Колізії існують для більшості хеш-функцій, але для найкращих з них кількість колізій близько до теоретичного мінімуму. Наприклад, за десять років з моменту винаходу SHA-1 не було відомо ні про одному практичному способі генерації колізій. Тепер такий є. Сьогодні перший алгоритм генерації колізій для SHA-1 представили співробітники компанії Google і Центру математики та інформатики в Амстердамі.

Ось доказ: два документа PDF з різним вмістом, але однаковими цифровими підписами SHA-1.


Читати далі →

Дайте мені точку опори або безпечний Інтернет — це реальність

Основна проблема доступу до інформаційних ресурсів мережі Інтернет полягає в тому, що точка підключення до неї стає частиною цієї мережі і, як наслідок, стає загальнодоступною, взаємодіє з нею за загальноприйнятими мережевим протоколам і по цим протоколам взаємодіє з захищається мережею. Ніякими методами тестування неможливо довести відсутність помилок в програмному забезпеченні (постулат Дейкстри). Маючи необмежений час доступу до точки підключення до мережі Інтернет, зловмисник може, використовуючи стандартні мережеві протоколи, стандартне програмне забезпечення і знайдені в ньому помилки або помилки в його налаштуваннях здійснити несанкціонований доступ через точку підключення внутрішньо корпоративної мережі з усіма витікаючими наслідками.

Читати далі →

Суверенний інтернет. Чому його не буде в 2017 році

Останнім часом все частіше пробігають новини про «суверенний інтернет», «відключення інтернету» та інші жахи. Проте, станом на початок 2017 року, відключити російський сегмент від решти мережі і залишити його працездатним представляється малоймовірним.

Давайте спробуємо розглянути детально.

Читати далі →

«Ультимативний» SSL-дайджест: Кращі практичні матеріали на Хабре і не тільки

Ми 1cloud надаємо послуги оренди віртуальної інфраструктури і зовсім недавно почали постачати SSL-сертифікати від Сomodo, Geotrust, Rapidssl, Symantec і Thawte. Додавання такий можливості спонукало нас до швидкого аналізу публікацій, які зачіпали ті чи інші аспекти роботи з SSL і виходили на Хабре за останні пару років.

Ми виявили значний обсяг переказних матеріалів і постів в корпоративних блогах, але і без інструкцій не обійшлося. Саме на практичній складовій ми і вирішили зробити ставку в нашій збірці з корисних матеріалів.


Читати далі →

Тепер ваш HTTPS буде прослуховуватися, а сертифікат для MitM ви повинні поставити самі



Поки не Росія. Але вже Казахстан. Як писав ValdikSS у своєму пості Казахстан впроваджує свій CA для прослуховування всього TLS-трафіку:
Державний провайдер Казахтелеком, у зв'язку з нововведеннями закону Республіки Казахстан «Про зв'язок», має намір з 1 січня 2016 року прослуховувати весь зашифрований TLS-трафік, підміняючи сертифікати сайтів національним сертифікатом безпеки, випущеними Комітетом зв'язку, інформатизації та інформації Міністерства з інвестицій та розвитку Республіки Казахстан.
Що нового сталося з тих пір? І Beeline Telecom.kz (основний провайдер-монополіст) викотили оновлені інструкції з встановлення державного сертифікату, який дозволить здійснювати атаку man-in-the-middle із заміною сертифіката. Посилання на державний сертифікат.

Читати далі →

let's encrypt: старт публічної бети з 5 грудня

image
На сайті let's encrypt з'явилася новина про те, що доступ до публічного бета-тестування буде відкритий 5 грудня 2015 року. Для реєстрації більше не буде потрібен invite код.

«З моменту запуску закритої бети 12 вересня було видано понад 11000 сертифікатів і стало зрозуміло, що система готова до публічного тестування», — повідомляється в новини.


Читати далі →

Огляд Certificate Transparency


Принцип роботи протоколу SSL/TLS заснований на криптографії з відкритим ключем. Одна або обидві сторони взаємодії володіють сертифікатами та відповідними закритими ключами. Це дозволяє проводити аутентифікацію і шифрування трафіку.

Читати далі →

let's Encrypt оголосив про крос-сертифікації від IdenTrust


На сайті проекту let's Encrypt з'явилася інформація, що 19 жовтня 2015 засвідчувальні центри «let's Encrypt Authority X1» і «let's Encrypt Authority X2» отримали крос-підписи від IdenTrust. Тепер сертифікати випущені let's Encrypt стали довіреними для всіх основних браузерів. Перевірити це можна, зайшовши на сторінку, захищену першим сертифікатом let's Encrypt: helloworld.letsencrypt.org. Якщо ваш браузер не видає попередження, значить вважає сертифікат цього домену довіреною.

Читати далі →

Колізія для SHA-1 за 10 днів

image

На початку року я рекомендував оновити SSL/TLS сертифікати, мають підпис до алгоритму SHA-1. Тепер це стало не просто рекомендацією, а попередженням.

Недавні новини показали — оцінка того, що отримання колізії для SHA-1 буде цілком доступно для кримінального світу вже до 2018 року, виявилася оптимістичною. Марк Стівенс, П'єр Карпмэн і Томас Пейрин (сподіваюся вони пробачать мене за такий переклад їх імен) опублікували статью і пресс-релиз, в яких закликають якомога швидше відмовитися від SHA-1. Вони показують, що створення підробленої підпису, заснованої на SHA-1 зараз може коштувати близько 100$ тис., що цілком по кишені злочинного світу, а не 700$ тис., як розраховував на 2015 рік відомий криптограф Брюс Шнайер.

Читати далі →

Діагностика протоколів

Ця стаття про методи діагностики протоколів. Вона призначена для початківців адміністраторів, які бажають більше дізнатися про інструменти для швидкого тестування авторизації/відправлення/приймання поштових повідомлень як сервером, так і клієнтом. Але також може служити гарною пам'яткою відповідних команд і для більш досвідчених адміністраторів.

Матеріал розбитий наступним чином:

1. Введення
2. Приклади сесій
3. Перевірка авторизації на сервері(LOGIN, PLAIN, CRAM-MD5), Base64
4. Перевірка шифрування SSL/TLS
5. Аналіз поштового трафіку за допомогою tshark. Розшифровка SSL/TLS
6. Посилання на матеріали




Читати далі →