Důvěra v certifikáty Pavel Vondruška Trendy v internetové bezpečnosti Datum: 26. února 2009 Místo:Konferenční centrum City (Na strži 1702/65, Praha 4 ) http://konference.iinfo.cz/program/
9/19/2018 Kdo by se již s touto výstrahou nesetkal ? Ale rozumíme ji správně? K pochopení souvisejících procesů a problémů slouží tato přednáška.
Přístup , odlišné „požadavky“ 9/19/2018 Přístup , odlišné „požadavky“ Je potřeba si uvědomit, že existují různé přístupy k důvěře v certifikát, které mohou klást důraz na něco zcela jiného: Laická představa Technický pohled / IT pohled Legislativní pohled
Obecný princip důvěry v SSL certifikáty (zjednodušeně) 9/19/2018 Obecný princip důvěry v SSL certifikáty (zjednodušeně)
Kterému certifikátu důvěřujete? Resp. Váš počítač ? 9/19/2018 Kterému certifikátu důvěřujete? Resp. Váš počítač ? VeriSign Class 1 (v úložišti MS, Mozilla) UTN (v úložišti MS, Mozilla) I.CA (kvalifikový systémový certifikát akreditovaného poskytovatele) SelfSigned (http://adreu.eurid.eu , rozhodování o doménách) CA Telefónica O2 CZ
Konstrukce a validace certifikační cesty / 1. 9/19/2018 Konstrukce a validace certifikační cesty / 1. Konstrukce certifikační cesty mezi ověřovaným certifikátem a důvěryhodným certifikátem CA (singulární bod důvěry) a ověření každého certifikátu v této cestě. Oficiální standardy a doporučení pro validaci certifikátu jsou součástí doporučení X.509.4 vydání (ekvivalentní k ISO/IEC 9594-8) a RFC3280. Konstrukce certifikační cesty zahrnuje vytvoření jedné nebo několika cest, které jsou nejenom formálně správně zřetězeny, ale vyhovují i dalším požadavkům, například maximální přípustné délce cesty, omezením jmen nebo certifikační politiky. Základní metodou konstrukce cesty je zřetězení jmen od důvěryhodné CA až k posuzovanému subjektu. Konkrétně to znamená, že hodnota atributu Subject Name v jednom certifikátu musí být shodná s hodnotou Issuer Name v následujícím certifikátu v cestě.
Konstrukce a validace certifikační cesty / 2. 9/19/2018 Konstrukce a validace certifikační cesty / 2. - Zřetězení jmen je vyhovující v případě, kdy je zaručena jedinečnost páru veřejného a privátního klíče CA. () V budoucnu je nutné počítat s procesy výměny klíčů CA (key rollover), kdy jedinečnost klíčů nebude zaručena a zřetězení jmen nevyhoví. Alternativní metodou konstrukce cesty je zřetězení identifikátorů AKID a SKID uvedených v extenzích certifikátů AKID (Authority Key Identifier) je jednoznačný identifikátor veřejného klíče CA (vystavitele certifikátu) SKID (Subject Key Identifier) je jednoznačný identifikátor certifikátu, obsahující veřejný klíč vlastníka certifikátu. Konstrukce cest pomocí zřetězení AKID a SKID je zcela analogická postupu při zřetězení jmen. Existuje několik možností pro výpočet AKID a SKID (například SHA-1).
2 1 Subject=Issuer Root certifikát (Subject=Issuer) 9/19/2018 Věstník MI 2003, Částka 1 Otisk certifikátu SHA-1: 6E32 893F 22A5 Vystavitel=První certifikační autorita Předmět=První certifikační autorita Veřejný klíč 00C5 8E33… Omezení délky cesty=0 identifikátor klíče předmětu =2B5A … Otisk certifikátu SHA-1: 6E32 893F 22A5 Subject=Issuer Root certifikát (Subject=Issuer) 3) Otisk certifikátu 2 Veřejný klíč 00C5 8E33… Soukromý klíč XXXX XXXX… 1 Vystavitel=První certifikační autorita Předmět=USER Veřejný klíč XXXX XXXX … identifikátor klíče úřadu =2B5A … identifikátor klíče předmětu =XXX…
kvalifikovane certifikaty 1 Veřejný klíč 00EB 28D7… 9/19/2018 Omezení délky cesty=3 Vystavitel=Předmět= =Korenova CA pre kvalifikovane certifikaty 1 Veřejný klíč 00EB 28D7… identifikátor klíče předmětu =30F4 … Vystavitel=CA EVPU Předmět=CA EVPU Veřejný klíč 00C2 FF5B… identifikátor klíče úřadu =57A3 … identifikátor klíče předmětu =57A3 … Vystavitel=Korenova CA pre kvalifikovane certifikaty 1 Předmět=ACA - 001/2004 Veřejný klíč 00C2 FF5B… identifikátor klíče úřadu =30F4 … identifikátor klíče předmětu =57A3 … Veřejný klíč 00C2 FF5B… Soukromý klíč XXXX XXXX… Vystavitel=CA EVPU Předmět=USER Veřejný klíč XXXX XXXX … identifikátor klíče úřadu =57A3 … identifikátor klíče předmětu =XXX…
Technické prosazení důvěry /1. 9/19/2018 Technické prosazení důvěry /1.
9/19/2018
Technické prosazení důvěry /2. 9/19/2018 Technické prosazení důvěry /2.
9/19/2018 http://www.openvalidation.org/en/service/calist.html Jak se CA chovají?
Technické prosazení důvěry – CRL /3. 9/19/2018 Technické prosazení důvěry – CRL /3. Jak je to se seznamy certifikátů, které byly zneplatněny? Stahují se automaticky? Pokud manuálně jak a kde? CRL Certifikační autority O2 CZ lze stáhnout z adresy : http://ca.cz.o2.com/crl/CA-CRL.crl Samotná instalace je již velice jednoduchá. Nad uloženým souborem s CRL stiskněte pravé tlačítko myši a zvolte příkaz Nainstalovat seznam CRL.
Technické prosazení důvěry /4. 9/19/2018 Technické prosazení důvěry /4.
Technické prosazení důvěry /5. 9/19/2018 Technické prosazení důvěry /5. Uprostřed března 2001 se přišlo na to, že jedna z největších a nejznámějších certifikačních autorit VeriSign, Inc. vydala dva certifikáty (ve velice důvěryhodné třídě - Class 3) fyzické osobě, která se vydávala za zaměstnance Microsoftu. Jméno, na které byly certifikáty vydány, zní "Microsoft Corporation". Tyto certifikáty byly vydány 29.1. a 30.1.2001.
Technické prosazení důvěry /6. 9/19/2018 Technické prosazení důvěry /6. Problém při ověřování certifikátů vydaných různými CA (v uzavřených systémech) by neměl být řešen na úrovni uživatelů (viz předchozí případ), ale na úrovni PKI (např. správců CA).
Přehled některých útoků na důvěru v SSL certifikáty 9/19/2018 Přehled některých útoků na důvěru v SSL certifikáty Distribuce Slabé procesy Délka certifikační cesty Slabý RSA modul „Rogue CA“
Slabé moduly pro RSA (512 bitů) 9/19/2018 Slabé moduly pro RSA (512 bitů) Stav 4.2.2007
NOVÝ SOFISTIKOVANÝ ÚTOK NA DůVĚRU V SSL CERTIFIKÁTY /1. 9/19/2018 NOVÝ SOFISTIKOVANÝ ÚTOK NA DůVĚRU V SSL CERTIFIKÁTY /1. Prosinec 2008: MD5 considered harmful today - Creating a rogue CA certificate Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, Benne de Weger http://www.win.tue.nl/hashclash/rogue-ca/#sec1
INFORMACE K ÚTOKU (vysvětlení jak probíhá, obrana) /1. 9/19/2018 INFORMACE K ÚTOKU (vysvětlení jak probíhá, obrana) /1.
INFORMACE K ÚTOKU (vysvětlení jak probíhá, obrana) /2. 9/19/2018 INFORMACE K ÚTOKU (vysvětlení jak probíhá, obrana) /2. Obrana Nepomáhá: Omezení certifikační cesty ("basic constraints„) Zvýšení modulu asymetrické šifry RSA (např. 4096 bits) Jednoduchá obrana: Certifikační autorita nesmí používat podpisové schéma MD5/RSA Realita? Aktuálně je přibližně 14 procent SSL certifikátů podepsáno s využitím hashovací funkce MD5 http://crypto-world.info/news/index.php?prispevek=8989
STANDARDIZACE , PILÍŘ BEZPEČNOSTI 9/19/2018 STANDARDIZACE , PILÍŘ BEZPEČNOSTI Změna v kryptografických algoritmech, které jsou používány pro vytváření elektronického podpisu Na základě aktuálních poznatků v oblasti kryptografie a dokumentu ETSI TS 102 176-1 V2.0.0 (ALGO Paper) Ministerstvo vnitra stanoví: Kvalifikovaní poskytovatelé certifikačních služeb ukončí vydávání kvalifikovaných certifikátů s algoritmem SHA-1 do 31. 12. 2009. Od 1. 1. 2010 budou tito poskytovatelé vydávat kvalifikované certifikáty podporující některý z algoritmů SHA-2. Zároveň je od uvedeného data stanovena minimální přípustná délka kryptografického klíče pro algoritmus RSA na 2048 bitů. http://www.mvcr.cz/clanek/zmena-v-kryptografickych-algoritmech-ktere-jsou-pouzivany-pro-vytvareni-elektronickeho-podpisu.aspx
Děkuji za pozornost ! Pavel Vondruška Senior specialista pro PKI a certifikační služby Telefónica O2 Czech Republic, a.s. E-zin Crypto-World http://crypto-world.info/