Πώς ελέγχουμε το αποτύπωμα (fingerprint) ενός ψηφιακού πιστοποιητικού

από JollyRoger 24/05/2012 9:56 μμ.

Πώς ελέγχουμε το αποτύπωμα(fingerprint) ενός ψηφιακού πιστοποιητικού

Οι σελίδες που επισκεπτόμαστε με https έχουν ένα ψηφιακό πιστοποιητικό το οποίο είναι απαραίτητο για την κρυπτογράφηση των δεδομένων που ανταλλάσσει ο χρήστης με τον server.

Κάθε πιστοποιητικό έχει ένα μοναδικό αποτύπωμα (fingerprint) το οποίο μπορούμε να ελέγξουμε και να το συγκρίνουμε με αυτό για το οποίο μας ενημερώνουν ο διαχειριστές της ιστοσελίδας.

Σε Mozilla Firefox, γίνεται ως εξής :

1) κάνουμε κλικ στο κουμπάκι που υπάρχει ακριβώς αριστέρα από το https:// στην μπάρα διευθύνσεων

2)Πατάμε το κουμπί "Περισσότερα για αυτή την ιστοσελίδα"

3) Πατάμε προβολή πιστοποιητικού. Στο κάτω μέρος βλέπουμε τα αποτυπώματα (fingerprints). Συνήθως εξετάζουμε το αποτύπωμα SHA1.

από JollyRoger 24/05/2012 10:54 μμ.


*** καταργήθηκε***

το νέο πιστοποιητικό για το athens.indymedia.org έχει τα εξής χαρακτηριστικά :

έχει εκδοθεί από την COMODO
ημερομηνία έκδοσης    23/5/2012
ημερομηνία λήξης       24/5/2017

αποτύπωμα SHA1 : 15:6A:01:FA:BB:96:FC:D1:55:23:CD:D0:8D:B4:58:0B:BC:0D:00:B5

*** καταργήθηκε***

από ςςς 25/05/2012 1:05 μμ.


με όποιο λειτουργικό κι αν χρησιμοποιούμε? και στο ubuntu?

.

από .. 25/05/2012 3:35 μμ.


ναι αυτό ισχύει για τον firefox ανεξαρτήτως λειτουργικού

από - 25/05/2012 7:23 μμ.


Ένα πολύ χρήσιμο σχετικό πρόσθετο για τον Mozilla Firefox είναι το HTTPS Everywhere.

από *** 25/05/2012 10:43 μμ.


Αριστερά από το url (athens.indymedia.org) υπάρχει ενα κίτρινο πλαίσιο που έχει ενα λουκετάκι και δίπλα γράφει  Secure

Κλικάροντας εκεί και πατώντας Details... μας εμφανίζεται ένα νέο παράθυρο με τίτλο Security Information for athens.indymedia.org

Εκεί επιλέγουμε το 3ο tab που γράφει Certificate

Στο Server certificate chain κάνουμε κλικ το συν (+) αριστερά από το athens.indymedia.org και επιλέγουμε Fingerprint (SHA-1), στο κάτω μέρος θα πρέπει να εμφανίσει 15 6A 01 FA BB 96 FC D1 55 23 CD D0 8D B4 58 0B BC 0D 00 B5

από να καταλαβουμε 25/05/2012 11:50 μμ.


και οι ασχετοι. καθε φορα δλδ που μπαινουμε στο indy, να ελεγχουμε το αποτυπωμα? υπαρχη περιπτωση να ειναι διαφορετικο απο αυτο που βαλατε εσεις? κι αν ναι τι σημαινει αυτο?


...τότε κάποιος κακόβουλος σου παρουσιάζει ένα αντίγραφο του athens indymedia που τρέχει σε δικό του server. Ώστε να βάλει χέρι στα προσωπικά σου δεδομένα, κατά τη χρήση του από σένα (αν π.χ. πας να κάνεις κάποια δημοσίευση, στην πραγματικότητα θα γίνει στο δικό του server, όχι στο πραγματικό athens indymedia, οπότε βλέπει τα στοιχεία σου).

Δεδομένου ότι κάποιοι κακόβουλοι σε αυτό τον πλανήτη είναι σε θέση να σερβίρουν τέτοια αντίγραφα όχι απλά σε ένα χρήστη αλλά μαζικά μέσω των παρόχων (π.χ. μια κρατική υπηρεσία μπορεί να σερβίρει ένα πλαστό site σε όλους τους πελάτες των παρόχων μιας χώρας), το ζήτημα είναι πολύ σοβαρό.

 

https://en.wikipedia.org/wiki/Man-in-the-middle_attack

http://it.toolbox.com/wiki/index.php/Man-in-the-Middle_Attack

http://www.windowsecurity.com/articles/Understanding-Man-in-the-Middle-Attacks-ARP-Part4.html

http://www.monkey.org/~dugsong/dsniff/

http://it.toolbox.com/wiki/index.php/Man-in-the-Middle_Attack

http://www.educatedguesswork.org/2011/09/security_impact_of_the_rizzodu.html

http://resources.infosecinstitute.com/mitm-using-sslstrip/

 


ένα άλλο χρήσιμο addon για firefox - Certificate Patrol. Ενίοτε μπορεί να γίνει εκνευριστικό ή παρανοϊκό, αλλά για να έχεις το κεφάλι σου ήσυχο...

από κρυπτογραφάκιας 31/05/2012 3:11 μμ.


Αρχικά να ενημερώσουμε λίγο τους απλούς χρήστες πως μπορεί να γίνει η πιο διαδεμένη επιθεση , η man in the middle . Καλό είναι κάποια τεχνικά πράγματα να τα κατανοούν οι χρήστες για να ξέρουν τι παίζει . Το χακάρισμα μια σελίδας και η παρακολούθιση των χρηστών είναι διαδικασίες που είναι πολύ απλές στη λογική αλλά πολύ σύνθετες συνήθως στην υλοποίηση . Πρέπει όλοι να ξέρουμε 5 βασικά πράγματα για να καταλαβαίνουμε τι παίζει και να μην υποκύπτουμε στον τρόμο που προκαλείται από την αμάθεια , αλλά και να μην έχουμε αυταπάτες σχετικά με το τι γίνεται στο ιντερνετ ...

Λοιπόν με απλά λόγια, εχουμε τον χρήστη (Α) και τον server (Β) , το μηχάνημα στο οποίο βρίσκεται το site και τα δεδομένα του . Ο (Α) στέλνει ένα αίτημα επικοινωνίας στο (Β) (για να μπει στο site) , και ανταλάσουν καποια κλειδιά (κάποια "passwords" για να γίνει πιο κατανοητό αν και δεν είναι ακριβώς έτσι) τα οποία κρυπτογραφούν τα δεδομένα που στέλνει ο ένας στον άλλο για να γίνεται σχεδόν ανέφεικτη η παρακολούθηση . Αν όλα πάνε καλά , έστω ότι γράφει ο (Α) ένα μήνυμα στο φόρουμ που λέει "Γεια σας παιδιά τι κάνετε ?" , αυτό που θα στήλει στον (Β) θα είναι ":ΔΩΔΕΡΩΕΡΓΤΡΗΣΩΨΣΣΕΦΣΣ" πχ οπότε δεν θα μπορεί κανένας τρίτος να καταλάβει τι λέει , εκτός από αυτόν που ξέρει το password . Αν τώρα εμφανιστεί ενδιάμεσα ένας τρίτος , ο (Γ) και κάνει το εξής : Οταν ο (Α) κάνει έτημα στον (Β) , (Γ) υποδίεται στον (Α) ότι είναι ο (Β) και στον (Β) ότι είναι ο (Α) και στέλνει δικά του κλειδιά στους (Α) και (Β) . Οπότε ο (Α) μιλάει στον (Γ) (και νομίζει ότι είναι ο (Β) και αντίστροφα . Οταν ο (Α) στήλει ένα ποστ στο φόρουμ αυτό θα κριπτογραφιθεί με το κλειδί του (Γ) , ο (Γ) θα το αποκρυπτογρταφίσει , θα διαβάσει τι λέει το μήνυμα και μετά συνήθως για να μην υπάρξουν και παρεξηγίσεις και τον πάρουν χαμπάρι , θα το στήλει στον (Β) για να δημοσιευθεί . Οπότε έτσι μπορεί να ξέρει ότι ο τάδε χρήστης , την τάδε ώρα , είπε τα τάδε πράγματα . Αυτό είναι μέσες άκρες . 

 

 Βλέπω στις λεπτομέριες σχετικά με το πιστοποιητικό ασφάλειας του indy ότι δουλεύει με συμετρικό αλγόριθμο τον AES-256 και το hash fingerprint παράγεται με τον SHA-1 και MD5 . Ο AES-256 είναι τούμπανος όμως oι SHA-1 και  MD5 θεωρούνται ξεπερασμένοι , είναι ευάλωτοι σε επιθέσεις (όπως lenght extension attack) και πέφτουν σε πολλά collisions λόγω του σχετικά μικρού παραγώμενου digest . Με απλά λόγια τι σημαίνει αυτο ? Το fingerprint της σελίδας που πρέπει να είναι ΜΟΝΑΔΙΚΟ για να είμαστε σίγουροι ότι έχουμε συνδεθεί στη πραγματική σελίδα και επικοινωνούμε έχοντας δημιουργήσει ένα πραγματικά ασφαλές κανάλι , ενδέχεται να μπορεί να δημιουργηθεί και για μια κακόβουλη σελίδα .

Συγκεκριμένα , το NIST (National Institute of Standarts and Technology) που είναι αυτό που καθορίζει τα πρώτυπα ασφάλειας και κρίνει ποιός αλγόριθμος είναι ασφαλής κτλ . Εχει ανακοινώσει από το 2005 ότι μέχρι το 2010 θα έχει αποσύρει την εγκριση του SHA-1 και θα πρέπει να καθιερωθεί η χρήση των νέων εκδόσεων , του SHA-2 δηλαδή που παίζει στα 256/384/512 bits σε αντίθεση με τα 160 του SHA-1 .

Ο MD5 τώρα θεωρείται σουρωτήρι και εντελώς ξεπερασμένος αλγόριθμος , Παράγει 128 digest και πέφτει σε απανωτά collistions , δηλαδή είναι εύκολο να παράξεις πληροφορία με το επιθυμιτό fingerprint . 

Γενικά για να έχουμε πλήρως ασφαλή επικοινωνία θέλουμε ένα fingerprint ΤΟΥΛΑΧΙΣΤΟΝ 256 bits ...

Τώρα για να πω την αλήθεια , δεν ξέρω αν θεωρείται ότι η ασφάλεια της σύνδεσης είναι ικανοποιητική με τη χρήση και των 2 αλγορίθμων , αλλά προσωπικά μου φαίνεται (όχι επικύνδινο ντε και καλά ) αλλά προβληματικό . Οι ειδικοί επί του θέματος θεωρούν ότι αυτοί οι αλγόριθμοι είναι εφικτό να σπάσουν σε λογικά χρονικά πλαίσια .

Τέλος αν γίνεται κάποιος από αυτούς που τρέχουν το τεχνικό κομμάτι του site να ενημερώσει τι επιθέσεις έπαιξαν και ανάγκασαν στην αλλαγή του πρωτοκόλου . Συγγνώμη αν κούρασα !


δεν πρέπει και οι browsers να υποστηρίζουν SHA-256 fingerprint ?

Μόνο τον Chromium σε Linux βλέπω να το υποστηρίζει και Opera σε Windows. Firefox όχι, Chrome όχι, Internet Explorer όχι.

από Nestoras 19/08/2012 6:57 μμ.


Apla dokimazo pos epikoinono me esas

από IT 06/12/2012 2:33 μμ.


Παιδιά,

ο SHA1 έχει παλιώσει για τα καλά και "σπάει" σχετικά εύκολα στις μέρες μας.

Δείτε και άρθρο εδώ χθεσινό (5/12/2012):

http://arstechnica.com/security/2012/12/oh-great-new-attack-makes-some-password-cracking-faster-easier-than-ever/

Με μια κάρτα 7970 δοκιμάζεις πάνω από 8 δις συνδυασμούς/ sec σε SHA1.

Υπάρχει και ένα "τέρας" στο πιο κάτω link που σπάει 63 δις συνδυασμούς/ sec σε SHA1.

http://www.geeks3d.com/20121206/a-25-gpu-monster-cracks-passwords-in-opencl/

Νομίζω χρειάζεται αναβάθμιση το certificate με άλλο αλγόριθμο κρυπτογράφησης.

.

από cryptoman 06/12/2012 11:18 μμ.


Δεν είναι τόσο απλό το θέμα. Για την ώρα οι μόνοι browsers που υποστηρίζουν sha-2 είναι ο internet explorer και ο opera, και αυτοί απ'οσο ξέρω δεν το έχουν ενεργοποιημένο (το TLS 1.2) εξ ορισμού.

Για να εξηγηθώ.  Το SHA-2 υποστηρίζεται στην έκδοση 1.2 του TLS. Η βιβλιοθήκη NSS (Network Security Services) που χρησιμοποιεί και ο Firefox και ο Chrome δεν υποστηρίζουν ακόμα το TLS 1.2, αν και υπάρχει σχετικό bug στο bugzilla εδώ και 3 χρόνια. 

Επίσης, τα Windows XP μέχρι το service pack 2 δεν υποστηρίζουν sha-2 . Το service pack 3 υποστηρίζει, αλλά δεν γνωρίζω πόσο καλή είναι η υλοποίηση.

Γενικά υπάρχει πρόβλημα, τον τελευταίο καιρό γίνονται σημαντικά βήματα, αλλά λύση δεν φαίνεται να υπάρχει για την ώρα.

Το σχετικό bug για το NSS:

https://bugzilla.mozilla.org/show_bug.cgi?id=480514


Γιατί από τότε που άλλαξε η πιστοποίηση του ίντι

αυτά σταματησαν να λειτουργούν σε πολλά μπλογκς...

Λ.χ Στους σχολιαστές χωρίς σύνορα που έχουν RSS FEED για το ίντι, έβλεπες εκεί τις 20 τελευταίες ειδήσεις έχοντας απλά ενεγοποιηθεί εσωτερικά στο μπλογκ αυτό εδώ:

  http://athens.indymedia.org/newswire.rss

Τωρα όμως και από τότε που άλλαξε η πιστοποιηση βγάζει αυτό εδώ:

 

 Νέα και πρόσφατες δημοσιεύσεις από ιντιμίντια
  • Παρουσιάστηκε σφάλμα. Το κανάλι ίσως είναι εκτός λειτουργίας. Δοκιμάστε αργότερα. 
  • ΞΕΡΕΙ ΚΑΝΕΙΣ ΝΑ ΔΙΑΦΩΤΙΣΕΙ; ΕΙΝΑΙ ΣΗΜΑΝΤΙΚΗ Η ΔΥΝΑΤΟΤΗΤΑ ΓΙΑ ΑΛΛΑ ΜΠΛΟΓΚΣ ΝΑ ΜΠΟΡΟΥΝ ΝΑ ΠΡΟΒΑΛΟΥΝ ΑΠΕΥΘΕΙΑΣ ΤΙΣ ΤΕΛΕΥΤΑΙΕΣ ΔΗΜΟΣΙΕΥΣΕΙΣ ΤΟΥ ΙΝΤΙ! Αυτό πολλαπλασιάζει την ίδια την εμβέλεια του ιντιμίντια.Κρίμα θα ήταν να έχει χαθεί σαν δυνατότητα...

 

από Ασχετη 30/12/2012 2:06 πμ.


Αν μπαίνει κανείς απο το κινητό του παίζει τίποτα διαφορετικό; Και γενικά ήθελα να το ρωτήσω, ειναι αρκετά επίφοβο να επισκέπτεται κανεις το site απο κινητό;

από Βελουχιώτης 30/12/2012 3:22 μμ.


Αν γνωρίζει κάποιος τι παίζει με το Safari ας στείλει γιατι πίανω την ουσία, αλλα τα μισά καταλαβαίνω απο όλα αυτα και μόνος μου είναι λίγο δύσκολο να το επιχειρήσω...


Κάνε μια δοκιμή να το εγκαταστήσεις. Δε χάνεις το Safari, πάντα μπορείς να το χρησιμοποιήσεις αν δε σου κάνει το Firefox.

http://www.mozilla.org

από Πιστοποιημένος 02/01/2013 1:46 πμ.


Και συγκεκριμένα, έχει SHA-1 66 31 BF 9E F7 4F 9E B6 C9 D5 A6 0C BA 6A BE D1 F7 BD EF 7B. Έχω opera. Μπορώ να μάθω τι πρέπει να κάνω για να χρησιμοποιώ αυτό που πρέπει;

Προσθέστε περισσότερες πληροφορίες

Τίτλος:

Δημιουργός:

Creative Commons License

Όλα τα περιεχόμενα αυτού του δικτυακού τόπου είναι ελεύθερα προς αντιγραφή, διανομή, προβολή και μεταποίηση, αρκεί να συνεχίσουν να διατίθενται, αυτά και τα παράγωγα έργα που πιθανώς προκύψουν, εξίσου ελεύθερα, υπό τους όρους της άδειας χρήσης Creative Commons Attribution-ShareAlike 4.0 International License