[HWSW]

Két-három év alatt teljesen eltüntetné a piacról az SHA-1-es tanúsítványokat a Google - jelentette be a Chrome fejlesztõi listáján a vállalat képviselõje. A döntés már hosszú ideje megszületett, a tanúsítvány-kibocsátók húzódozása miatt azonban immár nyilvánosan is bejelentette a szándékát a cég, a kivezetéshez pedig gyors ütemtervet is mellékelt.
https://www.hwsw.hu/hirek/52825/google-tanusitvany-sha-1-chrome-bongeszo-https-web-biztonsag.html

[Euro Glass]

"...a Microsoft több olyan kiskaput is hagyott..."

Igen. idõközben már megtudtunk mindent , bizonyos Edward Snowdentõl, ezekrõl a bizonyos KISkapucskákról...

[galffy]

@Euro Glass: pontosítok, nem kiskapu, hanem "room for alteration", mozgástér. Javítom.

[A Herceg]

@Euro Glass: Magyarországon még könyvkiadót is mûködtetnek és nem is titkolják.
http://www.kiskapu.hu/

[nhw]

@A Herceg:

['Geri']

hát, attól függ. jelszavakhoz amúgysem valami biztonságos, és amúgy az SHA256 sem az. a salt persze segít benne, hogy legalább egyesével kelljen feltörögetni a jelszavakat, de egy kisbetűs, csak latin betűket tartalmazó, jeleket nem tartalmazó, speciális karakterkészleteket nem tartalmazó egyszerű 7 karakteres jelszó az végülis 1-2 perc alatt megvan ígyis-úgyis.

Szerkesztette: 'Geri' 2014. 09. 08. 13:19 -kor

[Euro Glass]

Idézet: 'Geri' - Dátum: 2014. 09. 08. 14:18

hát, attól függ. jelszavakhoz amúgysem valami biztonságos, és amúgy az SHA256 sem az. a salt persze segít benne, hogy legalább egyesével kelljen feltörögetni a jelszavakat, de egy kisbetűs, csak latin betűket tartalmazó, jeleket nem tartalmazó, speciális karakterkészleteket nem tartalmazó egyszerű 7 karakteres jelszó az végülis 1-2 perc alatt megvan ígyis-úgyis.

@'Geri': windows visztától felfelé (7-nél 8-nál pl.) ezt már sikerült 14 karakterre "csökkenteni" úgy , hogy a szivárványtáblákkal a 14 karakteres, az általad felsorolt kritériumokkal rendelkező jelszó IS feltörhető, kb. ugyanennyi idő alatt.

['Geri']

a szövegből történő titkosítókulcs generáláshoz semmi köze az oprendszer sérülékenységeihez alapvetően. a szövegből generált titkosítókulcs mindig ugyanaz kell, hogy legyen. amúgy a 14 karakteres szöveg sem olyan egetrengetően sok, egy 8 processzoros, egyenként 16 magos opteronnal megvan 1-2 hónap alatt szerintem, de konkrétan nem számoltam ki. egy erre a célra implementált asiccal meg pár perc.

Szerkesztette: 'Geri' 2014. 09. 08. 13:51 -kor

[dkekesi]

@Euro Glass: ékezetes karaktert kell használni (akármilyen nyelven), azok nincsenek benne a rainbow table-ekben. Más kérdés, hogy ha külföldre mész, hogy fogsz tudni belépni egy idegen gépen...

['Geri']

vagy ha egy esetleges verziófrissítés után máshogy értelmezi a szoftver az ékezeteket

[Euro Glass]

@dkekesi: én ezt nagyon jól tudom, de ÕK is nagyon jól tudják, hogy rajtam kívül, ezt még kb. 4 milliárd internetfelhasználó viszont NEM tudja.

[Euro Glass]

@"Geri": jómagam direkt ezért üzemeltetek pár fantom botnet hálózatot mindenhol BITANG nagy random kulcsokkal a teljes ANSI karaktertáblából. ahol a legILlegálisabb tevékenység a MiciMackó és a Tigris TOR hálózatán keresztül való torrent-jére való rákeresés.

Hadd eméssze fel csak a 128 processzortokozású egyenként 512 magos kvantumgépeiket

['Geri']

néhány ezer darab, másodpercenként néhány százmilliárd tesztet lefuttatni képes asicjuk van .P

[Euro Glass]

@"Geri": hajrá ! nekem meg van 7 szint mélységû egymásba ágyazott TrueCrypt Cascade-of-Ciphers mögött ülõ egyenként 48 darab ANSI/255 karakterbõl álló kulcsom, amelyet így sacc-per-kb. egyenként is 78 szeptillió év múlva fognak feltörni az 512 kubites százezres botnet hálózatukon...

[Root_Kiskacsa]

"A helyzetet tovább bonyolítja, hogy a tanúsítványkibocsátók (CA-k) között igen éles verseny van, emiatt egyik sem mer elsőként lépni: ha ugyanis az X cég megtagadja az SHA-1-es tanúsítványok kibocsátását, a vásárlók egyszerűen átmennek egy másik CA-hoz."

Valószínűleg eddig is teljeskörű tájékoztatást kaptak a CA-k ügyfelei, hogy mivel jár a SHA1 használata, ennek ellenére ragaszkodtak hozzá, nem pedig félrekattintottak rendeléskor. Ha az ügyfél így akarja, hát legyen, véleményem szerint kérhessen nyugodtan akár MD5-öt is. A CA keze tiszta, ő (remélhetőleg) elmagyarázta a dolgot, innentől fogva nem az ő felelőssége ez. Nem hinném, hogy ezen a Chrome riasztása sokat fog változtatni, max. eggyel több dologra figyelmeztetik majd a CA-k az ügyfeleiket.
Tehát a CA-knak semmilyen szinten nem érdekük, hogy kivonják a kínálatukból a SHA1-et, amíg ez nem az ő felelősségük. Max. az anyagi biztosítással járó tanúsítványokat már nem ezzel adják ki, vagy csak nagyon kis értékig vállalnak rá kockázatot.

[sikoly_mester]

És valahol a távolban felsír néhány elgurult gyógyszer.

[Euro Glass]

Sokszor sok helyen elmondták már én is elmondanám most egy rövidített, érhetõ mégis kibõvített verzióban immár n+sokadszor..

NINCS olyan, hogy kiberbiztonság. Sõt egyenesen a vicc kategória, már a hasam fogom a röhögéstõl lassan amikor ilyen jellegû cikk jön ki.

Bármilyen vírusírtó, bármillyen figyelmeztetés, bármilyen biztonságosnak nevez... titulált OS vagy bármilyen biztonságosnak hitt szoftver és ezek tetszõleges kombinációja sem ér együttesen sem egy kalap szart sem, a gép elõtt ülõ szakértelme és mégfontosabb, józan paraszti esze nélkül.

Nos ez az amibõl a legjobban híján vannak az emberek széles-e világban...

Ezért vagyunk itt mi , hogy osszunk is belõle ... jusson belõle másoknak is.

[YleGreg]

Ha valaki olyan kezdõ, hogy nem tudja a jelszavaiban lévõ speciális karakterek ASCII kódját, az használjon tokent!

[YleGreg]

@Euro Glass: Iszzuk szavaid, abba ne hagyd! (valaki ugye archiválja?) 8-D

[Yv@n]

Idézet: Root_Kiskacsa - Dátum: 2014. 09. 08. 16:42

Valószínűleg eddig is teljeskörű tájékoztatást kaptak a CA-k ügyfelei, hogy mivel jár a SHA1 használata, ennek ellenére ragaszkodtak hozzá, nem pedig félrekattintottak rendeléskor.

Egy cert beszerzése az ügyfél számára gyakran nem triviális feladat. A next-next-finish process közepe táján a hitelkártyás ügyfél egyszercsak felcsattan egy upload mezőn, ahol meg kéne adjon csr-t, és vakargathatja a fejét, keres valakit, aki képes túljuttatni ezen a problémán. Ha a folyamat bármely pontján sha-1 default, akkor simán rászaladhat.

Én eddig ha talán egy ssl CA-t láttam, aki explicit felhívta a figyelmet rá, hogy sha-1(illetve 2048bit kulcsméret alatti érték) erősen not recommended, és csak saját felelőségre válaszd, a többinél valami faq vagy knowledge base mélyéről kellett elővadászni az infót.

Idézet: Root_Kiskacsa - Dátum: 2014. 09. 08. 16:42

Ha az ügyfél így akarja, hát legyen, véleményem szerint kérhessen nyugodtan akár MD5-öt is. A CA keze tiszta, ő (remélhetőleg) elmagyarázta a dolgot, innentől fogva nem az ő felelőssége ez. Nem hinném, hogy ezen a Chrome riasztása sokat fog változtatni, max. eggyel több dologra figyelmeztetik majd a CA-k az ügyfeleiket.

Valószínűleg pedig de, mert a fentebb említett "nemértekhozzá" ügyfél a CA supportnál veri majd a hisztit, ha a böngészősávban piroslik az url eleje.