On 2016-04-01 14:27, Piotr Gałka wrote:
> Nie chodziło mi o błąd w kluczu, tylko celowo podłożony klucz Mana in
> the Middle.

Bez certyfikatów, fingerprintów etc taka metoda zadziała jesli MitM
bedzie faktycznie po srodku komunikacji a klucze będą negocjowane w
trakcie ataku. Jesli nie będą (np. dostaniesz klucz pocztą slimakową) to
MinM niewiele można zrobić.

do góry

W dniu 2016-03-30 o 23:24, witek pisze:

>> http://www.infoworld.com/article/3008422/security/wh
at-you-need-to-know-about-dells-root-certificate-sec
urity-debacle.html
>
> po to so listy CRL

Jak poczytasz trochę więcej o tej historii to się przekonasz,
że nie było to aż tak proste i szybkie jak sugerujesz.


> bez wiedzy się nie da.
> CO najwyzej bez świadomości co użytkownik klika.

Pisałem o wykorzystaniu podatności, użyciu malware,
a nie o nakłanianiu użytkownika do klikania.

do góry

Użytkownik "witek" <w...@g...pl> napisał w wiadomości
news:ndgih1$nv2$1@dont-email.me...

>> Otoz to. Albo zarejestrowac mbank.net, mbank.org, mbank.com -
>
> a to juz sie rzuca bardziej w oczy chociaz, kto patrzy na jaką stronę
> wlazł.

tych chyba nie pomylą
mbank.com.ua
mbank.com
www.mbank.de

>>> Przecież nikt nie sprawdza czy zielona kłodka na pewno należy do
>>> instytucji, na której stronę chcieliśmy wejść.
>>> Każdy wierzy przeglądarce. Skoro ta nie protestuje to znaczy, że jest
>>> dobrze.

Bywało, że zapisywałem niektóre dane z certyfikatu i potem porównywałem.
Nie powinny się chyba zmienić przed datą not valid after.
To po próbach zalogowania się do GOL z loginem i hasłem z openonline
(albo odwrotnie) i blokadą (czyjegoś?) konta. Ale to już inna historia.

Arek

do góry

Użytkownik "Marek" <f...@f...com> napisał w wiadomości
news:almarsoft.8343496911835121259@news.neostrada.pl
...
> On Tue, 29 Mar 2016 17:46:53 +0200, Piotr
> Jak weryfikowany jest certyfikat (ścieżka) już ktoś odpisał. Warto dodać,
> że kryptografia asymetryczna jest użyta tylko na początku jako tunel do
> bezpiecznej wymiany głównego klucza sesyjnego (symetrycznego), który jest
> używany do wymiany danych w połączeniu przeglądarka-serwer.

Skoro już o tym dyskusja - z czego to wynika?
Kryptografia asymetryczna zabierała zbyt dużo czasu?
Narzut na transmisję?

Arek

do góry

On Fri, 1 Apr 2016 23:39:27 +0200, "Arek"
<a...@p...onet.pl.usun_cde.invalid> wrote:
> Skoro już o tym dyskusja - z czego to wynika?
> Kryptografia asymetryczna zabierała zbyt dużo czasu?

Dokładnie, głównie z dwóch powodów. Symetyryczna praktycznie nie
zwiększa wielkości zaszyfrowanej zawartości (kryptogramu) w stosunku
do wielkości danych przed zaszyfrowaniem,asymetryczna zawiększa
drastycznie wielkość kryptogramu (o 40-50% w zależności od użytego
algorytmu). Stąd asymetryczna nie jest "ekonomiczna" przy dużej
ilości danych do zaszyfrowania.
Drugi powód to koszt obliczeniowy.
Wspolczesny CPU ze sprzętowym wsparciem AESa jest w stanie
szyfrować/deszyfrowac z prędkością 1-2 GB/s a ten sam cpu przy
sofwarowym deszyfrowaniu asymeyrycznym z typowym kluczem 1024 bit
nie wyciągnie więcej niż 0.5-1MB/s, różnica jest ogromna.

--
Marek

do góry

On 4/1/2016 4:39 PM, Arek wrote:
> Użytkownik "Marek" <f...@f...com> napisał w wiadomości
> news:almarsoft.8343496911835121259@news.neostrada.pl
...
>> On Tue, 29 Mar 2016 17:46:53 +0200, Piotr
>> Jak weryfikowany jest certyfikat (ścieżka) już ktoś odpisał. Warto
>> dodać, że kryptografia asymetryczna jest użyta tylko na początku jako
>> tunel do bezpiecznej wymiany głównego klucza sesyjnego
>> (symetrycznego), który jest używany do wymiany danych w połączeniu
>> przeglądarka-serwer.
>
> Skoro już o tym dyskusja - z czego to wynika?
> Kryptografia asymetryczna zabierała zbyt dużo czasu?

aha.

do góry

On 4/1/2016 4:17 PM, Arek wrote:
> Bywało, że zapisywałem niektóre dane z certyfikatu i potem porównywałem.
> Nie powinny się chyba zmienić przed datą not valid after

dlaczego nie.
W kazdej chwili mogę zastapić obecny certyfikat nowym.

do góry

Dnia Wed, 30 Mar 2016 23:14:14 +0200, MarcinF napisał(a):
> W dniu 2016-03-30 o 14:59, witek pisze:
>>> P.S. Ciekawa opcje widze - "zainstaluj certyfikat".
>>
>> No ale to już byś musiał konkretny komuputer atakować.
>> Na globalną skalę tego zrobić się nie da.

Wirusem.

> Za to na globalną skalę dla dobra klientów, pewien producent
> sprzętu komputerowego sprzedawał komputery z zainstalowanym
> certyfikatem root ca i jego kluczem prywatnym.
> http://www.infoworld.com/article/3008422/security/wh
at-you-need-to-know-about-dells-root-certificate-sec
urity-debacle.html

Prawde mowiac to nie bardzo rozumiem - czy Dell podal oba klucze, czy
tylko "gdyby drugi klucz zostal zlamany to naraziloby to uzytkownikow
na ..." ?

>> Instalacji certyfikatu zdalnie sie nie da zrobic.
>> Musialbys przekonac uzytkownika do zrobienia tego.
> 1. Są użytkownicy których łatwo przekonać do instalacji certyfikatu
> 2. U innych można wykorzystać jakaś podatność i zainstalować certyfikat
> bez ich wiedzy
> 3. Inna droga to certyfikaty instalowane przez producentów sprzętu
> lub oprogramowania, poza przypadkiem który już przytoczyłem powyżej,

Dalej nie bardzo rozumiem - kilka certyfikatow jest w
systemie/przegladarce wpisanych, zeby mozna bylo CA zweryfikowac ?
To czym sie to rozni od innych certyfikatow ?

Czy nie ma ... ale wtedy sie chyba czlowiek naraza, ze mu ktos serwer
certyfikujacy podstawi ...

J.

do góry

Dnia Wed, 30 Mar 2016 09:45:47 +0200, Marek napisał(a):
> On Wed, 30 Mar 2016 01:09:23 +0200, "J.F." <j...@p...onet.pl> wrote:
>> A skad niby jakis pracownik w USA czy Chinach ma wiedziec, ze oprocz
>> mbnak istnieje w Polce popularny mbank ?
>> Albo, ze w ogole trzeba szukac w Polsce, a nie w com ...
>
> Rotfl, widać nie masz pojęcia jak wygląda procedura uzyskania cert.
> extended :)

Nie mam, ale wiem ze swiat jest wielki, a Polska malutka.

Mieliby sprawdzac podobne nazwy we wszystkich krajach ?
A skad wiedza, ktore banki sa popularne gdzies na zadupiu ?

J.

do góry

On 4/3/2016 4:59 AM, J.F. wrote:
> Dalej nie bardzo rozumiem - kilka certyfikatow jest w
> systemie/przegladarce wpisanych, zeby mozna bylo CA zweryfikowac ?

tak.
IE - > Internet Options -> Content -> Certificates.

Na liscie trusted root certificates prosze sobie odnalezc chocby polskie
Certum.






> To czym sie to rozni od innych certyfikatow ?
niczym.

do góry