lug-bg: Re: CRLs rant (was: ppp over ssh/ssl VPN ??? ili druga alternawit)

[Georgi Chorbadzhiyski <gf@xxxxxxxxxxx>]

Борис Йорданов wrote:
> On Monday 11 August 2003 12:55, Vesselin Kolev wrote:
>> Ponezhe biah narugan po maila.. utochniavam!!! :)))
>>
>>   Ako si mislite, che vseki IP tunnel e VPN... ste v dylboka zabluda.
>> Naskoro biah na konferenciata Crypto. Horata si govoreha za VPN  i
>> tehnologii... Definiciata za VPN v novi termini e, che tova e MOBILNA i
>> MENAGIRUEMA, visokosigurna IP tunelna systema bazirana na certificatno
>> upravlenie.
> 
> Е, ама съвсем така, изхождайки от самото име "Virtual Private Network" не е задължително дори да има криптиране някъде в цялата история, нито пък оторизация базирана на сертификати. Та в такъв смисъл всяко (хайде "почти всяко" да е) IP тунелиране е VPN :))
> А че термина е еволюирал най-накрая до нещо може би е добре :) Иначе смисъла му се определяше строго индивидуално, според както го разбира конкретния индивид :)
> 
>>
>> Pochti nikoia seiozna firma ne predlaga VPN, koito da ne e na bazata na
>> certificatna systema. Prichinata e, che taka ima edinno menagirane na
>> dostypa, koeto e neveroiatno gyvkavo. Specialno za X.509 e dostatychno CA
>> da poddryzha actualen CRL koito da se razprostraniava po vsicki VPN
>> gateways i da sydyrzha anuliranite ili zabraneni za izpolzvane
>> certificate-i. Na praktika edin ot pyrvite potrebiteli na takiva VPN
> 
> Като става приказка за Certificate Revocation List-и та се сещам за системите за "електронен подпис" изграждани у нас. Тук имаше хора от ИО, как е решен тойа въпрос там? Когато имаш един краен потребител и той нещастника бидейки технически ... полу-грамотен трябва да е в течение все пак за изтеглени/невалидни сертификати?
> Ще му ги доставят с меил лист ли, ще трябва да си ги тегли отнякъде...?

Някой ще ме обвинят, че пак плюя по микрософт ама не мога да
се въздържа. Особено като се има впредвид народа колко е не е запознат
и бидейки такъв си живее натъмно повтаряйки мантрата "щом свети
иконката с катинарчето значи е сигурно"

http://www.developer.com/tech/article.php/772511

С две думи verisign не попълват *незадължителното* в сертификатите,
поле коетo специфицира CDP (Certificate Distribution Point). микрософт
разчитайки, че това го има си търсят CRL списъците от там. Тъй като го
няма (да не забравяме, че не е задължително) обновленията на CRL
списъци от authorities, които не го специфицират (VeriSign) не работят.

CRL са *много важна* част от PKI инфраструктурата, за имплементация,
която не ги поддържа коректно, спокойно може да се твърди, че не е само
бъгава но е и опасна.

Може би спомняте случаят с двата издадени от verisign, Level 3 сертификата
на името на microsoft. Е благодарение на това, че MS имплементацията
разчита на *незадължтелно поле*, което го няма в сертификатите на verisign,
МС се наложи да пуснат update, в който те "на ръка" бяха вкарали в черният
списък, погрешно издадените сертификати.

Естествено проблемът беше решен с кръпка, а не с оправяне на основната
грешка.

Цялото това мрънкане беше просто за да ви напомни, че когато си разглеждате
интернет с интернет експлорер, не си мислете че няма някой, който да го
играе MITM докато си попълвате данните в някой сайт който ползва SSL.

Благодарение на микросфт всичко е възможно.

EOT.

P.S. Нашенските спецове дали построиха бункера в който щяха да пазят
     *публичните ключове* на хората :))


-- 
Georgi Chorbadzhiyski
http://georgi.unixsol.org/

============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================