Linux за българи: Форуми

Сигурност => Системна Сигурност => Темата е започната от: vstoykov в Nov 01, 2009, 22:15



Титла: Как не трябва да се правят глупости със сертификати
Публикувано от: vstoykov в Nov 01, 2009, 22:15
(http://img140.imageshack.us/img140/4594/nra.png) ($2)

Не само, че сами си подписват сертификатите, но и ги заменят както си искат...

Код:
https://payments.nra.bg:4351/taxpay/client/login.php

И после се чудят защо хората не плащат данъци и осигуровки...


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: VladSun в Nov 02, 2009, 12:25
https://public.brra.bg/CheckUps/Default.ra?0 :)


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: romeo_ninov в Nov 02, 2009, 12:56
Мисля че и двамата не сте прави, защото това са български CA, утвърдени от КРС и това че не сте добавили техните root ключове е по-скоро ваш проблем


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: gat3way в Nov 02, 2009, 12:58
http://www.b-trust.org/certificates/CA_certificates/RootCA4cert.cer



Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: romeo_ninov в Nov 02, 2009, 13:05
http://www.b-trust.org/certificates/CA_certificates/RootCA4cert.cer
Хм, това, което ме смущава е че са го издали с валидност 20 години, което е прекалено дълъг срок. По-нормално би било да е за примерно 10 фодини


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: v_badev в Nov 02, 2009, 14:45
Всъщност къде е връзката на b-trust с темата, сертификата на payments.nra.bg е издаден от Инфонотари. Съответно техният root сертификат е с RSA 4096 битов ключ.


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: romeo_ninov в Nov 02, 2009, 14:54
Всъщност къде е връзката на b-trust с темата, сертификата на payments.nra.bg е издаден от Инфонотари. Съответно техният root сертификат е с RSA 4096 битов ключ.
И в двата случая хората се възмущават че сертификатите не се разпознават от броузерите им (поне аз така разбрах нещата)


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: vstoykov в Nov 02, 2009, 17:34
Всъщност къде е връзката на b-trust с темата, сертификата на payments.nra.bg е издаден от Инфонотари. Съответно техният root сертификат е с RSA 4096 битов ключ.
И в двата случая хората се възмущават че сертификатите не се разпознават от броузерите им (поне аз така разбрах нещата)

В същност възмущението ми е в това:

Цитат
Вие получихте невалиден сертификат. Моля, свържете се с администратора на сървъра и дайте следната информация:

Вашият сертификат съдържа същия сериен номер като друг, издаден от сертификатора. Моля, дайте нов сертификат с уникален сериен номер.



Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: zeridon в Nov 02, 2009, 17:39
Всъщност встойков е прав ... това са лепкави пръсти ... много лепкави при това, плачещи за публично овъргалване в пера и катран.

Кофтито е че някои банки са още по зле, със стари сертификати, със ниско ниво на сигурност, очевидно самоиздадени, създадени от vulnerable CA. И за бонус даже препоръчват да се ползва техния сертифика ...


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: v_badev в Nov 02, 2009, 17:52
Явно Инфонотари процедира със сървърските сертификати като с клентските - при изтичане на датата на сертификата се издава нов със същият сериен номер, но с друга валидност. Което е проблем, но не мисля че е много сериозен. Все пак ще е добре да пишеш до поддръжката им.

редакция:
Сега за да не се изсипе една кофа помия върху Инфонотари за тази политика трябва да уточня че те това го правят еднократно и определено е полезно когато ползваш сертификата си на няколко места.


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: vstoykov в Nov 02, 2009, 18:08
В крайна сметка реших проблема след като изтрих стария сертификат, който вече е изтекъл и инсталирах сертификатите почти както пише в документацията:
http://www.infonotary.com/site/files/install_win.pdf

1. Тегли се това: http://www.infonotary.com/site/files/INotaryCertChain.p12

2. Редактиране -> Настройки -> Разширени -> Шифроване -> Сертификати -> Вашите сертификати -> Внасяне (INotaryCertChain.p12) -> Въвеждане на празна парола (OK без да въвеждаме нищо) -> Щракаме ОК на диалогов прозорец със съобщение  -> Удостоверители -> InfoNotary PLC ->  i-Notary TrustPath Validated Domain CA -> Редактиране ->
  • Този сертификат може да идентифицира уеб сайтове.

Преди това бях инсталирал всичко с разширение .cer от http://www.infonotary.com/site/?p=doc_g1_3 ($2):

cqs-ca.cer
in-csp-root.cer
pqs-ca.cer
qs-ca.cer

Но това не помогна.

С това обаче не мога да се съглася:
Цитат
За да потвърдите контролните суми за ключовете от удостоверенията ни, може да се свържете с нас на тел: +359 2 921 08 55 или да изпратите писменно запитване на адрес: гр. София 1000, ул. "Иван Вазов" № 16, ет. 6 или в регистъра на удостоверенията на регистрираните доставчици на удостоверителни услуги в КРС.

Защо това да е  единствения начин за проверка? Не може ли просто да си платят на някоя организация, която я има по подразбиране в браузърите да ги удостовери?


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: zeridon в Nov 02, 2009, 18:16
Темата е чепата ... все пак има и закони ... а ако някой ги удостовери те престават да бъдат глобално CA а само междинно (което не е по закон).

А относно верификацията на контролните суми ... кажи ми по сигурен начин за тяхната верификация (аз лично смятам че по сигурен от директна комуникация с човека изгенерирал сертификата няма) (вярно едва ли точно той ще вдигне но това е друга тема)


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: vstoykov в Nov 02, 2009, 18:35
Нищо не пречи хем да са глобално CA, хем някой да ги удостовери (за удобство на клиента - простия потребител на компютър, който не знае какво значи браузър и криптография!).

Наистина "директна комуникация с човека изгенерирал сертификата" е най-сигурния вариант, но от къде знаеш, че публикуваните телефони са правилните? Може някой да е направил копие на сайта, в което да е заменил номерата.


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: petar258 в Nov 02, 2009, 19:21
не им е за пръв път, по страниците и на нои и на нап, и на други държавни институции често има подобни малоумия


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: romeo_ninov в Nov 02, 2009, 20:19
С това обаче не мога да се съглася:
Цитат
За да потвърдите контролните суми за ключовете от удостоверенията ни, може да се свържете с нас на тел: +359 2 921 08 55 или да изпратите писменно запитване на адрес: гр. София 1000, ул. "Иван Вазов" № 16, ет. 6 или в регистъра на удостоверенията на регистрираните доставчици на удостоверителни услуги в КРС.

Защо това да е  единствения начин за проверка? Не може ли просто да си платят на някоя организация, която я има по подразбиране в браузърите да ги удостовери?
Не си прав, хората просто използват този начин за да осигурят два много независими канала за достъп до информацията. Защото ако някой превземе сайта им ще може да подмени кореновия сертификат, както и отпечатъка. Или да фалшифицира електронна поща за целта
Нищо не пречи хем да са глобално CA, хем някой да ги удостовери (за удобство на клиента - простия потребител на компютър, който не знае какво значи браузър и криптография!).
Не става. Или-или:)


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: gat3way в Nov 02, 2009, 21:32
Според мен би следвало да е най-добре root CA-тата, подписващи сертификати, използвани за пред държавни институции като например НАП да бъдат някакви държавни (или одобрени от държавата) компании. Така по-лесно се подържат CRL списъци, разни компрометирани ключове влизат там според правила, които държавата е одобрила, отделно предполагам същата си има разни параноични съображения, прави си някакви нейни одити и CA-тата са регистрирани в България и оперират според родното законодателство. Така че не виждам нищо ненормално в това, че Банксервиз са root, а не intermediate CA. В смисъл не мисля, че е толкова важно, че не принадлежи към списъка с trusted CAs по дефолт в браузърите. Така или иначе можеш да си импортнеш банксервиз-кия CA сертификат без проблеми.


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: romeo_ninov в Nov 03, 2009, 00:41
Според мен би следвало да е най-добре root CA-тата, подписващи сертификати, използвани за пред държавни институции като например НАП да бъдат някакви държавни (или одобрени от държавата) компании. Така по-лесно се подържат CRL списъци, разни компрометирани ключове влизат там според правила, които държавата е одобрила, отделно предполагам същата си има разни параноични съображения, прави си някакви нейни одити и CA-тата са регистрирани в България и оперират според родното законодателство. Така че не виждам нищо ненормално в това, че Банксервиз са root, а не intermediate CA. В смисъл не мисля, че е толкова важно, че не принадлежи към списъка с trusted CAs по дефолт в браузърите. Така или иначе можеш да си импортнеш банксервиз-кия CA сертификат без проблеми.
Доколкото ми е известно те са официални, в смисъл на одобрени от държавата (КРС конкретно) и без таква одобрение не можеш да станеш root CA (поне у нас)
CRL се поддържат от всеки CA и поради това че (обикновено) се генерират на 3 часа няма да е много удобно поддържането на един, концентрирал лист


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: gat3way в Nov 03, 2009, 01:16
Имам предвид примерно как се разрешават проблеми възникнали в периода от време между компрометирането на ключа и пъхането му в списъка. Примерно представям си как пускаш оплакване, че са ти откраднали картата с ключа след което се логваш и правиш някаква операция там, която евентуално после ако не ти изнася, можеш да твърдиш че не си я правил. В тоя случай държавата (съда) предполагам трябва да изиска от CA-то информация кога точно е пусната заявката, от какъв адрес и такива работи. Като не са родни (държавни?) фирми, такива казуси вероятно се усложняват (нямам идея де, само предполагам). Но преди не много време от любопитство бях гледал CRL списъците на един от одобрените удостоверители. Имаше доста revoke-нати заради "key compromise", в смисъл почти хиляда за месец и ми се видя бая. Плюс това те са доколкото знам поне 3-4 одобрени удостоверители, следователно общия брой revoke-нати сертификати трябва да е дори още повече. Може би аз не съм в час де и наистина много хора ползват прословутите електронни подписи, но дори при това положение ми се вижда малко странно на толкова много хора да им крадат ключовете.

То лесно може да се провери де...
https://www.stampit.org/crl_archive/2009/

теглиш някой архив там, разархивираш го и пускаш нещо от вида на find ./|xargs --replace=blabla openssl crl -inform DER -text -in blabla 2>/dev/null|grep "ey Compromise"|wc -l



Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: romeo_ninov в Nov 03, 2009, 08:49
gat3way, честно казано в момента ме мързи да правя подобна статистика, но си помисли върху факта че е възможно операторите просто да ги мързи, да не знаят и какво ли още не и да ползват само (основно) този атрибут. 
П.П. Доколкото имам спомени в закона никъде не се коментират неща, свързани с използване на небългарски СА.. То тоя закон - мани-мани, например ако с теб се познаваме лично и имаме един за друг известна информация ти можеш да "замразиш" мисля до 72 часа сертификата ми, казано с други думи да ми направиш DoS атака:)


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: v_badev в Nov 03, 2009, 10:10
gat3way, сега си направих теста който си писал, с последният CRL на stampit има 175 реда такива сертификата. В CRL-а за персоналните сертификати на Инфонотари няма. При положение че stampit работят от 2003-а година не ми се струват много. Освен това те често се издават на малки карти в комплект с четец с размера на флаш памет. Може и да са загубени.

@vstoykov, прегледай този линк ($2) и най-вече този PDF ($2). Организацията която е удостоверила Инфонотари е Web Trust ($2), и на базата на това са включени в Windows. Наистина още ги няма в Mozilla, но предполагам се работи и по това. Mozilla са пословично бавни за такива неща.


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: lod в Jan 26, 2010, 17:01
http://www.b-trust.org/certificates/CA_certificates/RootCA4cert.cer
Хм, това, което ме смущава е че са го издали с валидност 20 години, което е прекалено дълъг срок. По-нормално би било да е за примерно 10 фодини

и след 10 години знаеш ли какво чудо ще настане, когато трябва да се смени РООТ-а, да се прегенерират всички субординати и клиентски сертификати.
ако главният роот е за 40 години и се подписват с него 1-2 сертификата на година не представлява голяма опасност.

отностно грешката, най - вероятно проблема се е получил при публикуване в ldap


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: romeo_ninov в Jan 26, 2010, 19:06
http://www.b-trust.org/certificates/CA_certificates/RootCA4cert.cer
Хм, това, което ме смущава е че са го издали с валидност 20 години, което е прекалено дълъг срок. По-нормално би било да е за примерно 10 фодини

и след 10 години знаеш ли какво чудо ще настане, когато трябва да се смени РООТ-а, да се прегенерират всички субординати и клиентски сертификати.
ако главният роот е за 40 години и се подписват с него 1-2 сертификата на година не представлява голяма опасност.

отностно грешката, най - вероятно проблема се е получил при публикуване в ldap
Аз много добре знам за какво иде реч, но ти си противоречиш. Хем да не е с малко години защото имало много зависими от него, хем да се подписват по един-два за година. Всеки CA всъщност има поне 20 CA (а някои в порядък повече), който се подписват с този коренов сертификат


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: lod в Jan 27, 2010, 14:00
http://www.b-trust.org/certificates/CA_certificates/RootCA4cert.cer
Хм, това, което ме смущава е че са го издали с валидност 20 години, което е прекалено дълъг срок. По-нормално би било да е за примерно 10 фодини

и след 10 години знаеш ли какво чудо ще настане, когато трябва да се смени РООТ-а, да се прегенерират всички субординати и клиентски сертификати.
ако главният роот е за 40 години и се подписват с него 1-2 сертификата на година не представлява голяма опасност.

отностно грешката, най - вероятно проблема се е получил при публикуване в ldap
Аз много добре знам за какво иде реч, но ти си противоречиш. Хем да не е с малко години защото имало много зависими от него, хем да се подписват по един-два за година. Всеки CA всъщност има поне 20 CA (а някои в порядък повече), който се подписват с този коренов сертификат

идеята ми беше, че ако Root на level 1, е за 40 години и с него се подписват няколко субординати и се опреснява crl, не представлява опасност да му дешифроват частният клуч (ако говорим за 4096 бит). вече субординати на ниво 2-3 трябва да са с къса валидност, особено когато подписват голям брой сертификати. но 10 години е твърде кратък период на валидност на root ca. най - малкото ако субординатите му са за 5 години, няма да успее да ги поднови и т.н.


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: gat3way в Jan 27, 2010, 16:10
Това колко сертификата се подписват с един ключ няма отношение към това доколко лесно е да се счупи частния. Иначе по субективни наблюдения, root CA сертификатите обикновено ги правят с период на валидност 20-30 години, intermediate сертификатите с които подписват клиентските обикновено са валидни 10 години. Но дори при това положение, не виждам какъв е проблема. Просто като останат няколко години докато изтече root CA сертификата им, ще си генерират нов такъв, съответно ще подпишат с него нови subordinate CA сертификати и само  тях ще подписват всички нови клиентски CSR-и.  Няма да настъпи трагедия когато изтече notAfter за root сертификата, няма нужда да се revoke-ват и преподписват сума ти сертификати, всичко е просто въпрос на организация и всички такива проблеми се решават ако помислят навреме.


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: vstoykov в Nov 01, 2010, 21:05
Пак им е изтекъл сертификата.

https://payments.nra.bg:4351/

(http://img524.imageshack.us/img524/6538/cert.png)



Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: b2l в Nov 01, 2010, 21:42
Аз защо добавих моя и влязох???


PS: Ауу грешка - да изтекъл е :D.


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: petar258 в Nov 01, 2010, 21:43
и може би не само аз не мога да проверя здравноосигурителния статус, може би админа им е в отпуск  ;D ;D ;D


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: petar258 в Nov 01, 2010, 21:45
а между другото часа на форума не е актуализиран


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: b2l в Nov 01, 2010, 21:52
а между другото часа на форума не е актуализиран

Моя е актуализиран.


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: crystalwater в Nov 02, 2011, 13:33
Искам да попитам, може ли издаден сертификат за Уиндоус от Банка ДСК да го прехвърля на Ubuntu 10.04?
Ако не може по този начин, как мога да си ползвам банкирането на Ubuntu?


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: romeo_ninov в Nov 02, 2011, 17:26
Искам да попитам, може ли издаден сертификат за Уиндоус от Банка ДСК да го прехвърля на Ubuntu 10.04?
Ако не може по този начин, как мога да си ползвам банкирането на Ubuntu?
сертификата е издаден на човек, не на ОС, нито на броузер!!! Опитай от ИЕ с експорт на сертификата и импорт след това в броузера под Убунту


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: crystalwater в Nov 02, 2011, 17:33
Искам да попитам, може ли издаден сертификат за Уиндоус от Банка ДСК да го прехвърля на Ubuntu 10.04?
Ако не може по този начин, как мога да си ползвам банкирането на Ubuntu?
сертификата е издаден на човек, не на ОС, нито на броузер!!! Опитай от ИЕ с експорт на сертификата и импорт след това в броузера под Убунту

Питам така, защото при инсталацията от тех съпорта на банката ми искат ОС и браузър, но ще пробвам.
Благодаря


Титла: Re: Как не трябва да се правят глупости със сертификати
Публикувано от: kalinik в Nov 02, 2011, 22:18
Имаш ли валиден сертификат на ДСК - нямаш проблеми под която и да е дистрибуция и Firefox (специално).
Работя с тях от 3-4 години , като започнах от WIN2003 + IE6 и след туй съм го export-нал и ползвал на Ubuntu, LinuxMint, Debian, SuSE и др.
Единствено като изтече се подменя ... и така. Няма да имаш грижи с него.
Успех !