Рубрика «PKI»

в 15:22, , рубрики: blue team, cert, certificate, pentest, PKI, red team, security

Анализ теоретическо-практических векторов атаки при утечке корневых и промежуточных сертификатов в модели угроз направленного взлома.

В практике тестирования на проникновение (penetration testing) традиционно большое внимание уделяется эксплуатации уязвимостей в программном обеспечении, слабостях в конфигурации и социальной инженерии.

Однако существуют сценарии, при которых Red Team получает доступ к активам, ставящим под угрозу не отдельные серверы или учетные записи, а саму основу доверия в информационной системе — инфраструктуру открытых ключей (Public Key Infrastructure, PKI).

Читать полностью »

в 13:20, , рубрики: firewall, ipsec, PKI, rdp, smb, Windows Server, брандмауэр, информационная безопасность

На многих предприятиях остаются всё ещё работать старые версии операционных систем windows, которые не обновляются, или просто не установлены обновления по непонятным причинам.  Типичный ответ у нас после обновления отвалились принтеры, и мы отключили их. В результате были использованы эксплойты по типу MS12-020, или другие приватные эксплойты, что повлекло за собой утечку информации, и вывод серверов из строя. Чтобы этого не случилось, я написал инструкцию шаг за шагом, которая позволит это предотвратить, или сузить вектор атаки.

Про IPSec много написано, поэтому здесь только настройки.

Читать полностью »

в 8:06, , рубрики: Keybase, Minisign, OpenPGP, openssh, pgp, PKI, signify, ssh, ssh-keygen, TLS, асимметричная криптография, Блог компании М.Видео-Эльдорадо, информационная безопасность, криптография, мвидео, нотариус, Софт, Эльдорадо
Сам себе нотариус. Используем OpenSSH для подписи файлов и TLS для нотариального заверения веб-страниц - 1

Если нужно подписать файл, чтобы гарантировать его аутентичность, что мы делаем? Старый способ — запустить PGP и сгенерировать подпись, используя команду --sign. Цифровая подпись удостоверяет создателя и дату создания документа. Если документ будет как-то изменён, то проверка цифровой подписи это покажет. Одновременно нужно опубликовать в открытом доступе свой публичный ключ, чтобы любой желающий мог проверить подпись.

Но использовать PGP — не лучшая идея. Есть варианты получше. Например, теперь подписывать документы/файлы можно с помощью обычной утилиты OpenSSH.

Вообще, ключ SSH — очень удобная штука. Не только для подписи текстов и коммитов в Git, но и для авторизации на сайтах. А также для шифрования сообщений, которые сможет прочитать только один человек.
Читать полностью »

в 20:37, , рубрики: EU Digital COVID Certificate, PKI, vaccine passport, Verifica C19, Блог компании GlobalSign, информационная безопасность, ковид, криптография, паспорт вакцинации, публичная криптография, сертификат, электронное правительство
Подделка паспортов вакцинации Евросоюза. Утечка секретного ключа? - 1

Поддельные паспорта вакцинации — очень востребованный товар на рынке. По какой-то причине люди платят от $300 до 400 евро за фальшивый сертификат, лишь бы не делать бесплатную прививку. Доходит до того, что открываются анонимные центры вакцинации, куда человек с поддельным паспортом вакцинации может прийти и сделать настоящую прививку, не раскрывая своё настоящее имя. Ситуация очень странная. По мировой статистике, наиболее настроены против вакцинации жители России (20% населения) и США (19%). Но проблема есть и в Евросоюзе, особенно в Германии (10%).

В октябре 2021 года итальянские источники сообщили об утечке приватного ключа, который использовался для подписи EU Digital COVID Certificate (паспортов вакцинации ЕС).
Читать полностью »

в 9:55, , рубрики: apple, https протокол, PKI, safari, ssl/tls, браузеры, информационная безопасность

image

Apple решила вступить в борьбу с долговечными сертификатами HTTPS — Safari в конце этого года откажется принимать новые сертификаты, срок действия которых составляет более 13 месяцев с момента создания. Сайты, которые используют долгосрочные сертификаты SSL/TLS, выпущенные после этого момента, будут вызывать ошибки конфиденциальности в браузере.

С 1 сентября любой новый сертификат веб-сайта, действительный более 398 дней, не будет доверен браузеру Safari и будет отклонен. Однако правило не затронет старые сертификаты. Читать полностью »

в 14:25, , рубрики: Ansible, ci/cd, devops, globalsign, hashicorp vault, Jenkins CI, kubernetes, openshift, PKI, saltstack, terraform, Venafi, X.509, Блог компании GlobalSign, информационная безопасность, облачные сервисы, Серверное администрирование

Помощь девопсам по внедрению PKI - 1
Ключевые интеграции Venafi

У девопсов и так много работы, а от них ещё требуют экспертных знаний по криптографии и инфраструктуре открытых ключей (PKI). Это неправильно.

Действительно, у каждой машины должен быть валидный TLS-сертификат. Они нужны для серверов, контейнеров, виртуальных машин, в сетках service mesh. Но количество ключей и сертификатов растёт как снежный ком, а управление быстро становится хаотичным, дорогостоящим и рискованным, если всё делать самостоятельно. При отсутствии надлежащей практики применения политик и мониторинга бизнес может пострадать из-за слабых сертификатов или неожиданного истечения срока действия.

GlobalSign и Venafi организовали два вебкаста в помощь девопсам. Первый — вводный, а второй — с более конкретными техническими советами по подключению системы PKI от GlobalSign через облако Venafi с помощью опенсорсных инструментов через HashiCorp Vault из конвейера Jenkins CI/CD.
Читать полностью »

в 7:50, , рубрики: globalsign, IntranetSSL, PKI, Блог компании GlobalSign, иерархия доверия, информационная безопасность, инфраструктура открытых ключей, Разработка веб-сайтов, Разработка для интернета вещей, удостоверяющий центр, центр сертификации

Зачем нужен собственный удостоверяющий центр - 1
Примеры 1) промежуточного УЦ в открытой иерархии доверия и 2) частной иерархии, которая изолирована от открытой иерархии, со своим собственным корневым УЦ

Инфраструктура открытых ключей (PKI) традиционно имеет иерархическую структуру. В ней удостоверяющие центры (УЦ) связаны отношениями подчинённости. Все пользователи доверяют одному и тому же корневому (головному) УЦ, а каждый нижестоящий УЦ подчиняется более высокому в иерархии.

Но что, если мы хотим создать частную инфраструктуру PKI со своим собственным УЦ? Действительно, в некоторых ситуациях такие промежуточные или частные иерархии очень удобны на практике.
Читать полностью »

в 10:22, , рубрики: Apache, apache2, cert, certificate, certificates, certification authority, java, Let's Encrypt, linux, nginx, nginx сертификаты, open source, ovirt, PKI, python, виртуализация, Настройка Linux

Шагая по пути улучшения инфраструктуры, я решил добить древний и мучительный вопрос — без лишних телодвижений предоставлять возможность коллегам (разработчикам, тестировщикам, админам, etc ) самостоятельно управлять своими виртуалками в ovirt'е. В ovirt есть несколько компонентов, которые надо настроить для решения моего вопроса: сам веб интерфейс, noVNC консоль и заливка образов дисков.

Кнопки «Сделать Зашибись» я не нашёл, поэтому показываю какие ручки я крутил, чтобы решить данную задачу. Полная инструкция под катом:

Как подружить Ovirt и Let's Encrypt - 1

Читать полностью »

в 7:58, , рубрики: aladdin, cryptopro, digital security, digital signature, etoken, gemalto, JaCarta, java, PKI, Safenet, sles, SUSE Linux Enterprise, Альфа-Банк, Блог компании «Альфа-Банк», информационная безопасность, криптография, криптопро, криптопровайдер, Настройка Linux, электронная подпись, электронные сертификаты
Работа с СКЗИ и аппаратными ключевыми носителями в Linux - 1

Хранение ключей на токенах и смарт-картах обеспечивает дополнительную защиту от внешних и внутренних нарушителей, в том числе имеющих определенный уровень доступа к информационной системе и оборудованию.

Сегодня я расскажу, как мы защищаем ключи шифрования и электронной подписи в наших информационных системах, и сделаю это в подробном, хорошо проиллюстрированном руководстве по настройке SUSE Linux Enterprise Server 12 SP3 для работы с токеном Aladdin JaCarta PKI и КриптоПро CSP KC2 4.0.9944.

Опубликовать данное руководство побудило несколько причин:
Читать полностью »

в 9:09, , рубрики: cades, Litoria, PKI, xades, архивные форматы, Блог компании Газинформсервис, документы, долгосрочное хранение, информационная безопасность, криптография, хранение данных, электронная подпись, электронный документооборот, эцп

Недавно в журнале «Инсайд» мы рассказывали о долгосрочном архивном хранении электронных документов (ЭД), заверенных электронной подписью (ЭП). Статья была посвящена обзору различных точек зрения на организацию этого процесса и подходах к пролонгации свойств юридической значимости ЭД. В ней мы акцентировали внимание на подходе, который предусматривает формирование квитанций документа. Они представляют собой метаданные, содержащие результаты выполненных проверок, а также все необходимые атрибуты, подтверждающие юридическую значимость документа в момент проверки.

Настоящая статья более подробно раскрывает еще один подход к долгосрочному архивному хранению (ДАХ) – формирование усовершенствованной электронной подписи (УЭП), а именно ЭП в архивных форматах CAdES-A и XAdES-A.

Как организовать долгосрочное архивное хранение электронных документов - 1

Читать полностью »

123
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js