תוכנת התקנת תעודת אבטחה חדשה

aiib

@נטפריס אמר בתוכנת התקנת תעודת אבטחה חדשה:

אלא גם מקטין את הכח שיש בידי הספק שיהיה רק מול לקוחותיו שלו שנתנו בו אמון.

מה הכוונה?

yzahn

@aiib לספק יש כח לפענח את כל התעבורה שלך, וממילא אתה חייב לתת בהם אמון, לא רוצים מצב שאתה בחרת בספק A כי אתה סומך עליהם, וספק B (שאתה לא בהכרח סומך עליו שלא יעשה שימוש לא הוגן בתעודה) יוכל לפענח את התעבורה שלך.

shraga

אפשר שיהיה תעודה נפרדת לכל ספק, אך תוכנת התקנת התעודה תתקין את כל התעודות הקיימות. זה יחסוך הרבה טירחה.

נטפריס

@shraga אמר בתוכנת התקנת תעודת אבטחה חדשה:

אפשר שיהיה תעודה נפרדת לכל ספק, אך תוכנת התקנת התעודה תתקין את כל התעודות הקיימות. זה יחסוך הרבה טירחה.

זה בדיוק כמו תעודה אחת לכל הספקים.
כי אם מותקן במחשב הלקוח את כל התעודות ממילא כל ספק יכול ליירט תקשורת (אל תשאל אותי איך) ולחתום בתעודה שלו וזה יעבוד יופי.

aiib

@נטפריס אמר בתוכנת התקנת תעודת אבטחה חדשה:

(אל תשאל אותי איך)

זה מה ש @shraga שאל בדיוק...

shraga

@נטפריס
כל ספק יכול לחתום רק בתעודה שהוקצתה עבורו ולא בתעודה שהוקצתה עבור שאר הספקים, ונטפרי יכולים לבטל את התעודה הספציפית. כך לענ"ד. וחוזרת השאלה..
אולי @magicode יעשה לנו קצת סדר. או יקבל את ההצעה.

נטפריס

@aiib ממש לא. כי השאלה הזאת מבטלת גם את הצורך בתעודות נפרדות לחלוטין וזו לא הייתה שאלתו.

magicode

@shraga
איך נטפרי יכולה לבטל את התעודה הספציפית אחרי שזה מותקן אצל הלקוח?
בלי אפשרות של CRL. שזה לא הכי אמין. כי אפשר לחסום את הגישה לזה.

נטפריס

@magicode אני מבין שאתה מדבר על ספק לשעבר, כי ספק בפועל אתה לא מעוניין לבטל גם אם אפשר.

aiib

@נטפריס אמר בתוכנת התקנת תעודת אבטחה חדשה:

@aiib ממש לא. כי השאלה הזאת מבטלת גם את הצורך בתעודות נפרדות לחלוטין וזו לא הייתה שאלתו.

לא הבנת אותי
כתבתי שבדיוק מפני ש @shraga לא ידע שהספק יכול לשאוב את שאר התעודות הוא הציע את מה שהציע

yzahn

@shraga אמר בתוכנת התקנת תעודת אבטחה חדשה:

כל ספק יכול לחתום רק בתעודה שהוקצתה עבורו ולא בתעודה שהוקצתה עבור שאר הספקים, ונטפרי יכולים לבטל את התעודה הספציפית. כך לענ"ד. וחוזרת השאלה..

• כפי שידוע לך, חלק מהתעבורה שזורם באינטרנט הוא מאוד מאוד רגיש. (הן מהבט הפרטיות הן מהבט של אבטחת רכוש ועוד)
• מכיון שכך שומה על נטפרי לנהוג במשנה זהירות בכל הקשור לאבטחת התעבורה.
• אדם או גוף שמחזיק מפתח פרטי של תעודת שורש שמהימן על מחשב כלשהוא יכול להאזין ויותר גרוע לשנות דברים בתעבורה המוצפנת שהמחשב ההוא שולח לאינטרנט.
• משכך, המפתח הפרטי הנ"ל הוא הנכס הכי חשוב ושצריך הכי הרבה אבטחה מסביבו.
• בכל הנוגע לאבטחה, ידוע מנסיון (מרה) רבת שנים שלא מספיק להאבק רק בסכנות הידועות, אלא שצריך לבנות תשתית בצורה שהיא חסינה גם מפני סכנות חדשות שיוולדו, אפילו סכנות כאלה שאף אחד לא היה יכול לדמיין אותם בשעת בניית המערכת
• אחד מהא'ב' של אבטחה בדרך הנ"ל הוא להגביל את ההרשאות של כל גוף במערכת למינימום הנדרש כדי לבצע את תפקידו (Principle of least privilege). זה מחסן את המערכת מאוד מפני סכנות בלתי מוכרות.
• על פי הנ"ל הוחלט (לא הייתי שם, אבל אם הייתי שם כך הייתי מחליט מסיבות הנ"ל) להגביל את הכח של כל ספק רק לחלק מהתעבורה שהוא אחראי עליו. זה ממעט משמעותית מאוד את הכח שלהם. במקום שלכל ספקים יהיה יכולת להאזין לתעבורה של כל קבוצות הלקוחות, עכשיו לכל קבוצת לקוחות יש (בד"כ) רק ספק אחד עם הרשאות האזנה לתעבורה שלו.

ההצעה שלך מנסה לטפל מקומית בבעיה אחת שעליו חשבת, אבל חוץ ממה שזה לא מטפל לגמרי בבעיה כי א) כמו ש@magicode כתב, זה לא כ"כ פשוט לפסול תעודה, וב) זה רק יעזור במקרה שנטפרי מודעים לזה שהתעודה הגיעה לידיים זרות או שנעשתה בו שימוש לא הוגן, אבל לדעתי הרבה יותר גרוע מזה הוא שע"י התקנת כל התעודות בכל המחשבים אתה שובר את כל החסינות הזאת שנגרם ע"י הגבלת הפריבילגיות הנ"ל.

--- עניות דעתי בנושא...

(סליחה על הדרשה הארוכה... בפרט שאנחנו בדור ה-twitter וה-140 תווים... ובפרט שרוב מה שכתבתי הוא פשוט ולא הוצרך ליכתב...)

yzahn

@aiib אמר בתוכנת התקנת תעודת אבטחה חדשה:

לא הבנת אותי
כתבתי שבדיוק מפני ש @shraga לא ידע שהספק יכול לשאוב את שאר התעודות הוא הציע את מה שהציע

אתה לא הבנת משהו, אין דרך לספק לשאוב תעודות של ספק אחר. החלק שמותקן במחשב לא סודי, החלק הפרטי מותקן בשרת של הספק ואין לאף אחד גישה אליו.

shraga

@yzahn אמר בתוכנת התקנת תעודת אבטחה חדשה:

אבל לדעתי הרבה יותר גרוע מזה הוא שע"י התקנת כל התעודות בכל המחשבים אתה שובר את כל החסינות הזאת שנגרם ע"י הגבלת הפריבילגיות הנ"ל.

עדיין לספק יש הרשאות האזנה רק לתעבורה שלו. מה זה משנה אם אני מתקין תעודה של ספק בודד על המחשב או של כל הספקים? מבחינת הספק יש לו את המפתח הפרטי רק של התעודה שהונפקה עבורו.

yzahn

@shraga אמר בתוכנת התקנת תעודת אבטחה חדשה:

עדיין לספק יש הרשאות האזנה רק לתעבורה שלו.

@נטפריס אמר בתוכנת התקנת תעודת אבטחה חדשה:

כל ספק יכול ליירט תקשורת (אל תשאל אותי איך) ולחתום בתעודה שלו וזה יעבוד יופי

הספק יכול להשתמש בתעודה שלו מול כל מחשב שסומך על התעודה שלו. אם כל המחשבים יסמכו על כל התעודות, יוצא שכל הספקים יכולים להאזין לכל המחשבים.

אלא אם כן אתה שואל איך טכנית הספק יגיע לתעבורה של ספק אחר? על זה כבר ענה מי שענה "אל תשאל אותי איך", אם כן איך אתה מעיז לשאול?

100

ועדיין,
שהתוכנה תזהה את הספק ותתקין את רק את התעודה שלו?

ליכט

@yzahn אמר בתוכנת התקנת תעודת אבטחה חדשה:

הספק יכול להשתמש בתעודה שלו מול כל מחשב שסומך על התעודה שלו. אם כל המחשבים יסמכו על כל התעודות, יוצא שכל הספקים יכולים להאזין לכל המחשבים.

אלא אם כן אתה שואל איך טכנית הספק יגיע לתעבורה של ספק אחר? על זה כבר ענה מי שענה "אל תשאל אותי איך", אם כן איך אתה מעיז לשאול?

יוצא א"כ, שקיים חור כלשהו באבטחה של נטפרי, כי הרי ישנם הרבה שעברו מספק לספק וכדו', ומותקן במחשב שלהם יותר מתעודה אחת.
האמנם ?!

yzahn

@ליכט לא הייתי קורא לזה חור. (בינתיים לא ידוע (לי) על מקרים שתעודות נוצלו לרעה ע"י אינשי דלא מעלי).

אם כי זה נכון שמומלץ להסיר את התעודות המיותרות כאשר אתה משנה ספק. אבל זה רק משום מהיות טוב.

957

אין לספק דרך ליירט את התעבורה שלך אם אתה לא משתמש באינטרנט שלו .

נטפריס

@957 אמר בתוכנת התקנת תעודת אבטחה חדשה:

אין לספק דרך ליירט את התעבורה שלך אם אתה לא משתמש באינטרנט שלו .

אכן אין לספק עדיפות על כל אחד אחר, אבל לכל אחד יכולה להיות דרך.
רק צריך ציוד מתאים, ובמקרה של wifi (אני מעריך של90 אחוז מאיתנו יש) גם זה לא צריך.

957

@נטפריס
אם תדייק בדברי, כתוב אם אתה לא משתמש באינטרנט שלו,
בכל מקרה שנינו מבינים שלא לזאת הכוונה ולא מדובר על חשש סביר,