Puncte:0

Sunt vulnerabile certificatele de entitate finală fără extensie de constrângeri de bază?

drapel cn

Autoritățile publice de certificare par să includă întotdeauna extinderea constrângerilor de bază.De ce este aceasta o bună practică? Care este riscul pentru o PKI de a emite certificate de entitate finală care nu au „semnarea certificatelor” în lista de utilizare a cheilor, dar nu au extensia constrângerilor de bază?

Am citit părți din https://www.ietf.org/rfc/rfc5280.txt. Din câte am înțeles, certificatele CA trebuie să aibă bitul keyCertSign și extensia de constrângeri de bază critice. Încă mă întreb dacă certificatele pentru TLS sau Code Signing trebuie să aibă extensia constrângerilor de bază, deoarece biții de utilizare a cheilor par deja să prevină utilizarea greșită. Dacă este din cauza anumitor implementări vechi, aș dori să știu care dintre ele.

Ca experiment, am emis un certificat de la un certificat intermediar fără extensia de constrângeri de bază și cu utilizarea cheii âDigital Signature, Key Encipherment (a0)â. Pentru acest certificat nevalid din lanț, vizualizatorul de certificate Windows spune „Acest certificat nu pare a fi valabil pentru scopul selectat”. Deci, nu pot găsi un exploit specific pentru acest certificat în implementarea curentă Windows, dar nu sunt sigur dacă este vulnerabil pentru alte utilizări.

dave_thompson_085 avatar
drapel cn
Deși granița dintre cripto și securitate este adesea neclară, aș spune că acest lucru aparține din partea securității, unde certificatele și în special certificatele CA sunt discutate mult; **Pentru acest caz, consultați** linkurile pe care le-am colectat la https://security.stackexchange.com/questions/249347/what-differentiates-a-ca-cert-from-a-server-cert .
Puncte:0
drapel ru

Vulnerabilitatea este specifică implementării; unele implementări vor verifica în mod conservator utilizarea cheii, altele nu. Eșecul CA de a completa câmpul de constrângeri de bază și eșecul browserelor de a verifica câmpul a fost exploatat de către Moxie Marlinspike și instrumentul său sslsniff (vezi diapozitive din discursul său BlackHat din 2009). Deoarece această discuție depune un efort mult mai mare pentru a se asigura că aceste câmpuri sunt validate și verificate, totuși oricine care folosește un browser moștenit este potențial încă vulnerabil (Marlinspike menționează IE, Konqueror și OpenSSL ca fiind vulnerabile inițial și adaugă în mod amenințător „Ai fi surprins cine încă nu verifică constrângerile de bază.").

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.