Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Autenticnost zahteva za digitalnim sertifikatom

[es] :: Security :: Kriptografija i enkripcija :: Autenticnost zahteva za digitalnim sertifikatom

[ Pregleda: 3760 | Odgovora: 8 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Ve$eli
Veselin Ilic

Član broj: 20439
Poruke: 238
*.adsl.beotel.net.



+1 Profil

icon Autenticnost zahteva za digitalnim sertifikatom19.06.2007. u 17:36 - pre 204 meseci
Kako se osigurava autenticnost osobe/uredjaja koji je poslao zahtev za sertifikatom ka CA putem Interneta?
Neko ce reci preko RSA dekripcije javnim kljucem posiljaoca. Ali, sta ako imamo situaciju da je neko uzeo moje podatke, upisao u formu, generisao par privatni-javni kljuc, digitalno potpisao poruku i poslao ka CA?
Nadam se da ste me razumeli.
 
Odgovor na temu

EArthquake

Član broj: 20684
Poruke: 884
91.150.121.*



+67 Profil

icon Re: Autenticnost zahteva za digitalnim sertifikatom19.06.2007. u 18:43 - pre 204 meseci
ako se nevaram , to i jeste najveci problem s public key enkripcijama ,
mogucnost da izgubis privatni kljuc, odnosno da ti ga neko ukrade


to nesmes da dozvolis , u tome i jeste fora
 
Odgovor na temu

markovm
Srbija

Član broj: 11886
Poruke: 207
*.ptt.yu.



+14 Profil

icon Re: Autenticnost zahteva za digitalnim sertifikatom19.06.2007. u 21:25 - pre 204 meseci
Privatni kljuc generise u opstem slucaju browser ili neki drugi crypto provider ako je prisutan na sistemu (smart kartica etc.) a CA potpisuje sertifikat. U slucaju da se koristi neka od naprednih tehnika "privatnog HSM-a" (smart card, usb container), privatni kljuc nikada ne napusta uredjaj, vec se sve operacije obavljaju na njemu.

Kod generisanja sertifikata osoba koja ga izdaja (potpisuje) tj. "vetor", kroz proceduru koja je definisana u CPS (certificate policy statement), vrsi identifikaciju zahteva. Ovo moze biti jednostavno provera navedene mail adrese i navedenog imena, ili komplikovanije sa licnim predstavljanjem prilaganjem nekog od dokumenata (npr. u okviru kompanije "propusnicom" za zaposlene i licnim prisustvom), vec zavisno od potrebe.

Kod javnih CA-ova, ovo se svodi na autenticnost mail adrese koju je "kandidat" poslao.

Pozdrav,
Milenko.
...jer tako smo u mogućnosti.
 
Odgovor na temu

Ve$eli
Veselin Ilic

Član broj: 20439
Poruke: 238
*.adsl-2.sezampro.yu.



+1 Profil

icon Re: Autenticnost zahteva za digitalnim sertifikatom20.06.2007. u 10:06 - pre 204 meseci
Nisam uopste mislio na kompromitovanje privatnog kljuca, mislim da me niste skroz razumeli. Da bi malo pojasnio u cemu je problem, pozvacu u pomoc dva stara drugara kriptografije:Bob i Alice.

Pretpostavimo da Alice zeli da primi digitalni sertifikat od Boba.
Bob nema jos uvek svoj digitalni sertifikat i zeli da ga nabavi.
Medjutim Charli ga preduhitrava i sastavlja formu u koje upisuje Bobove podatke i kreira privatni i javni kljuc pomocu bilo kog metoda koje ste pomenuli.
Sastavlja zahtev u oblik koji sam CA zahteva (PKCS #10) i salje takav zahtev mejlom.
CA izdaje Charliju sertifikat, naravno sa potpisom CA.
Charli se Alice predstavlja kao Bob.

Kako ce CA saznati da je zahtev od Charlija a ne od Boba? (Charlie moze takodje da sastavi fake podatke u zaglavlju mejla).
Kada se zahtev za sertifikatom fizicki donosi , onda CA moze pogledati licnu kartu, raznorazne papire i slicno i tu nema problema.
Ako se ovo svodi na autenticnost mejla koji je Charlie poslao, pored fake mejl zaglavlja, moze se desiti da je e-mail nalog kompromitovan?
 
Odgovor na temu

markovm
Srbija

Član broj: 11886
Poruke: 207
80.93.235.*



+14 Profil

icon Re: Autenticnost zahteva za digitalnim sertifikatom20.06.2007. u 15:56 - pre 204 meseci
Citat:
Ve$eli

Pretpostavimo da Alice zeli da primi digitalni sertifikat od Boba.
Bob nema jos uvek svoj digitalni sertifikat i zeli da ga nabavi.
Medjutim Charli ga preduhitrava i sastavlja formu u koje upisuje Bobove podatke i kreira privatni i javni kljuc pomocu bilo kog metoda koje ste pomenuli.
Sastavlja zahtev u oblik koji sam CA zahteva (PKCS #10) i salje takav zahtev mejlom.
CA izdaje Charliju sertifikat, naravno sa potpisom CA.
Charli se Alice predstavlja kao Bob.


Dobro pitanje.

Kako ja vidim stvari ( a imam dioptriju ;) kada Bob legitimno zahteva setrifikat (za npr. "secure email"), zahtevace ga popunjavanjem web forme kod CA. Izmedju ostalog navesce i email adresu na koju zeli da mu odgovor stigne. CA potpisuje javni kljuc, i navedene podatke, i salje mailom link gde se sertifikat moze skinuti. Sertifikat se moze skinuti samo na radnoj stanici (browseru) iz kog je zahtevan. Odgovor na tvoje pitanje je "DA" sve zavisi od bezbednosti email naloga. Ako je email nalog komprovmitovan, neko se moze predstavljati "tudjim" kredencijalima. Ovo je slucaj za javne ca-ove i personalne kljuceve.

Kod zahteva za SSL sertifikatom (serverskim) koliko sam na brzinu video, verisign na primer trazi i dodatne dokaze i proces vetovanja moze trajati i nekoliko dana.

Ako govorimo o privatnim CA (naprimer u okviru preduzeca), ili onome sto u evropi zovu "Kvalifikovanim" CA, izdavanje sertifikata je strozije definisano, i mora ukljuciti i proces "identifikacije" zahtevaoca (Licna karta, licno prisustvo i sl.).

Primer na srpskom jeziku je CEPP koji u svom dokumentu na http://www.cepp.co.yu/ca/dokum...PTT%20PKI%20CPS%20v1.0-pdf.zip u clanu 37 kaze da se lice mora identifikovati u registracionom telu vazecom licnom kartom. Upravo ovo razlikuje digitalni potpis i *kvalifikovani* digitalni potpis (prema zakonu o digitalnom potpisu http://www.rzii.sr.gov.yu/?Zakon o elektronskom potpisu.zip))

Poz,
Milenko.
...jer tako smo u mogućnosti.
 
Odgovor na temu

Ve$eli
Veselin Ilic

Član broj: 20439
Poruke: 238
*.adsl.beotel.net.



+1 Profil

icon Re: Autenticnost zahteva za digitalnim sertifikatom20.06.2007. u 18:44 - pre 204 meseci
Hm, malo smo blizi resenju :)

Citat:
kada Bob legitimno zahteva setrifikat (za npr. "secure email"), zahtevace ga popunjavanjem web forme kod CA.

Pretpostavimo da je Charlie stavio Bobove licne podatke u tu web formu, ali da je u tu web formu takodje stavio svoj javni kljuc.

Citat:
Izmedju ostalog navesce i email adresu na koju zeli da mu odgovor stigne.

E stigli smo do kljucnog pitanja. Kako CA zna da li je mejl adresa Bobova a ne Charlijeva?
 
Odgovor na temu

darmilius
Darko Milic
Novi Sad

Član broj: 149489
Poruke: 4
77.46.196.*

Sajt: www.zesium.com


Profil

icon Re: Autenticnost zahteva za digitalnim sertifikatom21.06.2007. u 17:44 - pre 204 meseci
Mislim da ovaj problem, za obicne smrtnike, jos uvek nema resenja i da zadire u filozofsko pitanje "ko sam ja?" :), i da se isto tako moze verno preslikati sa cyber na "normalnu" realnost. Ako imamo Boba i Charlie sa potpuno identicnim podacima koji se predstavljaju Alice koja ih pre toga nije poznavala, samo licna karta, pasos ili nesto slicno sto je izdalo trece lice, moze da razgranici identitet jednog od drugog. Sto se naravno oslanja na poverenju svih ucesnika u to trece lice. U ovom primeru to je recimo policija koja izdaje identifikacije. Medjutim i samo izdavanje identifikacija (sertifikovanje) od strane policije se svodi na poverenje prema informacijama koje opet izdaje neko cetvrti (recimo krstenica, izvod iz katastra, i sl.; naravno, tu su jos i biometricke razlike koje to poverenje produbljuju). Poenta pricice, ili bolje reci pitanje je "da li postoji centar identiteta (root CA) iz koga mogu da se izvedu svi identiteti ili je u pitanju mreza poverenja?" Sklon sam da poverujem da je u pitanju ovo drugo.

U cyber prostoru depersonizacija je na neki nacin potpuna i svodi se na nule i jedinice. I dok je sertifikacija uredjaja (vezivanjem za IP ili MAC adresu, phone IMEI, recimo) i virtualnih imena (URI, tj, email, SIP i sl.adresa ) moguca, jer su deo cyber prostora, dotle nam niko ne garantuje da osobe koje ih zaista koriste su Bob, a ne Charlie. Osim ako nekim drugim kanalom nismo potvrdili njihov identite i vezali ga bas za taj sertifikat. Recimo, Alice je nakon cyber komunikacije, odnosno autentikacije pozvala Boba telefonom i Bob se iznenadio jer ne da nije bio na netu vec je uzivao u spokojstvu pecanja. Zakljucak, Charlie je umesao svoje prste.

Ono sto je Ve$eli opisao predstavlja na neki nacin apsolutnu prevaru :) Charlie ima sve isto sto i Bob, pa onda on jeste Bob :).
Pozdrav,
 
Odgovor na temu

Ve$eli
Veselin Ilic

Član broj: 20439
Poruke: 238
*.adsl.beotel.net.



+1 Profil

icon Re: Autenticnost zahteva za digitalnim sertifikatom21.06.2007. u 18:18 - pre 204 meseci
Mislim da mi je sada sve jasno :)
I meni je palo napamet da bi problem jedino bio resiv kroz mrezu poverenja.U medjuvremenu mi je i palo na pamet nacin na koji mejl adrese mogu biti autentifikovane kroz mrezu poverenja ili van nje u zavisnosti da li je to worldwide ili lokalni CA.

Hvala svima na trudu i pozdrav,
Veselin


 
Odgovor na temu

Dragan Dragan
Beograd

Član broj: 66819
Poruke: 26



Profil

icon Re: Autenticnost zahteva za digitalnim sertifikatom20.08.2007. u 15:12 - pre 202 meseci
Tema je izuzetno zanimljiva, a dosta odgovora se moze naci na:

http://www.cepp.co.yu/ca/postupak_izdavanja.asp

Pozdrav
 
Odgovor na temu

[es] :: Security :: Kriptografija i enkripcija :: Autenticnost zahteva za digitalnim sertifikatom

[ Pregleda: 3760 | Odgovora: 8 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.