id: Гость   вход   регистрация
текущее время 07:57 29/03/2024
Автор темы: Гость, тема открыта 13/06/2004 15:11 Печать
http://www.pgpru.com/Форум/ПрактическаяБезопасность/ПолучениеСертификатаX509ИЛичнаяБезопасность
создать
просмотр
ссылки

Получение сертификата x.509 и личная безопасность


Возможно ли получить сертификат x.509, самостоятельно создав пару ключей, а центру сертификации предоставив только открытый ключ?
На публичных серверах сертификатов, например http://www.trustcenter.de, предлагает создать сразу пару ключей. Мне кажется это как-то не очень конфиденциально и приватно, ведь они могут у себя оставить копию закрытого ключа, и теоретически, потом силовые органы могут потребовать его у этого
центра сертификации...


 
На страницу: 1, 2, 3, 4, 5, 6 След.
Комментарии
— SATtva (13/06/2004 17:29)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Всё не так. Когда Вы проходите процедуру зачисления в PKI удостоверяющего центра, Ваш браузер (т.е. MS Crypto API) генерирует пару ключей, формирует пакет запроса, куда включаются все записи создаваемого сертификата — Ваше имя, мэйл и прочее — подписывает запрос закрытым ключом и вместе с открытым отправляет его в центр сертификации. Тот проводит проверку достоверности представленных данных и, если всё в порядке, издаёт сертификат в формате Х.509, заверяет его собственным закрытым ключом и передаёт сертификат Вам. Закрытый ключ не покидает системное хранилище сертификатов Windows Вашего компьютера.
— Гость (13/06/2004 19:49)   <#>
Спасибо!
— Гость (20/12/2004 12:19)   <#>
Получается, что всем, даже бесплатным центрам сертификации, выдающим сертификат X.509, можно доверять безоговорочно?
— SATtva (20/12/2004 13:58)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Формат Х.509 — неплохой формат, но он подходит только для узких и, как сегодня модно говорить, вертикально интегрированных организаций. X.509 PKI — хорошая модель для корпоративной среды, но не для публичной электронной почты.

Мэтт Блейз как-то сказал, что удостоверяющий центр из мира X.509 защитит вас от всех, от кого он не захочет брать денег. В общем это справедливое наблюдение, ведь крупные УЦ — это, прежде всего, коммерческие организации, где издание сертификатов — основной вид бизнеса.

Достоверность сертификата X.509 обеспечивает всего одна подтверждающая подпись — подпись самого УЦ. Здесь нет аккумуляции доверия, как PGP Web of Trust. Такая система может быть легко скомпрометирована: прямой взлом, подкуп, угроза могут заставить УЦ заверить поддельный сертификат, и Ваша программа его с аппетитом слопает (если Вы доверяете самому УЦ), потому что доверие наследуется только от одного издателя.

Что касается бесплатных сертификатов (и вообще сертификатов Class 1), с ними дело обстоит ещё хуже. Для выдачи коммерческих сертификатов (Class 2 и выше) применяются довольно сложные и весьма надёжные процедуры проверки личности пользователя, вплоть до того, что он должен лично прибыть в офис УЦ, предъявить минимум два различных удостоверения личности с фотографией, доказать, что имеет доступ к своему почтовому ящику, документально подтвердить все прочие сведения, входящие в сертификат, и только тогда УЦ заверит сертификат своей подписью. Хотя это не исключает возможность сговора злоумышленника и УЦ, однако делает почти невозможным несанкционированние получение злоумышленником сертификата на чужое имя.

Но процедура проверки личности для получения сертификатов Class 1 слишком проста — в большинстве случаев она вообще отсутствует. Пользователь через интернет запрашивает УЦ подписать сертификат с представленным именем и email. Имя удостоверяющий центр вообще не волнует; на email он высылает простой запрос, который пользователь должен подтвердить, пройдя по определённой ссылке. Вот и всё. Ничто не мешает злоумышленнику послать такой же запрос, перехватить письмо, отправленное УЦ в ящик пользователя, и самостоятельно выполнить подтверждение; в будущем останется только перехватывать направляемые пользователю письма.

В действительности, новый сервис PGPCorp — PGP Global Directory выполняет ровно ту же работу, но с ключами PGP. Однако, это лишь справочник, не претендующий на роль УЦ.
— Гость (23/12/2004 08:32)   <#>
Можно ли самостоятельно издать сертификат с помощью какой-либо программы, для использования в рамках предприятия и в целях создания внутреннего электронного документооборота, где системный администратор сети являлся бы «центром сертификации»?
— Гость (23/12/2004 08:35)   <#>
Я имею в виду сертификат X.509, с которым работает Outlook.
— unknown (23/12/2004 08:46)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
В OpenSSL можно. Так обычно и делают. С чем конкретно работает Outlook не знаю.
— SATtva (23/12/2004 11:00)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ещё есть open source пакет X CA специально для развёртывания комплексных PKI X.509. На sg.net поищите.
— Гость (26/12/2004 11:58)   <#>
Интересен вопрос статистики. Ести ли данные о том, какой криптосистеме люди в большинстве отдают препочтение? PGP, встроенным средствам Windows (при получении сертификатов) или есть еще какие-либо популярные системы. Я имею в виду не корпоративные сети, а обычных пользователей интернет.
— SATtva (26/12/2004 14:23)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Статистики не знаю (и вряд ли такая есть), но навярняка не ошибусь, если предположу, что большинство не пользуются ничем.
— unknown (26/12/2004 15:58)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Статистики не знаю (и вряд ли такая есть),

Да и не нужна она вообще в данном случае. Как "средняя температура больного по госпиталю".

о том, какой криптосистеме люди в большинстве отдают препочтение?

А какие люди? "Простые пользователи"? А если простой пользователь работает с "не-WIndows" – OC? Он уже "непростым" что-ли становится? А если он разработчик ПО (допустим бесплатного), имеющий свой сервер (а не только сайт) в Интернете? Где грань между разными группами пользователей и их интересами?

У всех свои требования. Как их усреднить-то?
— Гость (28/12/2004 08:22)   <#>
Здравствуйте!
1. Со страницы http://parom.org/scripts/SSLclient.html я получил сертификат в виде файла client.pfx, файл мне прислали на почтовый ящик. Насколько я понял в данном случае произошла не генерация ключей на моем компьютере, а именно сам сервис прислал мне этот сертификат. После создания сертификата я на экране монитора получил страницу, с паролем к сертификату, а так же какой-то код, о назначении которого я не знаю. Скажите что это за код может быть и действительно ли в данном случае генерация закрытого ключа произошла не на моей машине?.
2. Я проинсталлировал этот сертификат и добавил его в хранилище сертификатов ОС. Но воспользоваться им не могу. С списке сертификатов Outlook Express (сервис – параметры – вкладка безопасность – сертификаты) сертификат появился. По кнопке «просмотр» установлены все политики применения, в том числе защищенная почта. Однако в том списке сертификатов, в котором производится выбор сертификатов для использования (сервис – учетные записи – свойства учетной записи – вкладка безопасность – выбрать) список пуст.
3. Как войти в хранилище сертификатов Windows?
Заранее спасибо, с уважением.
— Гость (28/12/2004 12:15)   <#>
По одному вопросу № 2 разобрался самостоятельно. Дело оказалось в том, что сертификат ассоциируется с e-mail, а у меня учетная запись хоть и связана с моим e-mail, но в корпоративной сети обозначена по другому. Проблема в том, как увязать внутреннюю учетную запись с сертификатом, что бы сертификат заработал.
— SATtva (28/12/2004 12:26)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Насколько я понял в данном случае произошла не генерация ключей на моем компьютере, а именно сам сервис прислал мне этот сертификат.

И сертификат, и открытый ключ, и закрытый. В отличие от того, как это делается правильно (см. начало топика). По правде говоря, некоторые УЦ генерируют коммерческие сертификаты высоких классов самостоятельно и передают их клиенту при личном визите. Но в данном случае эта практика ещё ненадёжней, чем даже использование паролей, сгенерированных онлайн, в критических приложениях.

Хотя этот сертификат и можно запросить через ssl-защищённое соединение, всё равно
а) ключевая пара генерируется сервером (возможность депонирования)
б) сертификат высылается в письме с паролем, указанным открытым текстом!
Стоит перехватить это письмо, и вся будущая переписка будет скомпрометирована. Т.е. этот сервис проваливает весь смысл S/MIME ещё в самом начале.

В итоге вся эта защита абсолютно иллюзорна. Поставщик не входит в число напрямую доверенных браузером, так что использование подобного сертификата не несёт и малейших удобств хотя бы от наследования доверия идентификации. С тем же успехом можете поставить себе помянутый X CA и выпустить самоподписанный сертификат, но так Вы хотя бы будете уверенны, что копии закрытого ключа ни у кого не осталось. Да и сам ключ сможете сделать хоть на 4096 бит. :)

После создания сертификата я на экране монитора получил страницу, с паролем к сертификату, а так же какой-то код, о назначении которого я не знаю.

Проверил. Пароля там не увидел — он письмом пришёл, а этот код — просто технические параметры сертификата плюс модуль RSA и цифровая подпись. Просто для красоты, никакого практического смысла эта писанина не несёт.

Я проинсталлировал этот сертификат и добавил его в хранилище сертификатов ОС. Но воспользоваться им не могу.

Импортировали его в хранилище личных сертификатов? Откройте Пуск > Настройка > Панель управления > Свойства обозревателя > Содержание > Сертификаты. Если во вкладке Личные Вашего сертификата нет, импортируйте его повторно, отметив в мастере импорта "Поместить все сертификаты в следующее хранилище", выбрав по кнопке Обзор "Личное".

Ещё одна возможная причина — у Вас может отставать системный таймер. В этом случае сертификат ещё как бы не вступил в действие. Проверьте, правильно ли установлено время и дата.
— Гость (28/12/2004 12:35)   <#>
Спасибо. Во всем разобрался. Нашел более надежный источник получения сертификата. filehttps://www.thawte.com/cgi/enroll/personal/step1.exe
На страницу: 1, 2, 3, 4, 5, 6 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3