Komentáře ke článku: El. certifikát pro e-maily prakticky (ze dne 05.02.2012, autor článku: [Neregistrovaný autor])
Přidat nový komentář
|
..certifikáty řeším v práci a to neustálé obnovování a úpravy aplikací co s tím pracují mě jednou dostane do blázince..
|
|
Tenhle článek je pro mě osobně již třetím potvrzením skutečnosti, že d-fens stagnuje, a tedy je na místě přestat ztrácet čas tím, že by se sem člověk vracel. Před pár lety tu mohl člověk najít hodně zajímavých informací, které se jinde nedaly sehnat, namátkou připomenu FSM, ten byl svého času opravdu fajn, ale i v této oblasti d-fensu ujíždí vlak, a aktuální poznatky, jak se bránit establishmentu, bylo možné na tomto serveru nalézt naposledy v roce 2010 (no dobře, s trochou snahy i 2011). Takže se s vám loučím, i když se přiznám, že je mi líto, že se nikdy osobně nesetkám s pivko, moussa a root, na druhou stranu, pokud bych někdy potkal někoho, kdo by se představil jako podotek, asi bych litoval, že osobně neznám pivko :-)
|
|
|
Doufám že to bude předmětné a že se neurazíte.
Váš náhled je podobný a moje námitka je podobná jako u mého článku, kde jsem pro zjednodušení postavil na roveň tunel, VPN a https.
V principu jde o to, že DF už dávno není, a ve své podstatě nikdy nebyl odborným magazínem IT.
I když popisuje značně popularizovaným způsobem zcela samozdřejmé věci, tak to považuji za předměné, a to proto, že povědomí běžného uživatele o svém zabezpečení. I dnes spoustu kolegů v síti dostanete prostým pasivním odposlechem paketů pro jiné MAC "do kolen", iluze o dodržování listovního tajemství u emailu si doufám nedělá nikdo.
Já bych vytkl autorovi pouze opomenutí kritického významu ověření root certifikátu autority a případně komentář vzhledem k praktickým důsledkům vzhledem k .CZ certifikačním autoritám a našim poťapaným zákonům-tj. pro účely šifrování vyhoví cokoliv bezpečného, ale právní význam má pouze tažení z našich 3 autorit.
Co se týče dočasného skrytí dat, tak se mi jeví jako optimální nevyužitý oddíl disku s dostatečně silnou asymetrickou šifrou. 256b není už v současné době dostatečně silné.
Suma - IT nechť se nejprve naučí věc vysvětlit koncákovi a teprve až v tom bude úspěšný, nechť shazuje druhé.
|
|
Pro sifrovani, pripadne podpis, emailu jeste muze pro nekoho byt zajimave treba GPG - napr. pro Thunderbird existuje dobry plugin Enigmail (s Outlookem nevim nevim)
|
|
Takže privátní klíč v tomto případě generuje Comodo? Pokud ano, tak to potěš koště.
Já radši PGP, ale naráží to na to, že ho skoro nikdo nepoužívá - takže prostě nemám veřejné klíče lidí, se kterými si píšu. Často ani nevědí, to to PGP je :(.
|
|
|
Vskutku. Právě jsem se přihlásil, abych napsal, že pokud privátní klíč generuje Comodo, tak to tedy potěš koště.
Dovolil bych si to tedy aspoň zdůraznit pro případné netechnicky nezdatné čtenáře:
Pokud si privátní klíč nevygenerujete sami na svém počítači, nebo pokud jej po vygenerování někam pošlete, pak se vůbec nemusíte obtěžovat s podpisem, to je naprosto a dokonale zbytečné, a smysl šifrování je diskutabilní -- nepřečte to sice úplně každej blbec na každém rohu, nicméně je enormně vysoké risiko, že (a) ten, kdo klíč generoval, si jej také hezky zaarchivoval, (b) a nějaký policajt z něj pak vaše heslo vyrazí (nebo váš obchodní konkurent koupí), až se vám to bude nejméně hodit.
Na nějaké detailní rozbory žel nemám pokdy, ale on to asi časem rozebere někdo jiný :) Pro Makovce jsem rozebíral před lety ( www.mujmac.cz/art/sw/OSXSECURITY_4.html), ale dneska to už tak úplně vše neplatí.
|
|
|
Tak blbé nejsou ani české (polo)státní CA. Privátní klíč si i u Comodo tvoří browser a neměl by se nikam posílat. Nabízejí tuším také klasický postup s .csr takže zase taoví idioti to nebudou.
Samozřejmě že pokud by se privátní klíče generovaly na serveru CA, tak vše, co jste Ty i předřečník napsali, je 100% správné.
|
|
|
On se da vygenerovat certifikat podepsany CA bez znalosti privatniho klice teto CA?
|
|
|
Nedá, leč to není podstatné.
Podstatné je to, že CA může (a podle JJe i ta komoďácká tak činí, což jest tedy OK, je-li tomu vskutku tak) vygenerovat certifikát pro Pepu Vopičku bez znalosti privátního klíče Pepy Vopičky.
|
|
Neni nahodou Comodo zrovna jedna z tech CA, kterym se spousta certifikatu rusila, protoze je nekdo naboural?
IMHO mnohem bezpecnejsi je prave PGP.
http://cs.wikipedia.org/wiki/Pretty_Good_Privacy
|
|
|
Ano je. Nicmene bezpecny je oboji stejne. Tedy z hlediska sifrovani. Autor totiz nerozlisuje mezi nim a overenim identity. CA nemame proto, aby nam vygenerovala certifikat, to muzu udelat sam, ale aby svym podpisem potvrdila to, ze je konkretniho subjektu. To v tomto prikladu nenastava.
Je na mne, kterym CA budu verit, a tedy i kterym certifikatum budu verit.
PGP (pripadne GPG, alias Gnu PGP) nabizi podobny mechanismus, kdy se jednotlive verejne klice (ekvivalent certifikatu) podepisuji kamaradi mezi sebou, a pokud verite kamaradovi, pak verite i klicum, ktere podepsal.
|
|
|
Ten přístup stylem "web of trust" (tj. vzájemné ověřování) není nijak vázán na PGP/GPG - před časem velmi podobně fungovalo ověřování klasických certifikátů pro S/MIME u firmy Thawte. Existovalo několik úrovní důvěryhodnosti "notářů" a pro ověření identity bylo nutno nasbírat určitý počet bodů - tj. nechat se ověřit buď n "notáři" s nižší důvěryhodností nebo m (kde m < n, někdy i výrazně) notáři s důvěryhodností vyšší.
|
|
|
|
Bohužel, to již platí dost dlouho.
A tyhle letáky jsou prastará vesta (před pár lety jeden podobný prosákl na Web a byl formulovaný tak dementně, že někoho -- byl to guvernér Texasu? Nevzpomínám si a nemám teď čas hledat -- přiměl k veřejnému prohlášení, že on tedy nutně musí být nebezpečný extrémista).
Zajímavější je, že už to moc hezky prosakuje do legislativy -- vizte supersvinstvo ACTA (jehož je ČR signatářem, bohužel), vizte např. www.root.cz/zpravicky/soudce-prikazal-obzalovane-desifrovat-disk, a nezapomeňte si dohledat detaily zdaleka nikoli nového zákona RIPA III... ale raději nalačno, je to celé dost silné emetikum :(
|
|
|
Letáků ať si tisknou, co hrdlo ráčí - na tom je k nas..ní v podstatě jen jejich cena a tak zase není zase tak vysoká. Normální člověk si tím maximálně vytře pozadí či zatopí (a debilní hovado Tě půjde prásknout i bez letáku). FBI má od vlády nějaký úkol a tak se vykazuje aktivita aby byly bonusy.
Daleko horší je, pokud se v tomto směru ukládají povinnosti a zákazy - tj. nesmíš šifrování použít, musíš zaznamenat, musíš napráskat...
|
|
|
On to může být důvod, proč to není rozšířené, protože "oficiálně" není motivace to propagovat, naopak je přístup "Kdo nedělá nic špatného, nemá důvod se bát šmírování" (mimochodem, ten argument je dvoustranný: Pokud vláda nedělá nic špatného, nemá důvod se bát svobody slova).
Ad ACTA, ten podpis není ratifikace, ještě je šance to zastavit. A díky tomu, že se tu dohodu povedlo medializovat (mám dojem, že to je asi první výraznější úspěch České Pirátské Strany), zvedl se proti ní poměrně výrazný odpor a na ten se nabalují politici, nejsem už ohledně šancí té ratifikaci zabránit tak skeptický jako dřív.
Ad šifrovaný disk: I takové nařízení si ale vyláme zuby na tom, že je možné mít heslo zpřístupňující jen (nějakou úplně "nezajímavou") část šifrovaných dat, přičemž nelze dokázat, že disk obsahuje i jiná data.
Alespoň než dojdeme tak daleko, že na věznění bude stačit *předpoklad*, že nějaká "závadná" data vlastníte, pak už pomůže asi leda udělat revoluci.
|
|
|
"Než dojdeme"???
Kde člověče žijete? Tam ale musí být krásně...
K vězení, pro Vaši informaci, stačí daleko, daleko méně. Namátkou třeba to, aby někdo na nějakém diskusním fóru něco napsal a podepsal se Vaším jménem.
Vizte výdobytky české legislativy a justice, a plačte hořce:
petr.partyk.sweb.cz/
A jinde je to ještě hezčí, tam stačí, aby někdo jiný napsal naprosto běžné slovo, které se ovšem rýmuje s "pikey" (což je -- pro neangličtináře -- tak něco asi zhruba podobného našemu "cigoš", velmi zhruba):
forums.contractoruk.com/general/50904-man-arrested-after-one-his-staff- sends-email-do-you-likey-pikey.html
Welcome in the Brave New World!
|
|
|
Zdravím Vás. Dodatečně velmi chválím zakoupenou knihu EHA, je fakt dobrá. Cena by se někomu mohla zdát vyšší, ale s ohledem na hodnotu obsahu naprosto adekvátní, zasloužila by pevnou vazbu. Díky.
|
|
|
V dnešní době bohužel v té vazbě skončí dřív autor :-/
|
|
|
Inu, komunistům se to nepodařilo, ač bylo párkrát docela namále. Tak uvidíme, co dokáží kdemohkradi...
|
|
|
EHA je nově k dispozici i v elektronické podobě -- vizte prosím např. stranu www.ocs.cz/EHA/overview.html dole.
Pevnou vazbu jsem původně plánoval (stejně jako barevné obrázky), ale bylo to bohužel cenově neprůchodné; kniha by musela stát minimálně dvojnásobek, spíše více :(
|
|
|
stáhnul jsem si tedy, děkuji zdvořile :o) ano, barevné obrázky, to je ono! :o)
|
|
|
Konečně i verse pro iPada k postelovému čtení :-).
|
|
|
Děkuji. A nemohu než konstatovat, že smluvní podmínky šíření jsou jedním slovem kouzelné...
Jen bych k nim měl jeden upřesňující dotaz: pokud bych odkaz na e-knihu rozeslal svým známým (které z přízně ke zbraním moc podezřívat nelze) aby si ji jednorázově přečetli a zamysleli se nad ní, chceš po nich také zaplatit nebo se placení týká až toho, když si ebook někdo ponechá v držení i po prvním přečtení?
|
|
|
Placení se rozhodně týká až toho, když si ebook někdo ponechá v držení i po prvním přečtení:
... rozhodnete-li se snad tuto knihu hanebně ukrást – tedy ponechat si ji, aniž byste ...
Ale díky, až budu mít někdy volnou chvilku (což asi hnedtak nebude, zrovna se mi věci nepěkně nahromadily :/ ), zkusím to přeformulovat ještě jednoznačněji a uploadnout novou versi.
|
|
|
Tak když vynechám ty případy samotné (to by asi bylo na zvláštní diskusi), tam soud pořád musel nějaké důkazy najít a nespokojit se s konstatováním, že se předpokládá, že důkazy existují.
|
|
|
Mimochodem, při prvém zběžném prolétnutí jsem to nezaznamenal:
... activities to be on the lookout for. Some of these are completely understandable, like downloading radical literature and purchasing bomb-making materials
Kdyby něco podobného napsalo nějaké policejní či úřednické prase, nestálo by mi to ani za pozdvihnuté obočí. Nicméně může-li to napsat někdo, kdo patrně považuje svobodu za poměrně významnou záležitost, je někde něco celkem hodně zásadně špatně. Ceterum autem censeo...
|
|
|
RIPA III, ACTA, PIPA apod. jsou jen čajíček proti
USA PATRIOT Act. a následně National Defence Authorization Act. - kdokoli může být zbaven práv bez nároku na soud, potažmo obhajobu...
|
|
|
Tak ty RIPY apod. jsou věci explicitně se zabývající šifrováním, proto jsem je zde citoval.
Jinak samozřejmě existují ještě mnohem zábavnější věci na tom světě kulatém. Vámi zmíněná sekce 1021 NDAA 2012 je vskutku jedna z těch roztomilejších, ale v praxi se (zatím?) moc nezneužívá. Naopak technicky snad o něco málo méně neústavní, zato ale daleko zneužívanější (a u nás poměrně neznámá) finta je to, že za vodou lze obvinit váš dům, vaše auto nebo vaše peníze z napomáhání zločinu a na základě toho je zabavit. Hezké na tom je, že vás neodsoudili, a tedy se v zásadě ani nemůžete hájit (podrobnosti snadno dohledatelné, kdo je líný hledat, např. perspicuity.net/forfeiture/forfeit.html).
Jo, a pokud by si někdo myslel, že takové ohavnosti se dějí jen za vodou a tady je vše sluníčkové a krásné, ať si přečte kupříkladu toto: aktualne.centrum.cz/domaci/soudy-a-pravo/clanek.phtml?id=511522 a zvláště důkladně se zamyslí nad formulacemi typu
... Trestný čin nemusí spáchat jen ten, který jednoduše zpronevěří evropské peníze ... Poškozováním EU bude také snížení cla a poplatků ... podle výkladu paragrafu způsobíte škodu i tím, že budete nesprávně vyplňovat listiny ... Trestat by soudy měly nově také toho, kdo takovému činu nezabránil. Tento přečin ministerstvo navrhlo zařadit mezi nejzávažnější.
No není to hezké?
|
|
|
|
Toť otázka; Můj názor je, že je správné si všímat podezřelých aktivit (jako třeba nedávno ten člověk, který v místě kde vykradli několik důchodců viděl čtyři ženy potloukající se kolem domu osmdesátiletého pána, tak je vyfotil, na což dotyčné reagovaly tím, že začaly dělat povyk, naskákaly do auta a ujely)
Ovšem neřadím mezi podezřelé aktivity to, že někdo posílá šifrovaný e-mail.
(Další otázka samozřejmě je, jestli, resp. na které "podezřelé aktivity" reagovat tak, že je budu "hlásit", nebo jinak)
|
|
|
Inu, když jsem kupříkladu z okna viděl podezřelé existence potloukat se mezi auty a zkoušet kliky (bylo to ještě v době, kdy jsem bydlel v Praze), neprodleně jsem vzal do kapsy železo a šel jsem se jich optat, zda něco nepotřebují. Nepotřebovali a zmizeli, ani jsem do té kapsy nemusel sahat :)
Nicméně to je mírně řečeno poněkud odlišná situace od "downloading radical literature and purchasing bomb-making materials", že.
|
|
Článek je zatížen odstavcem
„Teorie Tu nemá smysl popisovat“
Bylo by nanejvýš dobré, kdyby to autor udělat a nešířit paniku.
Pokud chci šifrovat text, netřeba žádné autority, dokonce ani certifikační.
Pokud bych přece jen chtěl vskutku ověřovat odesílatele, pak mi certifikát vytvořený bez autority vskutku nic neověří, natož odesílatele.
RSA je asymetrický algoritmus kdy pomocí veřejného klíče onen text zašifruji a soukromým klíčem dešifruji. Klíč veřejný i soukromý není problém v libovolné (do 2048) vygenerovat a nerušeně používat.
Pro soukromé údaje je dobré šifrovat symetricky AES 256-bit a je po starostech, včetně FBI.
|
|
|
|
"zákon" má ovšem jednu drobnou vadu - jak hodná někdo prokázat, že mu "stres při vyšetřování a výslechu...bla bla bla..." nezpůsobil výpadek paměti? ;-)
Prostě heslo zapomněl a hotovo, pokud se sám nepráskne (leda blbec), nic mu nedokážou...
p.s. pokud chce někdo mít "po startostech", tak ať s notesem nosí i kvér...v případě nutnosti se v disku záhadně udělá díra s průměrem lehce nad 9mm a už nikdo na světě z toho data nezíská...je to sice ničení důkazů, ale neni to závažnej TČ (ani ve státech)...
|
|
|
Aby tu vadu urychlene nekdo nenapravil, stejne jako osobu blizkou.
Aneb jak pravi ten stary vtip o rozvedcicich, 'Volodo, ty blbce, vzpomen si, nebo te utlucou'
|
|
|
"zákon" má ovšem jednu drobnou vadu - jak hodná někdo prokázat, že mu "stres při vyšetřování a výslechu...bla bla bla..." nezpůsobil výpadek paměti? ;-)
Prostě heslo zapomněl a hotovo, pokud se sám nepráskne (leda blbec), nic mu nedokážou...
p.s. pokud chce někdo mít "po startostech", tak ať s notesem nosí i kvér...v případě nutnosti se v disku záhadně udělá díra s průměrem lehce nad 9mm a už nikdo na světě z toho data nezíská...je to sice ničení důkazů, ale neni to závažnej TČ (ani ve státech)...
|
|
být ukolébán ve falešném pocitu vlastní bezpečnosti.
|
|
Na rok zdarma je taky http://www.startssl.com/
|
|
me na sifrovanych mailech vadi jedna drobna vlastnost. po vyprseni platnosti a ztrate stare verejne casti klice jsou maily nenavratne vcudu.
jsem pro sifrovani, mam klic, dokonce podepsany, ale bezne maily nesifruju prave proto aby byly prijemci dostupne i dalsi roky, pokud si to bude prat.
|
|
|
A proč by měl člověk ztrácet klíč? :-O Na Macovi si tento dál spokojeně hoví v keychainu a o nic nejde. Předpokládám, že u oken a tučňáků existuje něco podobného.
|
|
|
Tak. Ostatně je-li pan jam příliš sexy na zálohování, přijde o ty maily zároveň s tím klíčem, že :)
|
|
Jsem rad, ze se tady objevil clanek tohoto typu, i kdyz mi pripada prilis zjednodusujici. Asymetricke sifrovani a elektronicky podpis je zajimave tema, ktere by si urcite zaslouzilo popsat lepe uz proto, ze je to pro vetsinu lidi mysterium. Nemam na to abych to napsal lip, tak jen par poznamek.
Sifrovani, jeste nic nevyresilo - tady jde o to co sifrujeme, kde a jak. Posilani zabezpeceneho emailu, z nezabezpeceneho pocitace je zbytecne. Kdyz sepisu hypertajny pamflet, zasifruju ho a poslu jako attachment a ve finale mi stejne lezi na nesifrovanem disku s uzivatelskym heslem pavel/pavel a neaktualizovanym SW s tim za na nej chodi cela rodina a deti si instaluji co se jim libi ... no nevim :o)
Co je ale fajn je elektronicky podpis - elektronicky podpis je v podstate zasifrovani kontrolniho souctu pres odeslany dokument. Tj. tohle neni o tom, ze Vam nekdo dopis neprecte, ale o tom, ze zajistite to, ze ho nikdo nezmeni !!
Ohledne sifrovani pokladam osobne za praktictejsi Bitlocker (sifrovani diksu). Bitlocker ve windows 7 - neni to nic tezkeho a jeto udelano dobre a ciste a to vcetne recovery ke kteremu staci kus papiru (schovat). Proste proc by se mi nekdo mel hrabat v disku kdyz to neni nute. Kdyz je Bitocker dobry pro UBS, Roche, Novartis a podobn, tak staci i nam :o)
I kdyz se v tehle branzi pohybuju, tak soukrome nemam zasifrovano nic - nevidim v tom smysl. A kdyz se mrknu kolem na vlastni deti a jejich soukmenovce, tak si rikam, ze obcas staci o sobe jen nepublikovat UPLNE VSECHNO A HNED :o)
|
|
|
no, asi jsem moc sexy, protoze tyto argumenty moc nechapu.
1, pokud poslu mailem nesifrovany obsah, tak je jedno jak super zabezpecenej mam pocitac - obsah toho mailu je v podstate verejny - jak psal autor clanku, kdokoliv v retezci Vaseho poskytovatele pripojeni, poskytovatele a samotni provozovatele smtp serveru pres ktere mail prosel a ISP prijemce ma moznost do obsahu nahlednout. zatimco zasifrovany mail poslany z kompromitovaneho pocitace si precte jen prijemce a ten kdo Vam/prijemci pocitac kompromitoval.
2, pokud mate kompromitovany PC, tak je utocnik schopen podepisovat obsah bez Vas.
3, viz 1. pokud budu mit nedobytny terminal a poslu z nej data nechranenym zpusobem, nebo na nechraneny cil, tak me bitlocker ve windows7 nepomuze.
...uz proto ze jsem prilis sexy na to abych pouzival windows
|
|
|
... s tim se neda nez souhlasit (az na spojeni sexy a pocitace, ktere jde trochu mimo me chapani ... )
1. Samozrejme - chtel jsem rict, ze bezpecnost urcuje nejslabsi clanek (viz Bruce Schneier a spol)
2. Samozrejme
3. Ano, ale pravdepodobnejsi je, ze Vas nekdo bud stopne na hranicich, nebo ze Vam nekdo notebook ukradne. V techto pripadech je nejjednodussi delat analyzu samotneho disku - proto jsem zminoval napr. Bitlocker.
Jde o to komu na cem zalezi ... to ze nekdo cte moje emaily mi neva ... ale kdyby se nekdo zacal hrabat ve fotkach, zacal zjistovat kde je jaka mp3 a pod. ... to by me asi stvalo
.. jeste jednou diky za clanek - S/MIME neni zadne mysterium a je dobre o tom mluvit.
|
|
|
sexy - viz predchozi prizpevek (Re: Re: expirace), a ano pripoustim ze zde nema co delat :).
dnes muze celnik lustrovat prakticky vsude. teoreticky ma pravomoce asi 50km od hranic a letist, ale imho si s tim hlavu moc nelamou.
|
|
|
to má znamenat, že každý kdo používá windows není sexy?? Tsssss. ;-)
|
|
|
Jen poznamka - mam pocit, ze se nedoporucuje pouziti osobniho certifikatu pro sifrovani, uz jsem bohuzel zapomnel proc, ale to tady jiste guruove doplni.... i kdyz u nejakyho klice z webu je to asi fuk :) sam to neresim, dulezite veci se vyrizuji osobne ;)
|
|
|
Přidat nový komentář
Zobraz článek El. certifikát pro e-maily prakticky
|