šifrování

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod PetrGa 9. 12. 2011 00:17

Zdrávím tady a mám obecný dotaz.
Tady na této stránce se dočítám jak pracuje SSL(zajímal jsem se o HTTPS a odkázalo mě to i na SSL)
http://cs.wikipedia.org/wiki/Secure_Sockets_Layer

Chci se zeptat, jak může být takové šifrování bezpečné,když se používá stejný komunikační kanál pro posílání veřejného i soukromého šifr.klíče? přeci ten kdo by odposlouchaval, tak by zachytil certifikát s veřejným klíčem. A já když zašifruji zprávu tak ji pošlu tím samým kanálem a případný posluchačč by měl všechny použité šifry k dispozici, ne?
Mohl by mi někdo prosím objasnit trochu polopaticky, jestli je má úvaha ok, nebo není?
Velice děkuji

Já se v těchto dnech začal o tato zabezpečení zajímat. Ale jsem s tím na začátku. Téměř ničemu zatím nerozumím. Postupně se prokousávám.... Tak na mě prosím nechrlete "jasné" věci a výrazy :))
děkuji
PetrGa
Junior

Odeslat příspěvekod karlos00x 9. 12. 2011 00:37

mozna se pletu ale podle me hledas keyword "korenove certifikaty" ,
Kód: Vybrat vše
http://cs.wikipedia.org/wiki/Digitální_certifikát#Ov.C4.9B.C5.99en.C3.AD_certifik.C3.A1tu


musim takhle, jako odkaz mi to forum nevzalo skrz diakritiku
Upgrade který má smysl: SSD. Zažijete svižný počítač.
karlos00x
Pokročilý

Odeslat příspěvekod JirkaVejrazka 9. 12. 2011 00:48

Soukromy klilc se nikdy neposila. Kazda komunikace se sifruje verejnym klicem druhe strany. Ve skutecnosti to je jeste trochu slozitejsi, ale tim se pro zacatek nemusis trapit.

Pamatuj si, ze verejne klice slouzi pro sifrovani a overovani podpisu, zatimco soukrome klice jsou pro desifrovani a podepisovani. To je zaklad.

Sifrovani smerem od tebe: Ty zasifrujes data verejnym klicem druhe strany, ta svym soukromym klicem desifruje.

Sifrovani smerem k tobe: Druha strana sifruje data tvym verejnym klicem, ty svym soukromym desifrujes.

Podepisovani dat: Za pomoci sveho soukromeko klice podepises nejaka data. Kdokoli (treba ten, komu data posilas) muze za pomoci tveho verejneho klice zkontrolovat, ze podpis je v poradku.

Oba postupy (sifrovani a podepisovani) se casto kombinuji dohromady.

Technicky vzato jsou tam jeste mezikroky (sifrovani verejnym klicem je pomale, tak se to dela trochu jinak), ale tohle jsou hlavni principy.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod vladimir 9. 12. 2011 09:40

Zjednodušeně: i když útočník zachytí oba veřejné klíče, neuvidí, co si mezi sebou posíláte, protože soukromé klíče potřebné k dešifrování mít nebude.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod PetrGa 9. 12. 2011 12:15

ahoj.děkuji vám
Chápu to tedy správně, že můj veřejný i soukromý klíč musí mít k sobě nějaký vztah? (stejně jako proti strana) A že jeden bez druhého je jen "půl dešifrátora"?

Když jdu na stránky banky, tak se šifruje. Jak ale mohu věřit, že je ta stránka pravá? Slouží tedy ty certifikáty k tomu? Potom ty certifikáty musí být už nějak v pc předem,ne? A nebylo by lepší a bezpečnější, kdybych zašel s usb klíčenkou do banky a tam si nahrál jejich certifikát?

Trochu se mi to motá v hlavě a potřebuju se ujistit, že uvažuju správně
Děkuji tedy za trpělivost

Otázka k tomu, co s tím částečně souvisí. Provideři jsou defakto Men in the midle,že?

A když používám skype, který nijak nenastavuju v oblasti šifrování, je tato komunikace po instalaci šifrována,nebo ne? A co třeba icq(přes pidgin)? nebo Mejl, který mám na Yahoo.com?
Děkuji
PetrGa
Junior

Odeslat příspěvekod JirkaVejrazka 9. 12. 2011 12:40

> Chápu to tedy správně, že můj veřejný i soukromý klíč musí mít k sobě nějaký vztah? (stejně jako proti strana) A že jeden bez druhého je jen "půl dešifrátora"?

Ano. Maji mezi sebou jasny (obvykle matematicky) vztah. Jeden bez druhehou jsou k nicemu.
Predstav si to treba tak (a jde o velke zjednoduseni), ze existuje rovnice
V + S = Z
Utocnik, ktery se dozvi V z nej nemuze odvodit S protoze nezna Z (coz je nejake cislo zname v dobe generovani verejneho a soukromeho klice). Ty znas S a jako jediny mas vsechna data nutna k tomu, abys tu rovnici vyresil.

V realu je to slozitejsi, ale treba u RSA ne o moc. Pouzivaji se tam mocniny a velmi velka prvocisla.

> Když jdu na stránky banky, tak se šifruje. Jak ale mohu věřit, že je ta stránka pravá?

U starsich certifikatu a prohlizecu musis kontrolovat zamecek (obvykle zluty vedle adresy nebo dole na status baru) a nesmi ti vyskocit zadne varovani.

U novejsich prohlizecu a stranek, ktere podporuji tzv. EV SSL certifikaty (banky by to mely podporovat) je zelene vedle adresy jmeno firmy, ktere byl EV SSL certifikat vydan. Kdyz na nem chvili nechas kurzor mysi, dozvis se ktera certifikacni autorita ho podepsala a ruci za jeho pravost.

> Potom ty certifikáty musí být už nějak v pc předem,ne?

Predem jsou v tvem PC (telefonu, tabletu) verejne klice certifikacnich autorit, ktere se tam dostanou s instalaci a aktualizaci systemu (treba a Windows + MSIE) nebo browseru (Firefox, Chrome, ...). Banka (nebo jina instituce) ti pri navsteve sve stranky posle svuj verejny klic, ktery musi byt podepsany soukromym klicem jedne z techto certifikacnich autorit, aby to "do sebe zapadlo". A jelikoz mas u sebe verejny klic dane certifikacni autority, jsi schopen overit pravost toho podpisu a tim padem plati ze dany verejny klic, ktery ti banka (napr.) poslala je opravdu jeji a nikdo ho nepodvrhl (treba po ceste). Visi to na duvere v kvalitu certifikacnich autorit, ale to uz neni technicka otazka.

> A nebylo by lepší a bezpečnější, kdybych zašel s usb klíčenkou do banky a tam si nahrál jejich certifikát?

Bezpecnejsi by to bylo. Jestli i lepsi je otazkou nazoru, protoze by to bylo neprakticke, slozite a drahe.
Certifikaty (a vsechny verejne klice) maji tzv. "fingerprint", ktery slouzi k tomu, aby se dala pravost certifikatu overit jinym kanalem, treba po telefonu. Teoreticky muzes zavolat na zakaznickou podporu banky a zeptat se, jestli certifikat, ktery ma SHA1 finterprint "39:51:72:(atd)" je opravdu jejich, ale vetsinou nepochodis. Maloktera instituce je na tenhle dotaz pripravena.

Kdyz pouzivas Skype, verejny a soukromy klic se generuje pri instalaci. U ICQ nevim jestli je vubes sifrovane, nepouzivam. Mail na Yahoo sifruje jenom tve pristupy na jejich stranky, maily mezi servery chodi nesifrovane (pokud se nechces bavit o sifrovani tela mailu nebo zvlastnich pripadech jako TLS mezi mailservery)

> Provideři jsou defakto Men in the midle,že?

Pise se "de facto" :) Technicky vzato jsou MiM, protoze jsou na komunikacnim kanalu mezi tebou a druhou stranou (at uz je to kdokoliv nebo cokoliv). Ale obvykle se termin "man in the middle" pouziva pro pripady aktivniho nebo pasivniho zneuziti a z toho bych vsechny providery pausalne nepodezrival ;-)
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod PetrGa 10. 12. 2011 19:01

Jirko Vejrazko a další, velice děkuji za nápomoc při objasnění těchto věcí. A taky za opravu "de facto" :)))
PetrGa
Junior

Odeslat příspěvekod PetrGa 11. 12. 2011 11:01

Ahoj
Ještě mám jeden dotaz k tomu šifrování mejlů. Našel jsem program GPG. Píše se, že jde zabudovat do mejlového klienta(tedy zřejmě Outluk, Thunderbird atp.
Pokud takové klienty nepoužívám a vyřizuju si poštu přímo na Yahoo-mejl, mám nějakou možnsot šifrovat? Mělo by se jednat o nějaké mé vlastní šifrování na pc, protože ten Yahoovský by třeba mohl být zneužitelný. Nechci ale používat ty poštovní klienty,zdá se mi to zbytečné, když má schránka yahoo "neomezenou" kapacitu
Děkuji
PetrGa
Junior

Odeslat příspěvekod karlos00x 11. 12. 2011 11:20

postovni klient bude vyuzivat prave tu neomezenou kapacitu, kdyz pujdes pres IMAP tak ani nemusi vyrazne ubirat ty emaily misto na disku
Upgrade který má smysl: SSD. Zažijete svižný počítač.
karlos00x
Pokročilý

Odeslat příspěvekod soban 11. 12. 2011 11:24

Můžeš normálně používat klienta na PC pro šifrované maily, a rozhraní na WWW pro nešifrované.

Jinak použitím klienta na PC o nic nepřicházíš prostě ten mail co používáš si zadáš do toho klienta a pokud zaškrtneš u POP serveru že má nechat správy na serveru tak tam i zůstanou a nebo můžeš používat IMAP pokud to tvůj email umožnuje.

Samozřejmě z www stránek se potom šifrované maily nepřečteš.

A nebo to co budeš chtít zašifrovat se dá i na PC a potom do mailu přidat jako přílohu, ovšem je to složitější a příjemce si zase musí stáhnout soubor a rozšifrovat a přečíst.

Nejlepšíje fakt používat nějakého klienta, třeba http://thunderbird.mozilla.cz/ a pro šifrování existuje rozšíření Enigmail které se o šifrování postará s gpg ( http://cs.wikipedia.org/wiki/GNU_Privacy_Guard) a pod...

Veřejný klíč pak můžeš dát na http://www.gpg.cz/
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod Aleš Janda 11. 12. 2011 11:52

S tím šifrováním mailů je trochu kříž. Aby to bylo použitelné, tak:

  • příjemce musí mít veřejný klíč (který musí být nějak dostupný)
  • odesílatel musí umět šifrovat příjemcovým veřejným klíčem
Tyto podmínky v běžném prostředí prakticky nenastávají, protože i když se ty prokoušeš základy šifrování, lidi, se kterýma si budeš psát, to neudělají. A když už to někomu vysvětlíš atd., většinou je to někdo, komu nepotřebuješ nic tajného posílat.

Kromě toho jsou v šifrování dále problémy. Např. v klientu často nelze říci: tuto zprávu dešifruj a nech ji dešifrovanou. Veřejný klíč (a heslo k němu) tak budeš muset držet na věky věků. A bez dešifrování také samozřejmě nechodí např. hledání ve zprávách. Takže určitě si to zkus, šifrování mailů je hezká věc, ale mizerná implementace to IMHO de facto zabila.
Aleš Janda
Junior
Uživatelský avatar

Odeslat příspěvekod PetrGa 14. 12. 2011 23:07

jasně. rozumím. Není nic snažšího než lidi kolem mě začít přesvědčovat. Nejde ani tak o nějakou nelegální činost, kterou bych chtěl domlouvat. ale člověk nikdy neví, co může být v budoucnu proti němu použito. Dnes napíšu, že se mi zamlouvají názory Dalajlámy(bo přijel) a za 20let mě za to zavřou, protože se třeba změní režim a vešekerá komunikace se údajně ukládá kdesi za moje peníze(daně).

Mám ještě jeden dotaz ke Skypu. Na této stránce https://cs.wikipedia.org/wiki/Voice_ove ... t_Protocol se píše, že je údajně policii rozšifrování skypu známo. Máte někdo tušení, jestli se i tato komunikace ukládá? Nebo se neukládá a policie pokud chce poslouchat, tak musí zrovna v okamžiku kdy já hovořím?
Je nějaká možnost se dostat z venku, třeba přes wi-fi či jako MiM k uložené historii chatu skypu, co je uložena na HDD?
děkuji
PetrGa
Junior

Odeslat příspěvekod PetrGa 15. 12. 2011 21:57

A měl bych ještě jeden dotaz. Sice jsem cosi na síti našel, ale moc nejsem z toho chytrý. Lze nějakým způsobem docílit, aby útočník byl u něho "doma" a odposlouchával komunikaci mezi mnou a někým dalším? Jako že by nebyl MiM a neposlouchal moje pakety skrz Wi-fi, ale nějak po síti. Asi by musel znát moji IP adresu,že? Šlo by to pak?
Naposledy upravil PetrGa dne 16. 12. 2011 09:26, celkově upraveno 1
PetrGa
Junior

Odeslat příspěvekod Aleš Janda 15. 12. 2011 22:52

PetrGa píše:Mám ještě jeden dotaz ke Skypu. Na této stránce https://cs.wikipedia.org/wiki/Voice_ove ... t_Protocol se píše, že je údajně policii rozšifrování skypu známo. Máte někdo tušení, jestli se i tato komunikace ukládá? Nebo se neukládá a policie pokud chce poslouchat, tak musí zrovna v okamžiku kdy já hovořím?
Je nějaká možnost se dostat z venku, třeba přes wi-fi či jako MiM k uložené historii chatu skypu, co je uložena na HDD?
děkuji


Typický příklad neozdrojované informace. Protokol Skype je uzavřen; je pravděpodobně nějak šifrován (i samotný klient využívá drsné anti-debugovací techniky), ale kvůli uzavřenosti nelze říci, kdo má k datům přístup. Je možné, že k nim nemá přístup ani Skype, a je možné, že kdyby na Skype někdo zatlačil (nebo zaplatil), bude moci data dešifrovat. Hovory však pravděpodobně neukládá, protože díky P2P návrhu často vůbec nejdou přes servery Skype, ale přes počítače účastníků. Wikipedii jsem upravil.

PetrGa píše:Je nějaká možnost se dostat z venku, třeba přes wi-fi či jako MiM k uložené historii chatu skypu, co je uložena na HDD?


Stejný problém jako předchozí - není známo, jak je to šifrováno (tedy jestli dostatečně), takže nelze odpovědět. Je možné, že je to možné :-) Ale o ničem takovém jsem neslyšel, běžný člověk, který není velice blízko Skypu spíše nemůže.

Ohledně souborů na disku: ty nejsou standardně šifrovány nijak, dostane se k nim tedy kdokoli, kdo má přístup k počítači, ať už vzdáleně (průnik zvenčí), nebo fyzicky (vloupání se do místnosti).

PetrGa píše:Lze nějakým způsobem docílit, aby útočník byl u něho "doma" a odposlouchával komunikaci mezi mnou a někým dalším? Jako že by nebyl neposlouchal moje pakety skrz Wi-fi, ale nějak po síti. Asi by musel znát moji IP adresu,že? Šlo by to pak?


Ty pakety jsou stejné jak mezi počítačem a wi-fi, tak i dále na internetu. Pokud nejsou šifrované, vidí je všichni, přes koho to teče. Typicky tvůj poskytovatel připojení (největší riziko), páteřní síť a poskytovatel vzdáleného serveru. Ostatní: ne, nemůžou, leda třeba nabouráním routovacích tabulek atd., ale to by museli napadnout nějakou část na síti (téměř nemožné, navíc bys na většinu útoků přišel tak, že by „přestal fungovat internet“). Nejjednodušší je, když ti útočník pošle malware, ty ho spustíš, a pak všechna data odesílá (i) někam jinam.
Aleš Janda
Junior
Uživatelský avatar

Odeslat příspěvekod pospa (novy) 18. 12. 2011 11:57

No zkusim to trochu "poupravit". Zakladem je symetricka sifra. Znamena to ze existuji dva klice navzajem symetricke (opacne). Pro jednoduchost si predstavme ze prvni klic je X*6. Nejakou informaci, napriklad cislo 3 pomoci tohoto klice muzu zasifrovat a vznikne z toho 3*6 ... 18. Symetricka sifra je pak X/6 a pomoci te muzu informaci zpetne desifrovat 18/6 ... 3. Sifrovani samozrejme muze byt i obracene. Tj pomoci X/6 zasifruji a pomoci X*6 desifruji. V pripade SSL to tedy funguje tak, ze se vygenetuji dva symetricke klice, jeden se oznaci jako privatni (jekykoliv) a druhy jako verejny. Verejni se vystavi aby jej kdokoliv mohl pouzit a druhy si ponecha pouze jeho vlastnik. Tento "vlastni" klic pak muze jeho drzitel pouzivat k podepisovani zprav. Funguje to tak, ze zprava (nebo jeji cast) se podepise (zasifruje) vlastnim privatnim klicem a pokud se ji podari desifrovat privatnim klicem znamena to, ze byla podepsana privatnim klicem a tudiz je overeno ze odesilatel ma privatni klic. Za predpokladu ze privatni klic ma jen jeho opravneny vlastnik, je zaruceno ze ten kdo zpravu podepsal je opravdu ten za koho se vydava.
U sifrovani je to slozitejsi o to, ze se pouzije vlastni privatni klic a cizi verejny klic. Je to tedy v podstate podepsani (tim overim sebe jako odesilatele) a jeste zasifrovani verejnym klicem protistrany. Zpraha je tedy zasifrovana dvema klici a posila se prijemci. Prijemce ji desifruje mym verejnym klicem cimz overi ze je poslana skutecne mnou a pak svym soukromim, cimz zkontroluje jesttli byla poslana opravdu jemu. Pokud se desifrovani povede, jsou overeny obe strany komunikace a SSL kanal je navazany.
Jeste stoji za zminku jak zjistim, jestli verejny klic je skutecne vydany tim na koho je napsany. Klice jsou poskladane do stromove struktury. Pro jednoduchost si predstavme dve urovne. Prvni je nejaky ROOT certifikator jako VeriSign nebo pod. Ja zazadam o to aby mi vygeneroval certifikat. On mi doda verejnou i privatni cast, ale jen verejnou ulozi u sebe na webu odkud si ji muze kdokoliv stahnout a pouzit. Bezpecnost meho verejneho klice je pak zajistena onou autoritou. Samozrejme je otazka jak overit tuto ROOT autoritu. Je na svete nekolig (radove desitky) autorit ktere se povazuji obecne za duverihodne a dale se neoveruji. U nas v cechach je takovou autoritou treba 1.Certifikacni.

Uf. snad je to pochopitelne. Diky
pospa (novy)
Kolemjdoucí

Odeslat příspěvekod JirkaVejrazka 18. 12. 2011 12:16

Srozumitelne to je, bohuzel je to uplne spatne :(

Symetricka sifra neznamena, ze existuji dva symetricke klice - verejny a privatni. Symetricka sifra znamena, ze existuje jeden klic ktery slouzi k sifrovani i desifrovani.

Zbytek prispevku od uzivatele pospa je kompletne zmateny a naprosto neodpovida realite :(
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod mungo 18. 12. 2011 19:08

soban píše:...Nejlepší je fakt používat nějakého klienta, třeba http://thunderbird.mozilla.cz/ a pro šifrování existuje rozšíření Enigmail které se o šifrování postará s gpg ( http://cs.wikipedia.org/wiki/GNU_Privacy_Guard) a pod...Veřejný klíč pak můžeš dát na http://www.gpg.cz/

Aleš Janda píše:... Kromě toho jsou v šifrování dále problémy. Např. v klientu často nelze říci: tuto zprávu dešifruj a nech ji dešifrovanou. Veřejný klíč (a heslo k němu) tak budeš muset držet na věky věků....

Dovolím si přidat pár poznámek k předřečníkům:
Jako nejpoužitelnější PC klient se mi jeví Sylpheed, který je multiplatformní (funguje pod Linuxem a s GTK i pod Windows - zkoušeno na XP i WIndows 7), nativně podporuje GNU-PG a má mnoho jazykových lokalizací , včetně české.
Odkaz na Sylpheed je zde
Pro uschování veřejného klíče a přístup k veřejným klíčům ostatních účastníků existuje výborná stránka PGP Global Directory. Na stránkách lze i vyhledávat podle emailu nebo jména.
Pokud zde klíč uložíte, požádá vás o ověření zpětným emailem. Pokud uložíte klíč s neomezenou platností, dotazuje se server na jeho další funkčnost po určitém období (typicky půl roku) a pokud není potvrzena, vymaže jej ze své databáze.
PGP Global Directory hledejte zde
Veřejný klíč sice bude nelze zrušit - jak bylo řečeno výše, bude někde uložen na věky věkův, ale můžete jej zneplatnit (revokovat).
mungo
Junior
Uživatelský avatar

Odeslat příspěvekod Miroslav Pragl 18. 12. 2011 21:07

K sifrovani se pouziva NAHODNE GENEROVANY SIFROVACI KLIC. Ten vygeneruje klient, zasifruje jej verejnym klicem serveru a posle serveru ktery si jej rozsifruje. Nyni maji klient i server k dispozici sifrovaci klic a mohou vesele SYMETRICKY sifrovat.

Tolik ve 3 vetach, snazil jsem se aby to bylo jednoduche a srozumitelne spise nez uplne pravdive ale slozite ;-)

MP
Miroslav Pragl
Expert
Uživatelský avatar

Odeslat příspěvekod Nargon 18. 12. 2011 21:27

Co se jeste tyce toho nahodne generovaneho sifrovaciho klice, tak existuje DH algoritmus: http://en.wikipedia.org/wiki/Diffie–Hellman_key_exchange
Ten umoznuje vygenerovat stejny sifrovaci klic u klienta a na serveru (a nebo i u vetsiho mnozstvi ucastniku) aniz by se ten klic mezi nimi posilal. Je to jednoduchy algoritmus na vygenerovani nahodneho klice (a soucasne jeho rozeslani mezi klienty). Jeho nevyhodou je ze nijak neoveruje s kym si ten klic vytvarim. Pokud je to nutne tak se certifikatum asi nevyhnete.
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor

Odeslat příspěvekod PetrGa 20. 12. 2011 23:03

Jasně, rozumím. Děkuji vám všem za objastnění. Docela se v tom už začínám orientovat.
Chci to trochu začít zpopularizovávat to šifrování :) Posílám si mejly možná s 5ti lidma. Takže nebude problém je to naučit. Sice budu potřebovat klienta na to, ale je to daň za nešmírování. Nemám v plánu dělat nějakou ilegální činnost. Ale nechci prostě, aby si někdo někde uchovával mou komunikaci. Sem tam člověk něco zkritizuje a třeba za 30let mu to někdo od policie omlátí o hlavu....

Mé dosavadní poznatky
Skype: Nedůvěryhodný. Šifrovaná komunikace ochrání před běžnými odposlechy, ale policie zřejmě může rozumět

ICQ: bez šifrování-jak korespondenční listek. S pluginem otr nemá nikdo šanci rozluštit, o čem si píšu. Policie i náhodný útočník může zjistit s kym si píšu(ale neví o čem)

Mejl: bez šifry, ukládán na X let. Přes klienta lze tak zašifrovat, že ani policie a ani náhodný odposlech nemůže rozluštit.

Kdesi jsem četl, že lze nějakým šikovným trikem odchytit logovací údaje. Hesla a Uživatele. A tyto že jsou přenášeny i v HTTPS nešifrovaně. Je tomu tak? Nebo to je nějaký blaf? Nebo jsem špatně porozuměl?
Na net-bankovnictví používám takovou "kalkulačku", do které vsunu kartu a zadám pin. Mohu tomu rozumět tak, že je to na způsob veřejného a neveřejného klíče(PIN)?
A lze vůbec nějakým způsobem zabránit, aby se na navštívených stránkách uchovával můj "otisk prohlížeče"? Našel jsem si jakousi síť Tor, která přeposílává požadavky přes několik PC po světě. Máte někdo nějaké info, že by se tomu měl člověk raději vyhnout?

A vůbec. Máte typa na nějaký web, kde by se daly vyhledat podrobné informace z této oblasti zabránění šmírování na síti?

Ještě jednou děkuji
PetrGa
Junior

Odeslat příspěvekod JirkaVejrazka 20. 12. 2011 23:51

Skype ma jedno z nejbrutalnejsich zabezpeceni, k jakemu se bezny uzivatel PC muze dostat. Spekulace o tom, kdo ho muze rozlustit, jsou jenom spekulacemi.

Sifrovani se da prolomit dvema zakladnimi metodami - napadenim koncoveho bodu (malware na tvem PC ktere hlida co se kde deje jeste pred tim, nez jsou data zasifrovana), nebo metodou hrubeho nasili - proste z tebe nekdo to heslo dostane vyhruzkou nebo nasilim (tyka se dat u kterych opravdu stoji za to je chranit, u beznych uzivatelskych dat vcetne pristupu do bankovnictvi to v podstate nepripada v uvahu). Tolik k otazce "chytreho" odchyceni jmena a hesla. Ze by neco bylo prenasene v HTTPS nesifrovane je v principu nesmysl (s vyjimkou verejneho klice/certifikatu pri navazovani komunikace).

PIN a karta funguji (zjednodusene) na principu "jineho kanalu" - neni dulezite jak to funguje na pozadi, hlavni je ze to je fyzicky oddelene od tveho PC a zadny virus se tam nemuze dostat a odchytit tvuj PIN. Ostatni technicke detaily jsou nepodstatne. Ale odpoved na tvou otazku je "ne, nejde o princip verejneho a neverejneho klice".

Co myslis "otiskem prohlizece"? Zajimava je pouze IP adresa (kterou muze odstinit Tor na ukor rychlosti) nebo libovolna proxy. Mene zajimavy je User-Agent (identifikace prohlizece a OS), ktery se da jednoduse zmenit. Pokud neplanujes atentat na hlavu statu nebo neco podobneho, schovavani IP adresy nema valny vyznam protoze se k ni dostane opravdu malokdo a data o tvem provozu jsou schovana v ohromnem mnozstvi dat o datovem provozu jinych lidi. To, ze cilovy web zna tvou adresu, jeste neznamena ze muze vypatrat tve jmeno, bydliste apod. (bez soudniho prikazu atd. atp.)

A tipy na web? Wikipedii uz jsi zacal cist. Na zaklade tvych otazek bych doporucil podrobne nastudovat jak funguje PGP / GPG (to je velmi dobre zdokumentovano uz 15 let) - to ti objasni vetsinu bezpecnostnich principu ktere bys mohl potrebovat pro pochopeni dalsich veci.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod Nargon 21. 12. 2011 00:11

Bud blaf, nebo jsi spatne rozumel. Pres HTTPS je prenaseno vse sifrovane. Jen HTTP protokol je nesifrovany a jde snadno odposlechnout.
A co se tyce toho online bankovnictvi, tak mas castecne pravdu, je to neco na zpusob verejneho a neverejneho klice. Karta (dnes uz asi kazda vybavena chipem) obsahuje HW implementaci nejakeho sifrovaciho algoritmu. Banka vygeneruje nejake cislo. To se odesle do karty soucasne s tvym zadanym pinem (a pravdepodobne i castkou k zaplaceni). Z sifrovaciho algoritmu na karte vypadne nejake jine cislo. Tohle cislo je pak odeslano zpet do banky, kde se overi zda je spravne. Pokud ano, tak se platba provede.

A tomu otisku prohlizece se asi nevyhnes. Tohle je jen a jen na tom webu zda ty informace bude uchovavat nebo ne.
A Tor je sikovna vec, ale imho nic nevyresi. Tor opravdu posila data pres nekolik pocitacu a data jsou sifrovana, takze mezi tebou a tim "poslednim" pocitacem je vse sifrovane. Ale na tom poslednim pc jsou data kompletne desifrovana a odeslana na server stejnym zpusobem jakym by to odesilal tvuj pc kdyby jsi nebyl na TOR siti. Jediny vyznam by to melo, kdyby i ten server byl na tor siti. Jedine co to vyresi je ze server nebude znat ip adresu tveho pc, ale bude znat ip adresu toho "posledniho" pc v tor siti. Ovsem ostatni informace o tvem prohlizeci se stejne odeslou, protoze jsou soucasti http pozadavku co je odesilan na server. A navic diky te komunikaci pres dalsi pc bude rychlost takova jako toho nejpomalejsiho clanku, takze urcite dost nizka.
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor

Odeslat příspěvekod PetrGa 1. 1. 2012 23:11

jasně. děkuji

Mám tady logický oříšek. Pokud si někdo ve FF ukládá hesla a jména k různým stránkám, tak má také možnost Použít Hlavní Heslo.Toto když se zapomene, je možné ho resetovat, ale tím pádem dojde ke smazání hesel a jmen, které tyto Hlavní Heslo chránilo. To je mi jasné.

Co když ale dotyčný používá třeba Xmarks? Tedy přídavek do FF, který ukládá hesla a jména na jejich server? Když resetuji Hlavní Heslo ve FF, obsah se smaže.Nastavím nové heslo(ale to není ani třeba). Pak zesinchronizuji Xmarks s FF a mám jak Hlavní Heslo, tak všechny hesla které měl FF předtím uloženy. Udělal jsem někde v úvaze chybu? Pokud ne, je to závažný bezpečnostní problém :(
Pokud někdo používá ukládání hesel v pc a má i zaškrtnutí "pamatovat si přihlášení" v Xmarks, má, podle mě smůlu. Je to jakoby neměl Hlavní Heslo vůbec nastaveno.

Rozhodně tímto nechci říct, že chci někomu lézt do soukromí. Na Xmarks jsem narazil nedávno náhodou a otestoval. Ale jaksi se mi to nezdá moc bezpečné...

Co tedy na to říkáte? Dá se tomu nějak předejít? Asi jedině odhlašovat Xmarks a nemít zapamatované přihlášení....
PetrGa
Junior

Odeslat příspěvekod Nargon 2. 1. 2012 01:12

FF nepouzivam ale jestli to takhle funguje, tak ano je to bezpecnostni problem. Ale tady je asi kladen vetsi duraz na uzivatelskou privetivost nez na bezpecnost.
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor

Odeslat příspěvekod JirkaVejrazka 3. 1. 2012 21:39

Proc by to mel byt bezpecnostni problem? Dela to presne to co to delat ma - master password (Hlavni Heslo) sifruje lokalni databazi hesel. Pokud ho zapomenes, neda se precist.

S pouzitim Xmarks obetujes vedome bezpecnost a ziskavas pohodli. Ztracis luxus toho, ze jsi jediny kdo zna sva hesla, ziskavas moznost pristupu ke svym datum z ruznych stroju a mist. Jak se o bezpecnost tvych hesel stara Xmarks nemas sanci zjistit - muzes si precist zdrojak toho pridavku (po kazde jeho aktualizaci!) aby ses dozvedel, co dela pro sifrovani hesel pri prenosu (zrejme pouzije HTTPS, to by bylo logicke). Ale nemas sanci zjistit, jaka je bezpecnost dat ulozenych na serveru.

Jediny zpusob, jak by to mohlo byt aspon trochu bezpecne, je odvodit sifrovaci klic pro hesla ulozena na serverech Xmarks z nejakeho tveho uzivatelskeho jmena zadaneho pri prvnim pouziti Xmarks. Nebylo by to idealni, ale aspon neco. Jelikoz Xmarks nepouzivam, nevim jestli se o to pokusili.

Mimochodem, tahle otazka je trochu akademicka - pokud nekdo ziska pristup k tvemu PC pod tvym uctem, prijdes o mnohem vic nez hesla ve FF...
JirkaVejrazka
Mírně pokročilý


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků