Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Klucze główne i luki

Stefano Ortolani
Dodany 25 lipca 2013, 08:58 CEST

W ostatnich tygodniach dużo uwagi poświęcano doniesieniom o ujawnieniu kluczy głównych  lub chińskich kluczy głównych (oba incydenty zaliczane są do krytycznych luk w platformie Android). Chociaż sprawa w końcu nieco ucichła, nadal czekamy na ostateczną odsłonę w Las Vegas na konferencji Black Hat w Stanach Zjednoczonych, podczas której Jeff Forristal (naukowiec, który wykrył jedną z wymienionych wyżej luk) wyjaśni wszystkie istotne szczegóły (nigdy nie wiadomo, czy nie będzie jakiejś niespodzianki). Niezależnie od tego, mamy wystarczająco dużo informacji, aby dokonać oceny wpływu tej luki na bezpieczeństwo.   

Po pierwsze, termin „klucz główny” jest nieco mylący; luka ta w rzeczywistości nie ma związku z szyfrowaniem, ale dotyczy ukrywania wewnątrz aplikacji dla Androida (plik apk) dwóch wersji tego samego zasobu w celu częściowego obejścia niektórych metod kontroli integralności. Jednak wpływ luki...


Ufaj, ale weryfikuj: kiedy zawodzą urzędy certyfikacji

Stefano Ortolani
Dodany 28 lutego 2013, 09:52 CET
Tagi:

Obserwowaliśmy niedawno kolejny przypadek utraty kontroli nad certyfikatami dotyczący jednego z dużych urzędów certyfikacji (CA). Znowu oczekiwaliśmy, że albo urząd certyfikacji, albo deweloperzy przeglądarek internetowych coś z tym zrobią. Cały bałagan po raz kolejny wyniknął zarówno z kiepskiego zarządzania, jak i niebagatelnego problemu technicznego. Po pierwsze, tylko ten sam urząd certyfikacji, który wystawił certyfikat, może go później cofnąć. Po drugie – chociaż przeglądarki internetowe posiadają zaimplementowane mechanizmy do sprawdzania stanu odwołania certyfikatu, błędy w procedurze są rzadko traktowane jako poważne awarie.

 

 

CRL
Odnośnik kierujący do listy odwołanych certyfikatów CRL (ang. Certificate Revocation List).

Spośród tych metod, pierwsza (i najstarsza) technika obejmuje utworzenie przez urząd certyfikacji tzw. listy odwołanych certyfikatów (CRL). To wymaga, aby użytkownik sondował...