x Hur hamnade vi här och vad kan vi göra åt saken

Relevanta dokument
1 Exempel på att kontrollera XML-signatur manuellt

Specifikation av CA-certifikat för SITHS

Föreläsning 7. DD2390 Internetprogrammering 6 hp

SSL/TLS-protokollet och

Certifikattjänsten - testbädd. Anläggningsprojekt för ett nationellt inkomstregister

Inom SITHS e-id finns det certifikat för olika syften som grupperas enligt:

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

Webmail instruktioner

Java Secure Sockets Extension JSSE. F5 Secure Sockets EDA095 Nätverksprogrammering! Roger Henriksson Datavetenskap Lunds universitet

Version Datum Kommentar Etablering av dokumentet Efter första genomgång av Cygate och SITHS PA

Säkerhet Malware och WWW Hashfunktioner Referenser. Säkerhet. Daniel Bosk

Förra gången. Dagens föreläsning. Digitala Certifikat. Vilka man litar på! X.509. Nyckeldistribution. Säkerhetsprotokoll

Förra gången. Dagens föreläsning. Digitala Certifikat. Nyckeldistribution. Säkerhetsprotokoll

Probably the best PKI in the world

Platsbesök. Systemkrav

Cipher Suites. Rekommendationer om transportkryptering i e-tjänster

Certifikat. svensk vård och omsorg HCC

Certifikatspecifikation för Sveriges kommuner och landsting med samarbetspartners HCC

E V - C E R T I F I K AT: VA R F Ö R A N V Ä N D A D E N S TA R K A S T E S S L AUTENTISERINGSPROCESS?

DNSSEC-grunder. Rickard Bellgrim [ ]

Identifiering och autentisering. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

Säkerhet. Säker kommunikation - Nivå. Secure . Alice wants to send secret message, m, to Bob.

Innehåll. Dokumentet gäller från och med version

SSH-protokollet. Niels Möller

Modul 3 Föreläsningsinnehåll

SITHS. Integration SITHS CA Copyright 2015 SecMaker AB Författare: Andreas Mossnelid Version 1.2

Microsoft.NET Version Http Activation MapGuide Open source (installerad på en webbserver, tillgänglig utanför brandväggen) Web Deploy 3.

Instruktion för användande av Citrix MetaFrame

Certifikatspecifikation för Sveriges kommuner och landsting med samarbetspartners HCC

Brandväggar och portöppningar. Manual

Föreläsningens innehåll. Säker kommunikation - Nivå. IPSec. IPSec - VPN. IPSec - Implementation. IPSec - Består av vad?

EXTERN ÅTKOMST TILL SOCIALA SYSTEM FÖR UTFÖRARE INOM ÄLDREOMSORGEN OCH OMSORGEN OM FUNKTIONSHINDRADE

Microsoft Internet Information Services 7 / 7.5

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

Säker e-kommunikation

Visma Proceedo. Att logga in - Manual. Version 1.4. Version 1.4 /

Inom SITHS e-id finns det certifikat för olika syften som grupperas enligt:

Grundläggande datavetenskap, 4p

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

Modul 6 Webbsäkerhet

Öppna standarder, dokumentformat & Sender Policy Framework. 25 Maj 2007 Stefan Görling, stefan@gorling.se

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Extern åtkomst till Sociala system

RIV Tekniska Anvisningar Kryptografi. Version ARK_

EXTRA INFORMATIONSSÄKERHETSÖVERSIKT 3b/ Brister i certifikatsystem

SUNET TCS. TREFpunkt 21. Kent Engström.

Certifikatspecifikation för Sveriges kommuner och landsting med samarbetspartners HCC

Användarguide. Certifikatsansökan

Authentication Context QC Statement. Stefan Santesson, 3xA Security AB

Driftsättning av DKIM med DNSSEC. Rickard Bondesson Examensarbete

RF Kalmar SYSTEMDOKUMENTATION IDP HULTSFRED. Beställare: RF Kalmar. Version:

Tekis-FB Systemkrav

IT-säkerhet Tek Nat Prefektmöte. IT-chef

Skärmbilden i Netscape Navigator

Din guide till IP RFID. Intertex Nu ännu starkare säkerhet för SIP. Snom - marknadens säkraste IP-telefon. Ur innehållet TALK TELECOM

SSL. Kristoffer Silverhav Robin Silverhav

Webbteknik II. Föreläsning 5. Restless farewell. John Häggerud, 2011

Version Namn Datum Beskrivning 1.0 Förutsättningar Vitec Ekonomi 1.1 Marie Justering för krav på Windows Server

Visma Proceedo. Att logga in - Manual. Version 1.3 /

Aktivering av SSL (https).

Swedbank Mobile Loadtesting. LoadRunner Mobile App protocol

Slide 4 PKCS#7. XMLDsig

Teknisk plattform för version 3.7

DNSSec. Garanterar ett säkert internet

Datakommunika,on på Internet

Datasäkerhet och integritet

Aktivering av SSL (https).

Installationsanvisningar

Kerberos baserad Single Sign On, tillämpningsexempel

Telia Centrex IP Administratörswebb. Handbok

PM Dokumentation

tclogin.com Service Desk Tillgång till TeleComputing TCAnyWare

Anonym surfning och säkra klienter

SSEK Säkra webbtjänster för affärskritisk kommunikation

TIDOMAT smartone. Säkerhet via webben

Visma Proceedo. Att logga in - Manual. Version Version /

Då Eduroam använder sig av WPA2 (kryptering) krävs att din dator har stöd för detta.

WWW. Exempel på klientsidan. Överföring av en html-fil. Snyggare variant. Verkligt format. Meddelandeformat för begäran HTTP

Hur hänger det ihop? För att kunna kommunicera krävs ett protokoll tcp/ip, http, ftp För att veta var man skall skicka

LICENSAKTIVERINGSGUIDE. Design Collaboration Suite

Handledning. Procapita Vård och Omsorg Certifikatinstallation avseende LEFI Online Version

Olika slags datornätverk. Föreläsning 5 Internet ARPANET, Internet började med ARPANET

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

DNSSEC och säkerheten på Internet

Visma Proceedo Att logga in - Manual

Det här dokumentet går kortfattat igenom registrerings- och ansökningsprocessen.

INFORMATIONSSÄKERHETSÖVERSIKT 3/

Instruktion för användande av Citrix MetaFrame

Användarmanual för webbapplikationen Fejjan för alla. Manualens version:1.0. Datum: 5 februari 2014

Installationsanvisningar. till IST Analys

Internets historia och utveckling

Säkerhet i applikationslagret och slaget om webben. John Wilander, Omegapoint, Rätt säkerhet, maj 2010

Certifikatbaserad inloggning via SITHS, tillämpningsexempel

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med OTP och SITHS-kort mot Landstinget Västmanland

Anvisningar för klientdator vid inloggning med certifikat på smarta kort

BDS-UNDERHÅLLET. Användarens instruktion Kommunerna

Uppdatera Easy Planning till SQL

Systemkrav. Åtkomst till Pascal

Transkript:

x.509 - Hur hamnade vi här och vad kan vi göra åt saken Jonatan Walck jonatan@xwalck.se xwalck AB 2012-10-18

x.509 - Hur hamnade vi här och vad kan vi göra åt saken HTTPS - grunder x.509 (PKIX) Andra säkerhetsproblem i WWW Internet Explorer BEAST och CRIME Tekniska utvägar Begränsad CA-lista Monkeysphere Convergence DNSSEC (DNS+DANE) Darknets Sociala lösningar

CA hierarkin i korthet Strikt hirarkisk tillit Lista på auktoriteter i varje webbläsare Subdeligeringar från dessa Fleratal rouge CA:s ute Comodo 2011 Diginotar 2011-09??? (No) PROFIT! EV

Auktoriteter i Firefox

Exempel på ett certifikat Certificate: Data: Version: 3 (0x2) Serial Number: 36876 (0x900c) Signature Algorithm: sha1withrsaencryption Issuer: C=SE, O=xwalck AB, CN=xwalck Certificate Authority/emailAddress=info@xwalck.se Validity Not Before: Sep 24 21:54:29 2012 GMT Not After : Sep 24 21:54:29 2013 GMT Subject: C=SE, O=xwalck AB, CN=xwalck.se Subject Public Key Info: Public Key Algorithm: rsaencryption Public-Key: (4096 bit) Modulus: 00:92:d3:c2:c9:c5:48:27:8a:96:9c:ff:2b:25:9e:......... b2:d3:9b Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Key Identifier: E8:D6:06:4A:A5:A3:F4:9C:C7:2E:FA:BE:26:D3:58:97:B8:58:D9:D5 X509v3 Authority Key Identifier: keyid:ed:50:d9:07:5c:0f:3e:a6:33:c8:aa:33:5e:46:f5:94:15:68:c5:1c X509v3 Basic Constraints: CA:FALSE X509v3 Key Usage: critical Digital Signature, Non Repudiation, Key Encipherment Netscape Cert Type: SSL Server X509v3 Extended Key Usage: TLS Web Server Authentication X509v3 Subject Alternative Name: DNS:xwalck.se, DNS:www.xwalck.se Signature Algorithm: sha1withrsaencryption 31:4d:6d:26:6c:d4:15:37:bd:d9:43:dc:97:78:00:49:00:2e:......... 4d:37:49:da:3a:4a:b9:b9

Exempel på ett certifikat (2) Certificate: Data: Version: 3 (0x2) Serial Number: 36876 (0x900c) Signature Algorithm: sha1withrsaencryption Issuer: C=SE, O=xwalck AB... Validity Not Before: Sep 24 21:54:29 2012 GMT Not After : Sep 24 21:54:29 2013 GMT Subject: C=SE, O=xwalck AB, CN=xwalck.se X509v3 extensions:......... X509v3 Subject Alternative Name: DNS:xwalck.se, DNS:www.xwalck.se

x.509 - Hur hamnade vi här och vad kan vi göra åt saken HTTPS - grunder x.509 (PKIX) Andra säkerhetsproblem i WWW Internet Explorer BEAST och CRIME Tekniska utvägar Begränsad CA-lista Monkeysphere Convergence DNSSEC (DNS+DANE) Darknets Sociala lösningar

Internet Explorer Behöver det ens nämnas?

x.509 - Hur hamnade vi här och vad kan vi göra åt saken HTTPS - grunder x.509 (PKIX) Andra säkerhetsproblem i WWW Internet Explorer BEAST och CRIME Tekniska utvägar Begränsad CA-lista Monkeysphere Convergence DNSSEC (DNS+DANE) Darknets Sociala lösningar

BEAST - Browser Exploit Against SSL/TLS September 2011 Påverkar TLS 1.0 och tidigare (TLS 1.1 släpptes 2006)

CRIME - Compression Ration Info-leak Made Easy September 2012 Kan hämta ut en sessionskaka från en HTTPS-skyddad länk.

x.509 - Hur hamnade vi här och vad kan vi göra åt saken HTTPS - grunder x.509 (PKIX) Andra säkerhetsproblem i WWW Internet Explorer BEAST och CRIME Tekniska utvägar Begränsad CA-lista Monkeysphere Convergence DNSSEC (DNS+DANE) Darknets Sociala lösningar

Färre auktoriteter Inte en lösning utan primärt nya problem Kostnaden av att ta bort ett root CA...

x.509 - Hur hamnade vi här och vad kan vi göra åt saken HTTPS - grunder x.509 (PKIX) Andra säkerhetsproblem i WWW Internet Explorer BEAST och CRIME Tekniska utvägar Begränsad CA-lista Monkeysphere Convergence DNSSEC (DNS+DANE) Darknets Sociala lösningar

Monkeysphere - OpenPGP WOT certifikat Ingen ökad säkerhet utan kunskapsnivå Kräver ändringar hos klienten

x.509 - Hur hamnade vi här och vad kan vi göra åt saken HTTPS - grunder x.509 (PKIX) Andra säkerhetsproblem i WWW Internet Explorer BEAST och CRIME Tekniska utvägar Begränsad CA-lista Monkeysphere Convergence DNSSEC (DNS+DANE) Darknets Sociala lösningar

Convergence Det senaste för ett år sedan Mer agile (notaries kan förkastas, till skilland från root CAs) Kräver ändringar hos klienten http://convergence.io/

x.509 - Hur hamnade vi här och vad kan vi göra åt saken HTTPS - grunder x.509 (PKIX) Andra säkerhetsproblem i WWW Internet Explorer BEAST och CRIME Tekniska utvägar Begränsad CA-lista Monkeysphere Convergence DNSSEC (DNS+DANE) Darknets Sociala lösningar

DNSSEC behövs! (Av helt andra anledningar) Färre attackvektorer, mer centralisering Fler ägg i samma korg

Och på ämnet flera ägg i en korg... <rant>

När HTTP är det nya TCP When in doubt, HTTP API Istället för standarder (men det kan kalla för det) Inte bara overhead, HTTPS blivit så viktigt (och lidande). </rant>

x.509 - Hur hamnade vi här och vad kan vi göra åt saken HTTPS - grunder x.509 (PKIX) Andra säkerhetsproblem i WWW Internet Explorer BEAST och CRIME Tekniska utvägar Begränsad CA-lista Monkeysphere Convergence DNSSEC (DNS+DANE) Darknets Sociala lösningar

I2P och TOR med vänner Helt annan lösningsväg För diskussion ikväll?

Utvecklare! Utvecklare! Utvecklare! Det är kul att leka med, testa alternativen! (Det kan iaf inte bli värre.)

Utbildning! Utbildning! Utbildning! Ett system blir aldrig säkrare än sin dummaste (läs minst utbildade) användare.:)

Tack! Frågor? Lösningar? jonatan@xwalck.se