А тип криптосистемы ML-KEM (она же – Kyber) на русском лучше писать так: “модуль-решёточная криптография”.
Вообще, определить ML-KEM, как прикладную криптосистему, можно совсем не используя соответствующее понятие решётки. Без модулей и колец – определить не выйдет, поскольку векторы и многочлены непосредственно служат элементами алгоритмических структур (достаточно того, что открытый текст представляется в виде многочлена). Но решётки, как один из мощных инструментов теоретической криптографии, тут возникают при доказательстве предположений о стойкости криптосистемы. Ну, или в другую сторону: выбор базовой задачи данной криптосистемы основан на оценках вычислительной сложности задач “на решётках”.
То есть, как ни крути, а решётки имеют определяющее значение, но с точки зрения базовой задачи, которая напрямую в ML-KEM не используется. Так же, кстати, написано и в стандарте NIST, где термин “решётка”, если не считать употребление его в названии, используется всего пару раз. (При этом, кстати, не совсем корректно писать, что используемая криптография “основана на задачах из теории решёток” – на этих задачах основаны предположения о стойкости, а не криптографические алгоритмы; не то чтобы радикальное изменение смысла, но существенные детали теряются.) И необходимо учитывать, что математический термин “решётка” (русский) и математический термин lattice (английский) – различаются в трактовках, даже если смотреть узкую интерпретацию, поэтому для строгих определений всё равно потребуются уточнения.
“Модулярная решётка” – явно не подходит, поэтому пусть будет “модуль-решёточная”. Ведь главное тут – чтобы криптосистема не оказалась решетчатой, но от слова “решето”.
Комментировать »
Исследователями из Watchtowr опубликовано подробное описание того, как обнаружили возможность и реализовали удалённое исполнение кода (RCE) в свежей CVE-2025-0282 (Ivanti Connect Secure – это, как нередко случается, корпоративный продукт для “защищенного корпоративного VPN”).
Описание по ссылке выше – довольно техническое, требует специальных знаний для понимания. Если кратко, то основой данной уязвимости является типовое переполнение буфера из-за перепутанных в исходном коде значений максимального размера массива, но вот для успешной реализации – потребовались не самые прямолинейные техники.
Как справедливо замечают в тексте описания исследователи, исходную ошибку, приводящую к переполнению буфера, смог бы обнаружить даже простой статический анализатор кода. Но, в принципе, понятно, почему статический анализатор не был здесь должным образом использован компанией-разработчиком. Дело в том, что применение таких инструментов не на бумаге требует высокой квалификации от применяющего, так как сам по себе стат. анализатор мало что даёт – ещё нужен редкий специалист, понимающий, что именно происходит, с разных сторон: со стороны ИБ, со стороны устройства компиляторов и разработки ПО, со стороны устройства аппаратуры и практики “сетевых технологий”, и т.д. Ещё один пример, показывающий, что так называемая “безопасная разработка”, как принцип, в целом, интересна, но практическое значение соответствующих инструментов в корпоративной среде сильно преувеличено. Впрочем, вернёмся к описанию уязвимости.
Прямолинейной эксплуатации через перезаписывание стека помешало наличие в этом стеке указателя на блок памяти, который должен был освобождаться перед возвратом из атакуемой функции (то есть, вызов конструкции с free() приводил бы к преждевременному возникновению исключения). Но исследователи смогли найти точку модификации таблицы Vtable, которая содержит указатели на функции (это типовая конструкция для “виртуализации” “методов” в C++), а потом ещё успешно нашли в коде гаджет*, модифицирующий указатель стека. Причём, поиск гаджета был затруднён тем, что требовалось найти точку для входа, которая совпадала бы не только по подобранному значению указателя, но и по значению смещения, жёстко зафиксированного в исполняемом коде. А это стало возможно потому, что исследуемое приложение использует много библиотек: “It’s a good thing that the Ivanti web binary contains so many libraries”. Как говорится, принцип разработки с созданием минималистичного и простого собственного кода мог бы здесь помочь. Ну, раз не помог стат. анализатор.
* – дополнение от 13.01.2025: гаджет – фрагмент машинного кода с нужными свойствами, оканчивающийся командой передачи управления, см. комментарии к записке.
Комментарии (2) »
Чуть более пяти лет назад, в декабре 2019 года, я опубликовал на dxdt.ru небольшой текст про перспективы квантовых компьютеров в разрезе прикладной криптографии: “Постквантовый мир прикладной криптографии“. “Хайп” про квантовые компьютеры был уже тогда, пусть и меньше, чем сейчас.
Что поменялось за прошедшие пять лет? Самое главное – не поменялось: универсальных квантовых компьютеров как не было пять лет назад, так и сейчас нет, даже близко. Тут просто ничего не изменилось. Даже “хайп” начал спадать (под давлением AI/LLM, возможно).
В первом абзаце записки из 2019 года отмечено: “рассказывать-то нужно о том, что постквантовый криптографический мир наступит раньше, чем будут созданы опасные квантовые компьютеры (если их вообще создадут)”. Вот уж где сработал неожиданно быстрый технологический прогресс, так это тут: постквантовыми криптосистемами сейчас уже защищёна заметная доля TLS-трафика в вебе – поскольку в 2024 году соответствующие криптосистемы внедрены в современные браузеры; и это касается не только TLS – криптосистемы с постквантовой стойкостью поддерживаются и в SSH, и в других протоколах; TLS лишь взят как пример с большим количеством трафика (видео и пр.). Естественно, далеко не всё ещё понятно со стойкостью предложенных постквантовых криптосистем, но это обычное дело.
Посмотрим на другие моменты. Ниже – некоторые цитаты и комментарии к ним.
“Например, когда говорят о задаче криптографии с открытым ключом, речь идёт об алгоритме Шора”.
С алгоритмами и общими принципами – тоже ничего не изменилось: алгоритм Шора так и остаётся единственным двигателем, к этому алгоритму даже предложены важные улучшения.
“Считается, что время ещё есть, но криптосистемы с открытым ключом, обладающие стойкостью к криптоанализу на квантовом компьютере, хорошо бы получить заранее”.
Именно этот подход сейчас и применён на практике – постквантовые криптосистемы внедрены сильно заранее.
“NIST уже несколько лет выполняет программу по выбору постквантовых криптосистем”.
В результате этой программы в августе 2024 года стандартизованы практические криптосистемы. Опять же, что касается криптосистем и данных стандартов, то тут есть и криптологические оговорки, и тонкости, даже выдвинуты весомые замечания методологического характера, но одно ясно точно: в области создания универсальных квантовых компьютеров – не определены ещё и способы физической реализации кубитов.
“Более вероятно, что к моменту создания этого самого компьютера – постквантовые криптосистемы уже давно войдут в практику. Или даже так: постквантовые криптосистемы уже будут широко использоваться, а подходящий для взлома 1024-битной RSA квантовый компьютер всё ещё будут пытаться построить”.
Как бы там ни было, но пока что всё идет к реализации прогноза: постквантовые криптосистемы стандартизовали и начали внедрять на практике, уже не как эксперимент; квантовые компьютеры, подходящие, – в теории! – для атак, всё ещё находятся на стадии “возможно, что-то более практическое сможем выяснить по результатам следующего эксперимента, если текущий эксперимент завершится успешно”.
“Тем не менее, на данный момент, массово внедрённых постквантовых криптосистем с открытым ключом – нет. Существуют только экспериментальные варианты”.
Пять лет спустя – есть такие, массово внедрённые, криптосистемы: см. выше про ML-KEM в Chrome, например. Это очень быстро, по меркам данной области.
“Скорее всего, на практике будет использован тот или иной вариант криптосистемы на эллиптических кривых”.
Пока не сбылось, к сожалению: первыми массово внедрёнными стали криптосистемы “на решётках”, как их принято называть сейчас. Но ещё может сбыться позже. Посмотрим.
“Третья фундаментальная часть практической криптографии – симметричные шифры — не столь подвержена квантовым атакам”.
Ничего не изменилось. Есть различные незначительные улучшения теоретических атак на конкретные шифры, как и ожидалось, в целом – симметричные шифры стойкость сохраняют.
“Первыми будут вводиться в строй криптосистемы, позволяющие получить общий секрет (распределение ключей). […] Не предполагается быстрый переход исключительно на постквантовые системы. Напротив, их будут вводить в качестве дополнительного инструмента, работающего вместе с классическими, хорошо проверенными”.
Именно так и сделано (но это, конечно, довольно очевидный вариант): ML-KEM – схема для распределения ключей, в браузерах для TLS внедрена в составе “гибридов” с классическими X25519 и ECDH.
В общем, прогресс в данной области за пять лет большой, выразился он в том, что постквантовые криптосистемы уже используются на практике, а квантовые компьютеры для атак на классические криптосистемы – нет, не используются, и пока не видны.
(Кстати, вот ещё тематически близкая записка – про кванты и квантовую криптографию с компьютерами.)
Комментировать »
На тестовом сервере TLS tls13.1d.pw, который я недавно перенёс на виртуальную машину класса “Эконом”, но всё ещё поддерживаю, есть небольшой трафик успешных соединений с гибридной криптосистемой X25519MLKEM768 (это новый вариант, с индексом 0x11EC по реестру IANA). Например, за сутки 07/01/2025 – десять успешных соединений с обменом ключами по X25519MLKEM768 (всего, примерно, 4500 успешных соединений за те же сутки; там, вообще, достаточно большой трафик, но основное количество попыток соединений – не совместимы с TLS 1.3). А вот SecP256r1MLKEM768, которая тоже поддерживается сервером, в январе не встречалась вовсе.
Комментировать »
А в контексте сообщений об отказе Facebook (и сопутствующих сервисов) от “фактчекеров” нужно учитывать пару моментов. Во-первых, причина там не называется, но вот сама ситуация со столь быстрыми изменениями – подозрительная. Во-вторых, насколько можно понять, планируют заменить имеющийся механизм на некий ещё более заметный вариант с демонстрацией значков “одобрено пользователями Facebook”, но даже без минимальных пояснений со ссылками на “газетные публикации”, а так как Facebook – это центральный инструмент, то, предположим, реально одобрять станут AI-LLM-боты, управляющие специальными аккаунтами: развитие давнишней схемы, которая активно используется уже несколько лет, ну и удобное применение для новомодных LLM.
Комментировать »
На Youtube заблокировали, а потом разблокировали популярное видео про работу биткойн-сети на широко известном канале 3Blue1Brown. Конечно, блокировали по жалобе на “нарушение авторских прав”, но, после разбирательства, оказалось, что претензий к данному видео нет – жалоба ошибочная.
То, что Youtube позволяет блокировать всё подряд – это не новость, да и относится не только к Youtube. Но тут занимательно выглядит механизм возникновения “ошибки”. Описание механизма The Register предоставила компания, подавшая жалобу. Оказывается, компания весьма продвинутая, использует ИИ и прочие технологии автоматизации, но сотрудник скопировал не тот URL, потому что в браузере был открыт сайт Youtube с включённым автопроигрыванием – “было открыто “правильное видео”, однако сотрудник отвлёкся, а сайт Youtube в это время автоматически переключил браузер на URL другого видео, этот URL и скопировали в форму жалобы”.
P.S. То есть, на конференциях и в бравурных анонсах рассказывают разное про “автоматизацию автоматизации” и внедрение ИИ-систем, но на практике, получается, даже для каналов Youtube с миллионами подписчиков и видео с миллионами просмотров – отсутствуют элементарные функции проверки и подтверждения.
Комментировать »
Немного о статусе постквантовой криптографии в TLS. Постквантовые криптосистемы обмена ключами для TLS планируется поддерживать только в TLS 1.3. По крайней мере, так сейчас выглядит тенденция: скорее всего, TLS 1.2 сперва “заморозят”, а потом, достаточно скоро, объявят нерекомендуемым, как уже сделано в RFC 8996 для версий 1.0, 1.1. Обратите внимание, что в RFC прямо сказано: “MUST NOT be used” – в терминах этих документов MUST NOT именно и означает, что строго запрещено использовать, без вариантов. Конечно, если ваше приложение соответствует данному RFC – так-то все спецификации носят рекомендательный характер.
Вообще, TLS 1.3 спроектирован существенно лучше предыдущих версий: эта версия хоть и отличается всего лишь на единицу в младшем разряде номера, но с точки зрения архитектуры и криптографической инженерии – выше на поколение. Например, в 1.3 полностью переделана логика начального установления соединения, и эта новая логика гораздо стройнее, протокол в этой части получился более чистым, а на защищённый обмен данными стороны переходят раньше.
Именно стройная логика установления соединения теперь и позволила прозрачно добавить в TLS 1.3 криптосистемы обмена ключами с постквантовой стойкостью. Версия 1.3 полностью несовместима с 1.2, даже на уровне описания процессов, но зато в 1.3 убрано очень много невнятных нагромождений из “дополнений, расширений и уточнений”, которые характерны для 1.2. Конечно, в 1.3 есть свои невнятные моменты – например, трактовка значения “исторических” номеров версий в заголовках TLS-записей, – но, пока что, объём этих недостатков не существенен.
Технически, принести постквантовые криптосистемы можно и в TLS 1.2 – там достаточно механизмов для расширения протокола. Но смысл в поддержке TLS 1.2 можно найти только такой, что сохраняется совместимость со старыми программами и средами, которые невозможно обновить. Однако, если исходить из этого, то не стоит ожидать и добавления реализаций постквантовых криптосистем в эти программы и среды. При этом, TLS 1.3 лучше со всех сторон, – в том числе, в плане программной реализации, – поэтому продолжать тянуть ещё одну версию, за вычетом требований исторической совместимости, несколько странно. Да, можно предположить, что если вдруг в 1.3 обнаружится какой-то удивительный и фатальный архитектурный дефект, то использование 1.2 позволит избежать одномоментного обвала всего и вся. Но на уровне протоколов TLS – это сильно вряд ли, а учитывая архитектурную выверенность TLS 1.3, что-то подобное скорее произойдёт с 1.2. А вот поверить в какие-то дефекты распространённых реализаций – нетрудно. Но, опять же, не факт, что поломается именно 1.3, в котором меньше мест, где можно споткнуться. Поэтому-то развитие, в виде добавления постквантовых криптосистем, и относится только к 1.3.
Комментировать »
В нестабильной версии браузера Chrome (Canary) обнаружили подозрительный новый флаг в настройках – описание флага наводит на мысль, что Google Chrome собирается проверять содержимое просматриваемых веб-страниц при помощи LLM ИИ. Конечно, предполагают, что для защиты пользователя от мошеннических страниц. Цитируемое описание флага гласит:
“Enables on device LLM output on pages to inquire for brand and intent of the page” (“Включает на устройстве вывод LLM для страниц, чтобы запросить тип и предназначение конкретной страницы”)
Смысл ускользает. Например, непонятно, что это за LLM и как она относится к устройству (заметьте, что отсутствует дефис в “on device”). Конечно, LLM ИИ может работать как в браузере, так и на серверах Google. Браузерная LLM (micro-large, да) может “советоваться” с LLM на серверах Google, передавая некоторое сжатое описание страницы. Это всё понятно. Как и то, что эксперимент могут и отменить. Но особенно интересны стратегические моменты.
Во-первых, это очередной шаг к тому, что браузер начнёт отмечать “фейкньюс” и сопровождать некоторые страницы не только предупреждением, но и сообщением от “факт-чекеров” и очередным указанием на Beleive in Science. Соответствующее сообщение, конечно же, сгенерировано при помощи ИИ, потому что “компьютер не может ошибаться”, а “нейросеть, способная рассуждать” ерунды не пришлёт – всё только в строгом соответствии с Правилами и Разрешениями. Во-вторых, браузер может же и поправить содержимое страницы, чтобы оградить пользователя.
Такие же функции можно было реализовать и десять лет назад, но тогда ещё не было тщательно подготовленного СМИ понятийного фундамента про AI/ИИ, да и на слишком многих устройствах просто не хватило бы вычислительной мощности.
Резонный вопрос: зачем вообще выводить веб-страницы с каких-то “несертифицированных узлов”, если можно генерировать при помощи ИИ различные страницы с нужным содержанием сразу в браузере по запросу пользователя? Вроде, и браузер отдельный, и контент индивидуальный. Удобно. В принципе, к этому поисковые системы уже движутся: не просто замкнутый “корпоративный веб”, но ещё и сгенерированный ИИ контент. Закукливание. Это, впрочем, идеальная схема, она не учитывает ключевых требований по наличию каких-то внешних изменений. Ну, грубо говоря, если пользователь ходит внутри сгенерированного корпоративного ИИ-веба, то исчезают и задача защиты этого пользователя, и задача сбора статистики по “неправильным страницам”.
Сложное направление.
Комментировать »
В продолжение записки про “короткие сертификаты” Let’s Encrypt. Сертификаты на шесть дней предлагается выпускать для того, чтобы уменьшить интервал времени, когда компрометация ключа представляет угрозу. Попробуем разобраться, что это вообще за событие такое – компрометация ключа, в контексте TLS для веба, и чем это грозит на практике для обычного веб-сайта.
Прежде всего – речь о компрометации серверного ключа, то есть, о раскрытии третьей стороне секретного ключа из пары, открытая часть которой указана в сертификате сервера. Сам TLS-сертификат – документ публичный, скопировать его может кто угодно. Если у этого “кого угодно” есть секретный ключ от сертификата, то он может выдать свой сервер за легитимный, предоставив сертификат, подписанный Удостоверяющим Центром (УЦ). В данном случае – УЦ Let’s Enncrypt. Однако тут есть очень много “но”.
Если ключ от сертификата скомпрометирован, то штатный метод реагирования состоит в немедленном отзыве сертификата. Технически, сертификат отзывает УЦ. Более того, правила позволяют УЦ отозвать сертификат даже по собственной инициативе, если, например, стало “достоверно известно о компрометации ключа” (не единственная возможная причина). Программы-клиенты, подключающиеся к веб-сайту, должны как-то узнать, что сертификат отозван. Существует два практических способа это сделать: OCSP и CRL.
OCSP. Online Cerificate Status Protocol (Онлайн-протокол [определения] статуса сертификата). Этот способ позволяет отправить запрос о сертификате специальному респондеру, который ответит, отозван сертификат или нет. Технически способ напоминает работу с веб-сервером. Оператором OCSP-респондера является сам УЦ или доверенная сторона, а ответ о статусе сертификата удостоверяется цифровой подписью. Адрес респондера указывается в составе сертификата. В практике Интернета OCSP работает очень плохо. Протокол может показаться простым, но поддерживать его УЦ очень сложно. Начиная с того, что, при правильном внедрении, получаем сервис, блокирующий доступ к внешним ресурсам: без ответа респондера клиент не должен бы подключаться по HTTP к узлу, который пытается аутентифицировать при помощи данного сертификата. Почему? Потому, что если OCSP-респондер недоступен, то, формально, клиент не может узнать, что сертификат был отозван. Очевидно, что никакого смысла в OCSP, если игнорировать недоступность респондера, нет: третья сторона, перехватывающая сетевой доступ и использующая скомпрометированный ключ, тогда может просто заблокировать сетевой доступ и к OCSP-респондеру, чтобы скрыть факт отзыва.
В предыдущем абзаце использованы обороты “при правильном внедрении”, “формально” и др. Это сделано не просто так: в вебе – OCSP принято игнорировать. Например, браузер Chrome давно не поддерживает этот протокол. Хитрости ситуации добавляет тот факт, что, поскольку оператор OCSP-респондера видит индивидуальный запрос о конкретном сертификате (серийный номер), знает имена, для которых сертификат выпускался, то он может сопоставить адреса и запросы, построив статистику посещения веб-ресурсов ничего не подозревающими пользователями. А это уже “угроза приватности”. Конечно, есть технология OCSP stapling, позволяющая встроить актуальный ответ OCSP-респондера о статусе сертификата непосредственно в ответ TLS-сервера, чтобы клиент не обращался к OCSP-респондеру. Но данная технология не особенно распространена.
Наличие OCSP-респондера недавно признали опциональным для УЦ, отразив это в требованиях CA/B-форума (это объединение организаций – УЦ и разработчиков браузеров, – которое определяет базовые требования для включения корневых ключей УЦ в браузерные списки доверенных). Let’s Encrypt планирует закрыть свои OCSP-респондеры в следующем году. (И это правильно, поскольку OCSP, так или иначе, не самый лучший вариант.)
Следующий способ, позволяющий узнать о факте отзыва сертификата, это CRL – Certificate Revocation List (список отзыва сертификатов). CRL – это подписанный УЦ (или доверенной организацией) перечень серийных номеров отозванных сертификатов. Простое правило гласит, что если серийный номер сертификата указан в соответствующем CRL, то сертификат был отозван. Адрес точки раздачи CRL указывается в сертификате. Клиент может скачать список отзыва (со всеми сертификатами) и проверить статус нужного сертификата по нему. В общем случае, “точка раздачи” не знает, сертификат какого ресурса пытается проверить клиент (есть экзотические оговорки, но мы их тут пропустим) – поэтому “приватность” сохраняется лучше. Проблема в том, что на практике CRL тоже проверяется далеко не всегда, поскольку точка раздачи является почти таким же блокирующим сервисом, как и OCSP. Какой смысл в наличии CRL, если недоступность CRL игнорируется? Правильно – никакого смысла.
Получается, что проверки отзыва сертификатов, фактически, нет, поэтому клиент не узнает, что сертификат был отозван и, вероятно, поверит в отозванный сертификат. Традиционная трактовка гласит, что “короткий” сертификат закончится быстро, а в закончившийся сертификат клиент верить уже не станет, что и поможет снизить угрозу. То есть, если сертификат выпущен на шесть дней, а ключи утекают “равновероятно”, то есть неплохие шансы, что сертификату для скомпрометированного ключа останется всего пара дней срока. Хватит ли этого подменяющей соединение стороне? Технически, подменить соединение и прочитать пароли/куки-файлы можно за доли секунды. Но нужно учитывать и тот факт, что ключ от сертификата может утечь с большой задержкой, но “долгий” сертификат всё ещё будет валидным.
Обратите, впрочем, внимание, что если новый сертификат был выпущен для того же ключа, то ситуация не меняется – скомпрометированный ключ подходит к новому сертификату. Естественно, это работает только в том случае, если о компрометации не было известно. Ну и если ключи не меняются каждый раз при выпуске нового сертификата.
Рассмотрим ситуацию подмены TLS-узла. Если для подмены выпускается сертификат, – тем или иным способом, – то речь уже идёт не о компрометации ключа и срок действия сертификата не особенно влияет: новый сертификат будет действовать, а подменный ключ от него – есть у подменяющей стороны по условиям задачи (см. историю с jabber.ru, например). То есть, короткий срок действия приводит к тому, что нужно быстро использовать новый сертификат, ну, или придётся выпустить ещё один подменный. Конечно, при длительном подобном перехвате заметить пачку подменных сертификатов проще, чем один, выпущенный на год. Но часто ли такое требуется? Часто ли подменные сертификаты вообще попадают в “область видимости”? Нет, не часто – это ответ на оба предыдущих вопроса.
Насколько частым является событие “компрометация ключа” в деятельности обычного веб-сайта? Это, что называется, вопрос из серии многогранных: на “обычном веб-сайте” секретный ключ хранится в обычном файле, в открытом виде, а файл лежит там, куда его записала неведомая утилита certbot. Спросите доброго инженера по сертификации СКЗИ (Средств Криптографической Защиты Информации) – и он вам скажет, что так хранимый ключ уже скомпрометирован. Спросите то же самое у строгого инженера по сертификации СКЗИ – и он вам ответит, что ключ был скомпрометирован ещё в тот самый момент, когда его сгенерировала исполняемая с правами суперпользователя неведомая утилита certbot, свойства и недокументированные возможности которой “не только не документированы, но и не установлены”.
Однако, на практике, пусть где-то и вздохнёт специалист ИБ, очередной раз выполнив проверку конвертов tamper-proof и сверив записи в журналах, а опытный админ железного сервера всё равно уверенно сложит секретные ключи от сертификатов в резервные копии, хранимые неподалёку от ежесуточных дампов памяти виртуальных машин, в которых соответствующие TLS-серверы исполняются.
Что поделать – такова практика веба. Естественно, ключ может оказаться скомпрометирован и без всякой утечки непосредственно из места хранения ключа: ошибки в ПО могут привести к тому, что будет сгенерирован нестойкий ключ или ключ утечёт в рамках штатного выполнения криптографических операций. Такое, к сожалению, случается не так редко, как хотелось бы. Наверное, в такой ситуации короткие сертификаты можно признать благом. Вот только на то вопрос и многогранный, чтобы рассмотреть и другие грани тоже.
Чтобы применить скомпрометированный ключ в вебе, применяющая сторона должна перехватить трафик в направлении веб-сайта. Для важных сервисов, типа веб-почты Gmail или систем дистанционного банковского обслуживания, эта угроза подмены довольно серьёзная, поэтому можно рассматривать целевые атаки, когда трафик перехватывается ближе (в сетевом смысле) к точке подключения конкретного пользователя. Однако в других случаях (опять вспомним про jabber.ru) – перехват проводится рядом с точкой подключения атакуемого “обычного веб-сайта”. Но такой перехват позволит без проблем выпустить подменный сертификат, если вдруг ключ “скомпрометировать не удалось”. Так что практическая ситуация не такая прямолинейная, как можно подумать.
А вот что можно сказать точно, так это то, что сертификаты, выпускаемые на несколько дней, привяжут всякий ресурс к сервису выпуска сертификатов. Внедрение требования о коротких сертификатах в основные браузеры – приведёт к тому, что многие и многие “производные браузеры” получат это же требование автоматически. Просто потому, что мало кто рискует вмешиваться в “ядро валидации” сертификатов. И требование о коротком сроке действия начнёт работать даже для “собственных корней”.
Обратите внимание, что один из законодателей моды в данной области, – Google, – сейчас выпускает сертификаты для своих доменов от собственного УЦ. И эти сертификаты уже имеют достаточно короткий срок действия – три месяца. Если добавить сюда инициативу Let’s Encrypt с шестидневными сертификатами, то остаётся слишком мало сомнений в том, что требования браузеров к сроку действия TLS-сертификата начнут теперь сокращаться всё быстрее и быстрее.
Комментировать »
Пишут, что свежие рекомендации профильного агентства правительства Австралии требуют отказаться от современных распространённых криптосистем (ECDH, ECDSA и др.) и перейти на постквантовые криптосистемы совсем скоро – к 2030 году. Занятно, что в этих рекомендациях запрещают SHA-256 в HMAC, но оставляют AES. Это тем более странно, что отказ от SHA-256 мотивируют традиционным развитием квантовых компьютеров. При этом, конечно, ничего не сказано про алгоритмы, используемые для защиты по высшим категориям (TOP SECRET).
Нетрудно посчитать, что знаменитый 2030 год планируется уже через пять лет. С одной стороны, пять лет это очень мало. С другой стороны – пяти лет может оказаться достаточно для того, чтобы появились квантовые алгоритмы для взлома, скажем, криптосистем на кодах и решётках. (Но и квантовые алгоритмы для AES – тоже нельзя исключать.) Естественно, алгоритмы будут не менее теоретическими, чем алгоритм Шора, и смогут сработать только на “гипотетических квантовых компьютерах”, но это всё равно потребует, как минимум, пересмотра рекомендаций, а как максимум – разработки новых криптосистем. Впрочем, всегда можно просто увеличить длину ключей (как долгие годы и делается с RSA).
Комментировать »
Достаточно давно сформировалась тенденция к сокращению срока действия TLS-сертификатов для веба. Let’s Encrypt в следующем году обещает шестидневные сертификаты. То есть, TLS-сертификаты, срок действия которых будет около шести суток (ну, плюс какие-то интервалы в несколько часов, видимо). Цитата:
[…] short-lived certificates. Specifically, certificates with a lifetime of six days. This is a big upgrade for the security of the TLS ecosystem because it minimizes exposure time during a key compromise event. ([…] короткоживущие сертификаты. Точнее, сертификаты со сроком действия шесть дней. Это большое обновление безопасности для TLS-экосистемы, поскольку оно минимизирует время действия уязвимости в случае компрометации ключа.)
Собственно, основная публичная мотивация, стоящая за этим движением – это то, что отзыв сертификатов в TLS для веба и браузеров, фактически, не работает: наладить его так и не удалось. (И с этим – не поспорить.) Ну, понятно, что такой расклад полностью меняет реальность для коммерческих УЦ – от разового выпуска сертификата нужно переходить к предоставлению непрерывного сервиса “обновления” (а в рамках “технологической зависимости” это означает, что нужно реализовывать ACME, который, почему-то, считают “стандартом”).
Кстати, так как браузеры давно допускают только сертификаты, которые действуют не дольше тринадцати с небольшим месяцев, то отдалённо похожая услуга уже есть – “абонемент” на продление годовых сертификатов, чтобы в сумме получилось два или три года. Впрочем, если и браузеры перейдут на шестидневные сертификаты, покупка подобных “абонементов” потеряет смысл.
Это нововведение Let’s Encrypt, не сомневайтесь, прямо означает, что браузеры, следом за Chrome/Chromium от Google, постараются оперативно перейти на короткие сертификаты, запретив срок действия дольше месяца (например).
Комментировать »