id: Гость   вход   регистрация
текущее время 12:54 19/03/2024
создать
просмотр
ссылки

Распределённый "DNS" на доверии и хешах


Показался небезынтересным материал (рассуждения) http://habrahabr.ru/blogs/domains/104715/


В-общем известные вещи, взгляд под чуть(?) другим углом.


Интересны мнения, замечания и т.д. уважаемого pgpru-сообщества ;)


UPD1: Замечание: речь не идет об анонимности как таковой. Скорее, а распределенности, устойчивости, защищенности от цензуры и т.д.


UPD2, ссылки к теме (все на pgpru):



 
На страницу: 1, 2 След.
Комментарии
— SATtva (15/06/2012 09:41)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Я о том, что контроль подписей/ключей в DNSSEC — это столь же нестандартное решение, сколь и certificate pinning (с точки зрения SSL). Как certificate pinning возник в качестве ответной меры на недостатки PKI, так и для контроля ключей DNSSEC что-нибудь аналогичное непременно появится.
— Гость (15/06/2012 14:18)   <#>
Спасибо, теперь понятно.
— Гость (18/06/2012 00:15)   <#>
certificate pinning возник в качестве ответной меры на недостатки PKI

Попытался погуглить на тему. Судя по всему, certificate pinning — просто add exception с точки зрения интерфейса firefox'а. Чтобы полноценно им пользоваться для pgpru.com, надо удалить все CA из браузера. Если же не идти на такие крайние меры (специальный браузер для какого-то сайта), браузер не будет ругаться, если запиненый сертификат вдруг из-за MITM заменится на подписанный валидным CA. Аддон CP теоретически за этим следит, но de facto он неюзабелен. Есть ли выход?
— Гость (18/06/2012 01:07)   <#>
А у CP нет режима следить только за указанными доменами или возможности добавлять исключения для «флудящих» доменов типо гугля? Если нет, то можно попросить автора добавить функционал.
— Гость (18/06/2012 02:01)   <#>
Исключения поддерживаются (но их указывается слишком много, так что не вариант). Чтоб только за указанными — нет. Попросить можно, да. Я предпочёл бы, чтоб для "только указанных" был вообще отдельный аддон или хотя бы другие всплывающие окна, а то, что есть в CP пусть так и сидит. При заходе на сайты типа youtube CP выдаёт штук 10 окон, т.к. там подгрузка идёт с кучи доменов и т.д., из-за этого можно просмотреть смену сертификата на релевантный сайт.
— SATtva (18/06/2012 07:38)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Если же не идти на такие крайние меры (специальный браузер для какого-то сайта), браузер не будет ругаться, если запиненый сертификат вдруг из-за MITM заменится на подписанный валидным CA.

Потому что то, что Вы описываете, не есть certificate pinning. Реальный cert pinning реализован в Firefox для update-сервера, например: в коде жёстко прописан его отпечаток, т.е. никакой иной сертификат не может быть принят в принципе. Такая же история с гугловскими сертификатами в Chrome.
— Гость (18/06/2012 17:11)   <#>
Потому что то, что Вы описываете, не есть certificate pinning.

Тогда объясните как мне его реализовать для конкретного сайта — скажем, для pgpru.com. Ну или ткните в инструкцию, а то гугление для случая firefox мне ничего не дало.
— SATtva (18/06/2012 17:17)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Надёжно — никак (исключая удаление всех УЦ из хранилища). Пользователю этот функционал не открыт, используется разработчиками для некоторых специальных целей, когда они не считают PKI достаточно безопасным механизмом (видимо, думают, что у обычного пользователя таких сценариев быть не может).
— Гость (11/03/2015 20:00)   <#>

На горизонте замаячил свет: HTTP Public Key Pinning (задает список валидных открытых ключей). Если его сопрячь с HSTS (HTTP Strict Transport Security, который говорит о том, что сайт работает только по HTTPS), то получается совсем хорошо. В firefox фичу добавили 20-го января этого года, поэтому в TBB ещё нету (в TBB 4.0.4 сейчас firefox 31.5.0esr, а нужен минимум 35). Кстати, HTTP STS на сайте Tor'а уже поддерживается.

Технология HTTP PKP имеет все шансы убить PKI — привязка сертификата идёт к первому заходу на сайт, потом все остальные сертификаты должны быть подписаны предыдущими (там всегда их минимум два: основной и запасной на случай фейла основного). Плохо только, что браузер пока не показывает никаких идентификаторов, поддерживает ли сайт PKP, поэтому приходится разбирать заголовки вручную (может быть, со временем сделают). Preload list сертификатов (то, что понималось ранее под certificate pinning), возможно, тоже можно редактировать вручную. PKP для всех браузеров (кроме IE, конечно же) есть в виде расширений.

Ссылка на стандарт.
— Гость (11/03/2015 22:01)   <#>
Настройки HTTP PKP и HTTP STS задаются в файле SiteSecurityServiceState.txt. Его можно бэкапить, чтобы переносить между разными пользователями, или просто редактировать вручную. Пример содержимого:



Как получить base64-строку для заголовка Public-Key_pins:



— это заголовок на основе приватного ключа, а на основе сертификата несколько иначе:



Вариант на основе приватного ключа универсальнее, т.к. сертификата может еще не быть (сертификат всегда можно получить позже, привязка идет только к публичному ключу).

report-uri — это скрипт, куда браузер будет отправлять отчеты об ошибках.

Юзерам ничего добавлять руками не надо, в этом смысл PKP. Всё работает само, абсолютно без участия (но отпечатки первый раз надо будет сверить, чтобы избежать MITMа).
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3