OpenOffice.org - najpopularniji slobodni kancelarijski paket; obrada teksta, tablice, prezentacije, baze podataka; preuzmite besplatno sa http://sr.openoffice.org
 

Sigurnost samopotpisanog sertifikata

Izvršio svoju „građansku dužnost“ i poslao pismo, čekam odgovor tokom nedelje.

Dodatak: Danas, prvog radnog dana po slanju pisma, primio sam odgovor e-postom i po naknadnom telefonskom pozivu iz Halcoma su mi potvrdili verodostojnost pomenutog otiska. Naravno, ovim ne pozivam da vi verujete meni, već skrećem pažnju da efikasno možete da proverite i osigurate sigurno korišćenje usluge elektronskog bankarstva.

Želim javno da pohvalim profesionalan odgovor tehničke službe i razgovor sa Anom Stojaković, vođe opšte službe Halcom a.d. Beograd. Halcom je u proceduri registracije sertifikacionog tela za izdavanje kvalifikovanog elektronskog potpisa u registru MTID-a, a potvrđeno mi je da će sugestiju da preuzimanje korenskog sertifikata bude ponuđeno na stranici koja je verifikovana sertikatom u već priznatom stablu biti prosleđena dalje.

Za: helpdesk na halcom tačka rs
Kopija: Nikola Bakaric <ca na halcom tačka rs>
Naslov: Sigurnost samopotpisanog sertifikata


Poštovani,

Pokušao sam da koristim uslugu VobHomeBanka Vojvođanske banke koja se
pruža preko lokacije webebank.ebb-bg.com odakle sam odlaskom na
www.ebb-bg.com došao i do ove kontakt adrese Halcoma.

SSL sertifikat koji se koristi za zaštitu komunikacije (CN =
webebank.ebb-bg.com, ID: 42 89 08 96 F6 91 56 02) nije izdat od strane ni jednog poznatog sertifikacionog tela, već internog CA tela:

        CN = EBB Beograd CA 2
        O = Halcom
        GUID Microsoft домена = EBBBG2
        C = SI
        ID: 45 42 42 5F 42 47

Sa ulazne stranice pod opcijom "Namesti sertifikat servera" moguće je
preuzeti korenski sertifikat tog internog CA.

Interesuje me kako ja kao korisnik mogu da verifikujem da CA sertifikat
koji ću tako preuzeti i postaviti na računar zapravo jeste sertifikat u
vlasništvu Halcom/EBB, a ne sertifikat zlonamernog napadača.

Pogledao sam PDF dokument Pravilnik rada sertifikacionog tela Halcom BG
CA sa vašeg sajta, ali tamo se ne pominje ovo drugo interno
sertifikaciono telo, iako ni pominjanje ne bi rešilo moj problem.

Pretpostavimo da se napadč nalazi između mene i Vašeg servera, ne možete
očekivati da ću za zaštitu komunikacije verovati sertifikatu CA tela
nezaštićeno preuzetim upravo sa servera koji i želim da verifikujem? Ako
ispravno razumem metod rada, u ovom slučaju svaki administrator mreže
između može lako da izvede Man-in-the-middle napad ponudivši mi
sertifikat njegovog lokalnog CA tela koji po svemu osim javnom ključu liči na Vaš
i nakon toga takođe napraviti proizvoljan sertifikat za sam sajt.

Da li otisak korenskog sertifikata internog CA tela (u konkretnom slučaju SHA1
otisak je 98 6C E2 97 44 D4 33 91 02 2B 48 92 00 B0 60 C2 13 C7 86 4E)
mogu da uporedim makar telefonom i da li je takav postupak uopšte
dovoljno siguran?

Kako za takve provere više verujem programerima softvera nego sebi, mogu
li elektronski sa neke druge stranice zaštićene sertifikatom izdatim od
priznatog CA, sa odgovarajućom klasom validacije (SSL-EV) koja bi
garantovala da iza te stranice stoji upravo Halcom/EBB da preuzmem
korenski sertifikat internog CA tela?

Unapred Vam zahvaljujem na posvećenom vremenu i odgovoru. Poruku sam
pored helpdesk adrese prosledio i na e-adresu Nikole Bakarića koja se
nalazi u pomenutom PDF dokumentu.

S poštovanjem,
Goran Rakić

Dodatak: Početkom septembra 2011. izdat je i postavljen novi krajnji sertifikat. Izdavač je ostao isti, korenski sertifikat je interno sertifikaciono telo. Kako nemam poverenje u bezbednost, nisam označio taj korenski sertifikat kao onaj kome verujem za bilo koji izdat ispod i eksplicitno sam obeležio kranji. Sada po promeni moram isto da uradim i za novi.
SHA1 otisak je BC D3 E3 DA DC 4F 17 44 07 FA 66 C5 3E 00 3D 41 1F 28 CD 5F. Međutim, kako ne možete biti sigurni da čitate neizmenjen članak sa ovog bloga, ovaj podatak ovde napisan ne omogućava sigurnu proveru.

 

August 15, 2010 4:07 AM | elpotpis, fsn, ostalo


Komentari

hehe bash si reshio da ih isprozivash za kljuceve... banke samo prave probleme ;)

postoji li neko u srbiji ko moze da potpisuje kljuceve a ko je vec u trust lancu? drzava?

i kad na kraju sve i namestish, hoce li njihov ebanking da radi na necemu sto radi na linuxu?

Objavio Miroslav Madzarevic u August 15, 2010 1:20 PM

CA sertifikat Pošte (http://www.ca.posta.rs/) je uključen u Windows Root Certificate Program of 2009. godine, ali nije dostupan u Firefoxu. MUP CA sertifikat kao ni PKS CA nije ni u jednoj listi. PKS CA se i ne trudi da na sajtu prikaže detalje njihovih korenskih sertifikata.

Ovaj Halcom ebanking za stanovništvo radi pod GNU/Linuksom, reč je o običnoj veb aplikaciji sa prijavom korisničkim imenom i lozinkom, zaštićenoj HTTPS-om.

Objavio Goran Rakić u August 15, 2010 1:21 PM

Успут, сертификат Поштанске штедионице (потербан за homeb@nking) и Телекома (потребан за moj r@cun) су такође самопотписани.

Objavio Александар Урошевић u August 15, 2010 2:26 PM

Isti (Halcom/EBB) servis koristim i ja za Alpha banku.

Objavio Бранко Ђурковић u August 15, 2010 2:57 PM

Ako niko nikome ne veruje, nije ni čudo što banke i firme podižu svoje CA. Većina sertifikata je nastala i koristi se i od pre zakona o istima.

Meni je najvažnije pitanje kako može da se koristi lična karta u potpisivanju dokumenata ali tako da to radi na Linuks i drugim slobodnim sistemima.
To je osnova poslovanja i _mora_ da bude dostupno i na slobodnim platformama (ako već radi kažite).

Po prepisci koju sam imao sa MUP početkom godine, postoji rešenje za linuks na Etf i koristi se ali ne stavljaju ga na raspolaganje na svojim stranama jer ne razumeju da nije potrebno da pakuju pakete za sve distribucije (rpm, deb itd)
Ne otvaraju kod jer to "nemaju u praksi" a za specifikaciju pristupa kartici i uslugama koje pruža, bilo bi dobro da pitate i vi, pošto sam stekao utisak da što se više ljudi interesuje i nudi saradnju, da će pre da to reše.

Objavio John Markovic u August 15, 2010 9:53 PM

Eh, kvalifikovani elektronski potpis, slabo se to koristi još uvek... Ako ne grešim, prepreka za korišćenje na GNU/Linuksu je da se za slobodan pružalac PKCS#11 interfejsa, konkretno OpenSC, emulira format pametne kartice na kojoj se nalazi X.509 sertifikat tako da se ona predstavi u PKCS#15 standardu.

Nije mi poznata ta priča o MUP-ETF, moguće da imaju deo slagalice, ali lično u to ne verujem. Ne znam kakav kod bi to trebalo da otvaraju? Ako misliš na onaj programčić „Čitač elektronske lične karte - ČELIK“, to nema veze sa elektronskim potpisivanjem.

Onda bi u Mozillin NSS mogao da se uveze OpenSC modul i dalje kroz ovu biblioteku funkciaj dolazi do svog ostalog aplikativnog softvera.

Pošta nudi vlasnički AES međusloj za GNU/Linuks, nemam iskustva kako to radi u praksi. Verovatno takođe nudi komercijalni PKCS#11 modul koji pristupa kartici.

Korišćenje nekvalifikovanog sertifikata je moguća lako, dovoljno je da se uveze u NSS, problem je kada treba koristiti sertifikat sa pametne kartice.

Objavio Goran Rakić u August 15, 2010 9:54 PM

Objavite komentar









Zapamti lične podatke i za naredni unos?




Zbog povećane količine SPAM-a u komentarima, prinuđen sam da vas malo maltretiram... Kao što je i očekivano, upišite dve reči sa slike u polje ispod (ako su reči nejasne, kliknite na crvene strelice za novu kombinaciju):



Slanjem komentara odobravate prikazivanje i trajno arhiviranje teksta komentara na ovom blogu uz uslov navođenja unesenog imena autora i zadržavate sva ostala prava i punu odgovornost za objavljeni sadržaj.




GNOME lover
blog.goranrakic.com - Goran Rakić / Горан Ракић
Objavljeno pod uslovima licence Creative Commons Autorstvo 3.0 Srbija.
Sva prava i odgovornost za objavljene komentare zadržavaju njihovi autori.
Creative Commons License