Получение сертификата x.509 и личная безопасность
Возможно ли получить сертификат x.509, самостоятельно создав пару ключей, а центру сертификации предоставив только открытый ключ?
На публичных серверах сертификатов, например http://www.trustcenter.de, предлагает создать сразу пару ключей. Мне кажется это как-то не очень конфиденциально и приватно, ведь они могут у себя оставить копию закрытого ключа, и теоретически, потом силовые органы могут потребовать его у этого
центра сертификации...
К великому сожалению.
комментариев: 73 документов: 1 редакций: 0
С этим я полностью согласен, но нинкто ничего не перепутал.
А вот это — неверно. Финансирование дорогостоящих, заведомо провальных программ за счет разорения гос. казны — не в интересах государства, но очень часто в интересах его представителей. Такая практика может кончится даже крахом государства (см. бСССР). Об интересах страны и их соответствии интересам государства в данном случае речь не идет.
Учреждение государственного УЦ приведет к возрастающим затратам на защиту закрытого ключа корневого сертификата. При том, что эту гонку вооружений можно только проиграть. Это — ни коем образом не в интересах государства. Зато те, кто предоставляют услуги по защите ключей, очень здорово на этом будут зарабатывать, и платить нужные откаты. Те, кто принимают решение за государство — богатеют, а государство беднеет.
Стране это тоже нинчего хорошего не принесет, но это уже другой вопрос и это не политический форум.
комментариев: 225 документов: 8 редакций: 2
Ничего не понимаю...
Просто пишется, что мой ключ не найден: Key not found: "0x500B8987"
И как я могу проверить цепочку доверия, если я ни одного ключа не подписал?
комментариев: 510 документов: 110 редакций: 75
Вы подписать по идее должны уже после того как провели проверку. В конечном счете можете подписать ключ известного человека, который прочно заверен, или проверить сеть доверия от ключа этого человека. Там ведь написано (обычно Вашего), но не (Обязательно Вашего). Но если Ваша переписка стоит $ миллион, то лучше пожалуй ключами обменяться лично (мое мнение), и фактор здесь даже не только тот – доверять сети доверия или нет.
комментариев: 9796 документов: 488 редакций: 5664
Традиции бСССР продолжаются. Только пока не в области государственной цифровой сертификации. Так, немного помельче.
Вот мне кажется образец случая, о котором говорит Д. Надь.
В порядке оффтопика и не для обсуждения в этой ветке можете посмотреть ссылки на скандальные попытки введения криптозащиты в кассовых аппаратах. Много шума наделали в начале года. Приходите вы в магазин, платите деньги в кассу и не подозреваете, что там ГОСТ внутри!
http://vologda.allbusiness.ru/.....sAMShow.asp? ID=19793
http://www.business-magazine.ru/news/different/176644/
http://www.usinsk.info/printarticle1838.html
http://region.adm.nov.ru:8080/.....w? AWhat=2&Aid=423973
http://smi.kuban.info/article/9292/1002/
http://www.rosalcohol.ru/site......4&table=bmV3c192aW5v
комментариев: 11558 документов: 1036 редакций: 4118
Вы ставите вопрос слишком обще. (Например, непонятно, какова ценность Ваших писем, от кого Вы их желаете защитить, даже каким пользуетесь браузером, какой веб-почтой и как открываете её страницу — всё это существенно, как и многое другое.) С уверенностью отвечу так: взлом SSL-защищённого трафика представляется наименее вероятным вектором атаки. Значительно проще скорее всего внедрить в Вашу систему трояна или, скажем, организовать pharming-атаку, изменив DNS-запись почтового сервера и перенаправив Вас на подставной.
Из всей этой "лабуды" для Вас действительно важны две вещи:
1. Кому выдан сертификат. Это поле Issued To:Common Name, и в нём должен быть указан точный URL (то бишь адрес) Вашего почтового сайта. Если браузер предупреждает, что это поле не соответствует адресу сайта, это первый повод для беспокойства. (В действительности, это совсем не обязательно означает факт проведения атаки. Но если администрация сайта не способна грамотно настроить SSL, доверять такому сайту не стоит — наверняка там полно других дыр.)
2. Кем выдан сертификат. Поле Issued By:Common Name. Что-либо здесь проверять не нужно, но если браузер сообщает, что сертификат выдан удостоверяющим центром, не входящим в список доверенных, и Вы не способны установить подлинность сертификата УЦ, это тоже повод для подозрений. Впрочем, здесь всё зависит от Вашего уровня экспертизы и ценности писем.
комментариев: 510 документов: 110 редакций: 75
Некоторые сертификаты сайтов, например сертификат webmoney Transfer, содержит несколько записей сертификата. При этом в их свойствах указаны разные организации. То же самое касается сертификатов УЦ, правда организация там всегда одна, но разные отпечатки у разных записей. Это означает, что один и тот же сертификат подписан несколько раз разными ключами?
И попутно еще один вопрос. Скажите, чем принципиально (технически) отличается VPN соединение от обычного SSL соединения. Можно ли рассматривать VPN соединение как частный случай SSL, применяемый между провайдером и клиентом (или между двумя клиентами)?
комментариев: 143 документов: 19 редакций: 0
http://www.thawte.adgrafics.net/ssl_ru.pdf (283 КБ) (на русском)
Там схема и основные принципы.
Если чужими словами, то:
По VPN хорошо изложено на (со схемой):
http://www.nestor.minsk.by/sr/2005/03/050315.html
Сам путаюсь! :D
комментариев: 510 документов: 110 редакций: 75
Для возможности работы в системе WM из под Linux я зарегистрировался в системе способом light. В связи с этим возникло несколько вопросов.
После регистрации я стал обладателем сертификата x.509, который после резервного копирования из Firefox представлен у меня в виде файла *.p12, а после резервного копирования из IE я получил файл формата *.pfx (на всякий случай сделал и такую операцию).
1. Чем отличаются эти файлы (сертификат то один)?
2. Насколько безопасно хранилище сертификатов Software Security Device, где оказался мой сертификат (Firefox), и насколько безопасно хранилище сертификатов IE (отсек личных сертификатов).
Теперь главный вопрос.
Зашифрован ли секретный ключ сертификата паролем? Или же пароль вводится только для доступа к хранилищу сертификатов, в то время как сам закрытый ключ существует в незашифрованном виде? Дело в том, что при работе в Firefox я сразу получал доступ к кошельку, без ввода пароля, пока не настроил хранилище на работу через пароль.
комментариев: 11558 документов: 1036 редакций: 4118
2. Хралище IE — это системное приложение, привилегии определяются и исполняются на уровне ОС, так что если Вы доверяете системе, можете доверять и ему. В Firefox хранилище может быть опционально зашифровано мастер-паролем. Причём расшифрование может происходить как на весь сеанс работы, так и одномоментно только для использования сертификата. В идеале, конечно, стоит разместить сертификат на смарт-карте: и Windows, и Firefox это позволяют.
Как я уже отметил, и в системной хранилище Windows (IE), и в Firefox, контроль доступа осуществляется только на уровне хранилища (более дробно — на уровне отсеков в IE), но не на уровне индивидуальных элементов — паролей, там, сертификатов. Просто в Firefox можно зашифровать хранилище целиком. А в системное хранилище ОС и так зашифровано, но схема шифрования весьма запутанна и для меня мало понятна.
комментариев: 510 документов: 110 редакций: 75
В целом как я понимаю суть та же, что и в OpenPGP, где я подписываю открытый ключ, т.е. издаю сертификат подписи и прикрепляю его к открытому ключу пользователя, которым заверяю его открытый ключ. Каким образом данная подпись распространяется на закрытый ключ той пары, открытый ключ которой подписан? Для этого созданы перекрестные подписи? Есть ли они в сертификатах x.509? Или считается, что если открытый ключ подписан, то сертификат подписи автоматически распространяется и на закрытый ключ?
комментариев: 510 документов: 110 редакций: 75