1. Fórum Root.cz
  2. Profil majvan
  3. Zobrazit příspěvky
  4. Příspěvky

Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - majvan

Stran: [1]
1
Server / Re:Certifikáty na souborovém systému jen ke čtení
« kdy: 01. 10. 2024, 20:44:09 »
Vďaka za odpoveď.
Možno som sa zle vyjadril, pre mňa nie je Let's Encrypt nejaký požiadavok, ak by som šiel cestou CA. Akú má výhodu komerčný certifikát, resp. certifikát od inej CA ako Let's Encrypt?

Tiež som celkom nepochopil s tým HSM. Predpokladám, že k serveru nebudem mať prístup (cloud), takže TLS bude bežať s privátnym kľúčom z úložiska cloudu.
Ja si len zapíšem u mňa na Trezor ten privátny kľúč pre prípad, že by som potreboval certifikát a kľúč opätovne uploadoval do cloudu (napríklad pre prípad, že by som službu so zdrojmi musel ešte raz definovať).
Správne tomu rozumiem?

2
Server / Re:Certifikáty na souborovém systému jen ke čtení
« kdy: 01. 10. 2024, 10:05:01 »
Citace: Filip Jirsák  01. 10. 2024, 09:37:43
Tohle platí v případě, že přijedete o ten privátní klíč (např. se zničí token, kde je uložený). Pokud by došlo ke kompromitaci privátního klíče (tj. získal by ho někdo jiný), čas nemáte – protože i když vy začnete používat druhý klíč na serveru, úročník má k dispozici ten první kompromitovaný klíč, kterému ta zařízení stále důvěřují.
Súhlasím, zle som sa vyjadril. Ak by bol predchádzajúci certifikát zničený (ale nie kompromitovaný), mám čas na update.

Existuje teda nejaký spôsob, ako riešiť, že bol privátny kľúč kompromitovaný? Napríklad, že by sa pri TLS verifikovali dva certifikáty naraz Len to by potom si musel zvoliť TLS jeden, s ktorým začne komunikáciu - a môže to byť práve ten kompromitovaný.
Asi neexistuje iné riešenie v tomto prípade, len práve ísť cestou PKI a obmieňať v zariadeniach certifikáty root CA.

3
Server / Re:Certifikáty na souborovém systému jen ke čtení
« kdy: 01. 10. 2024, 09:19:01 »
Citace: Filip Jirsák  30. 09. 2024, 17:25:23
Když ten certifikát nebudete updatovat vůbec (resp. nebudete mít tu možnost), existuje riziko, že když dojde ke kompromitaci privátního klíče, nemáte jak to vyřešit – jak ta zařízení přesvědčit, aby kompromitovanému klíči nevěřila. Tj. ani tak nejde o to, že by s delším používáním rostlo riziko kompromitace, to není tak velký problém – podstatné je, že kdyby k tomu došlo, nemáte jak tu situaci vyřešit. (Maximálně můžete informovat všechny zákazníky, ať to zařízení přestanou používat a odpojí ho od sítě.)
To je isto pravda, ale to zariadenie dokáŽe pracovať samostatne aj bez toho serveru, takže sa len nepodarí nejaká operácia. Na to, aby som nenechal všetky zariadenia pracovať v tomto degradovanom režime, tak by mali zariadenia vždy inštalované 2 certifikáty. Jeden súčasne používaný a druhý jeho náhrada. Ak príde ku kompromitácii, vymením certifikát a zariadenia budú fungovať ďalej.
Tým som získal dostatok času na vytvorenie nového záložného certifikátu a postupné servisovanie zariadení pre výmenu starého kompromitovaného certifikátu za nový.

Citace: Filip Jirsák  01. 10. 2024, 08:11:25
Pokud to zařízení nebude poslouchat na síti a bude jenom v roli klienta dvou známých protokolů (DNS a HTTPS), přičemž to HTTPS bude omezené na jeden server pod kontrolou poskytovatele zařízení, je vektor útoku velmi malý. Takové zařízení bude podstatně bezpečnější, než pravidelně aktualizované zařízení, kde běží spousta služeb.
Presne tak. Príde mi, že vzdialený servis s možnosť patchovania celého systému, a teda možnosť úpravy celého FS, má oveľa väčšie riziko (severity * probability) ako kompromitácia https certifikátu.

4
Server / Re:Certifikáty na souborovém systému jen ke čtení
« kdy: 30. 09. 2024, 15:59:05 »
Ak začínam správne chápať, tak Let's Encrypt je CA najvyššej úrovne, t.j. ten ISRG, ktorý ma Expiration Date v roku 2035, patrí Let's Encrypt?

Tomuto celkom nerozumiem:
Citace: Filip Jirsák  30. 09. 2024, 13:56:23
Pokud je víc alternativních certifikačních cest (což je třeba případ výměny kořenového certifikátu), je možnost při vydávání certifikátu si zvolit, která cesta se má použít.
Znamená to, že už pri vydávaní certifikátu má certifikát zapísaných viacero alternatív k (PKI) rodičovským certifikátom?

Ak som správne pochopil, tak Let's Encrypt vydáva certifikáty na krátke obdobie (niekoľko mesiacov, alebo pár rokov), takže ak pôjdem cestou certifikačnej autority, tak vidím skôr riešenie v manažovaní tých koreňových trusted certifikátov pre klienta a to tak, že bude treba vystihnúť dobu, počas ktorej sa budú musieť certifikáty na všetkých embedded zariadeniach updatovať.

V prípade, že si sám podpíšem certifikát, tak si musím update manažovať tiež sám. Poprípade nebudem updatovať certifikát vôbec, čím viac riskujem zvýšenú možnosť kompromitácie po nejakom čase...

5
Server / Re:Certifikáty na souborovém systému jen ke čtení
« kdy: 30. 09. 2024, 13:32:31 »
Citace: mark42  30. 09. 2024, 12:48:21
@majvan - ak predpokladas, ze zariadenie ma fungovat dlhsie ako 5-6 rokov, tak urcite bude potrebovat neaky extra storage, kam vies nahrat nove root certifikaty Let's Encrypt. Aktualne maju RSA root do 2030-06-04 a ECDSA root do 2035-09-04, ale je sanca, ze jeden alebo aj oba budu rotovat aj skor.

Vdaka za odpoved. Pozeral som tiez nejake certifikaty a ISRG, ktory je root pre Let's Encrypt ma naozaj do 2035. Nakolko vsak tvrdite viaceri, ze budu rotovat skor, pozrel som si, ako to prebieha.

Ak spravne chapem, tak je tam nejaka perioda prekryvu, kedy je este platny stary certifikat a uz je platny aj novy certifikat. Pocas tejto periody prekryvu je potrebne patchovat operacne systemy (alebo prehliadace / systemy s vlastnym uloziskom root certifikatov).
Aka dlha byva tato doba? Je nejaky mechanizmus na query "je novy certifikat", alebo v sucasnosti sa spolieha na to, ze pocas tejto doby prebehne update, ktory ten novy certifikat ziska?

6
Server / Certifikáty na souborovém systému jen ke čtení
« kdy: 29. 09. 2024, 22:58:10 »
Mám embedded zariadenie, ktoré má read-only root filesystem a ktoré bude nainštalované bez ďalšieho prístupu k nemu niekde v teréne.
Chcem dať naňho aplikačného klienta, ktorý komunikuje s https serverom, ktorý bude mať certifikát podpísaný od Let's Encrypt.

Ako zabezpečiť, aby bolo toto zariadenie stále schopné akceptovať certifikát https servera?
Akú periódu obnovy má Let's Encrypt certifikát? Ako funguje v Linuxe update trusted root certifikátov?

7
Desktop / Read only root
« kdy: 16. 08. 2022, 11:37:06 »
Ahojte,
chcel by som nájsť vhodnú desktopovú distribúciu spolu s návodom, ako eliminujem zápisy do root adresára a podadresárov (okrem /home) a to tak, že takýto systém môže bežať teoreticky nekonečne dlho (t.j. nezaplní sa mi RAM-ka s tmpfs overlay).
Niečo na spôsob kiosku. De-facto potrebujem odstrániť žurnál a všetky služby, ktoré zapisujú na disk.

Výsledné riešenie by malo bežať GNOME, Gtk+ aplikácie (mono) a byť pripojené cez metalický kábel do internetu.

Vďaka.

Stran: [1]