikacji krzyżowej), Przynajmniej jeden certyfikat Root CA powinien zostać przekazany out-of-band, W niektórych implementacjach X.509 nie sprawdza się zastosowania klucza.

Inne modele PKI Web of trust: PGP SPKI Każdy może zostać TPP, Podmiot identyfikujemy po e-mailu. Proste nabijanie licznika zaufania, SPKI Identyfikator – klucz publiczny, Podmiot sami określamy – jest on wtedy jednoznaczny dla nas.

PKI - wyzwania Do jakich transakcji użyto mojego klucza prywatnego? Podobnie jak rejestr transakcji karty kredytowej, Kto ma go przygotować? Niekoniecznie chcemy się nimi chwalić, Problem ograniczenia kwoty transakcji dla danego klucza, Biometria jako sposób dostępu do klucza prywatnego.

Pytania? RFC2595 - Using TLS with IMAP, POP3 and ACAP http://rfc.net/rfc2595.html Colliding X.509 Certificates for Different Identities http://www.win.tue.nl/hashclash/TargetCollidingCertificates/ Faking Extended Validation SSL Certificates in IE 7 http://www.keyon.ch/de/News/Faking%20Extended%20Validation%20SSL%20Certificates%20in%20Internet%20Explorer%207%20V1.1b.pdf Installing Fake Root Keys in a PC www.isg.rhul.ac.uk/~cjm/ifrkia2.pdf Ten risks of PKI – Schneier, Ellison http://www.schneier.com/paper-pki.html