witam
Chciałem się dowiedzieć, czy jest jakaś możliwość, aby odczytać hasła z przechwyconego przez sniffer certyfikatu należącego do innej osoby? Lub czy można go zainstalować, aby później to hasło poznać. Dzięki za odpowiedzi.
witam
Chciałem się dowiedzieć, czy jest jakaś możliwość, aby odczytać hasła z przechwyconego przez sniffer certyfikatu należącego do innej osoby? Lub czy można go zainstalować, aby później to hasło poznać. Dzięki za odpowiedzi.
certyfikatu jakiego?! jak zadasz dobre pytanie to moze dostaniesz odpowiedz - wrozek tutaj nie ma i nie bedziemy zgadywac o co Ci chodzi
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
Certfyikatu ssl przechwyconego przez sniffer, którego to osoba użyła do logowania się na strony szyfrowane.
Certyfikat nie ma hasel. Gdyby byla taka mozliwosc, to SSLem moglbys sobie dupe podetrzec.
Certyfikat ma tylko klucz publiczny (ktory sluzy do szyfrowania lub deszyfrowania, zaleznie od opcji x509).
Klucz publiczny w certyfikacie ktory otrzymujesz od serwera sluzy tylko temu bys mogl wyslac mu tajne dane (w zalozeniu wymienic klucz, aczkolwiek klucz nie jest do tego potrzebny). Weryfikujesz certyfikat servera porownujac DN z hostem, oraz deszyfrujesz jego podpis kluczem z certyfikatu weryfikacyjnego (rozni sie od 'zwyklego' tyklko opcja PublicKeyUsage). Jak cert sie zgadza, jest wazne i nie odwolany, mozesz uznac ze serwer jest tym za kogo sie podaje i wysylasz mu jakeis dane i tylko on bedzie mogl je poznac (w uproszczeniu, tak naprawde wysylasz mu porcje DH i uzgadniasz klucz). Calosc opiera sie na tym, ze CA podpisal certyfikat wiazacy DN z kluczem. Ufasz CA - wiesz ze tylko Twj BANK internetowy - kredyty - lokaty - konta - poyczki odczyta co mu wyslales (albo w tym przypadku nikt inny nie spoofnie czesci DH).
To nie prawda... Certyfikat moze miec hasla ale nie sa one przesylane przez siec, wiec sniffing nic nie daje.
Niestety autor nadal nie okreslil dokladnie czego chce sie dowiedziec... pytanie jest o haslo do certyfikatu serwera czy certyfikatu klienta (klient przedstawia sie serwerowi swoim certyfikatem) czy tez moze o 'haslo' (klucz szyfrujacy) ktore jest wynikiem negocjacji TLS?
Podstawa to zadac dobre pytanie
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
Ze co? Ok czegos tu chyba nie rozumiem. Certyfikat jesli cos zawiera, to to cos jest jego czescia. I musi zostac wyslane, jest publiczne. Inaczej podpis by sie nie zgadzal. Certyfikat (x509) zawiewra tylko klucz publiczny.Certyfikat moze miec hasla
Jakie haslo, tam nie na nawet idei hasla, a co dopiero czegos co moglo by grac taka role.
Certyfikat moze byc zabezpieczony haslem... tak samo jak klucz prywatny w gpg na przyklad.
Takie haslo sluzy jedynie do odblokowania certyfikatu w momencie startu serwera... a jesli to certyfikat klienta (serwer moze wymagac aby klient przedstawil sie odpowiednim certyfikatem) to klient moze byc zmuszony podac haslo do swojego certyfikatu zanim bedzie mogl go uzyc.
Te hasla nie sa przesylane przez siec - to dodatkowe zabezpieczenie samego certyfikatu przed jego niepowolanym uzyciem.
Przyklad - software ktory napisalem w firmie korzysta z API wystawionego przez SSL. Nie dosc ze musze sie laczyc z okreslonego IP to dodatkowo serwer wymaga abym nawiazal sesje TLS/SSL i przedstawil sie odpowiednim certyfikatem, podpisanym przez to samo CA co certyfikat serwera. Wtedy dopiero serwer obslugujacy to API mnie wpusci... a na podastawie zawartosci mojego certyfikatu bedzie wiedzial kim jestem wiec nie musze sie juz wiecej autoryzowac do API
Teraz caly bajer - klucz SSL ktory dostalem od tamtej firmy jest zabezpieczony haslem... za kazdym razem jak chce go uzyc musze podac haslo (albo przepuscic przez openssl z odpowiednimi parametrami i usunac haslo z certyfikatu). Jesli ktos nawet wykradnie certyfikat to nadal jest kwestia hasla aby go uzyc
GET, chyba wget tez i CURL z tego co pamietam potrafia tez uzywac tych certyfikatow - trzeba tylko ustawic dwie zmienne srodowiskowe, jedna to lokalizacja certyfikatu a druga to jego haslo (jesli potrzeba)... sorry ale nie pamietam tych zmiennych, mam na laptopie firmowym - podrzuce jutro, razem z kawalkiem kodu perlowego co tego uzywa
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
Czyli jak to wyglada, certyfikat jest zaszyfrowany, a podajac haslo go poprostu odszyfrowujesz?
To przeciez nie ma nic do SSL, to tlyko jak ty zarzadzasz swoimi danymi... I nie widze sensu szyfrowac samego certyfikatu (moze bys to wyjasnil).
Przeciez certyfikat ma opcje ktora mowi do czego mozna go uzyc. A dokladniej do czego mozna uzyc klucza prywatnego.to dodatkowe zabezpieczenie samego certyfikatu przed jego niepowolanym uzyciem.
Np nie uzyjesz klucza prywatnego sluzocego do podpisywania kodu podczas polaczenia z serwerem, albo nie uzyjesz jakiegokolwiek klucza do podpisywania danych, do szyfrowania 'losowych' danych od serwera. Jak jakis program sie nie zastosuje do tej opcji, to rownie dobrze moze ci skasowac dysk twardy - wina programu a nie protokolu i nie mozna z tym nic zrobic.
No i jak ktos 'wykradnie' certyfikat to przeciez uzycie nie polega na dolaczeniu go do danych, tylko na podpisaniu jego + danych kluczem prywatnym. A klucza prywatnego sie pilnuje. Jakby taki thawte stracil klucz prywatny to google lezy.
TQM wyraźnie napisał, że nie szyfrujesz certa passem tylko go zabezpieczasz przed użyciem.
To tyle mniej więcej co podanie hasła do sezamu: znasz pass, otworzysz sezam, pobierzesz zaszyfrowany cert z półeczki i go sobie użyjesz
To Ty drążyłeś temat falg ACK w TCP?
Ostatnio edytowane przez markossx : 02-02-2011 - 10:13
***********
* markossx *
***********
Ja mowie o przypadku kiedy na przyklad generujesz CSR dla swojego serwera WWW, dajego go do thawte lub podobnego CA aby podpisali go, placisz, masz pelen certyfikat SSL ktory jest rozpoznawany i uznawany na calym swiecie... teraz wpinasz ten certyfikat do serwera WWW, serwer odpala i jesli cert jest zabezpieczony haslem to serwer pyta Cie o haslo.
Po co to? To proste... niech ktos wbije do serwera WWW i wykradnie Twoj cert SSL - wtedy nic nie stoi na przeszkodzie aby go uzyl i uruchomil 'kopie' Twojej strony. To phishing doskonaly - ba, nawet ma oryginalny certyfikat... i powiedz mi jak teraz ktokolwiek moze sprawdzic czy wszedl na prawdziwa strone czy nie?
Teraz masz drugiego admina ktory na certyfikacie ma haslo i nie odpali serwera WWW z SSL'em jesli nie poda hasla do certyfikatu. Wykradasz certyfikat, fanie... ale nadal musisz miec haslo aby go uzyc - to jest dodatkowe zabezpieczenie... i to haslo nie jest przesylane nigdzie, wiec wracajac do watku, nie da sie go podsluchac sniffujac ruch sieciowy.
Na zakonczenie - identycznie ma sie sprawa z certyfikatami klientow, dokladnie te same zasady.
Ostatnio edytowane przez TQM : 02-02-2011 - 10:33
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)