M\u00f4j skepticizmus oh\u013eadom konceptu svetov\u00fdch certifika\u010dn\u00fdch autor\u00edt (CA) predstavuj\u00facich defacto korpor\u00e1tny \u0161tandard v oblasti „d\u00f4veryhodnosti webu“ dosiahol vrchol a preto som sa rozhodol nap\u00edsa\u0165 nasleduj\u00faci \u010dl\u00e1nok, kde pop\u00ed\u0161em ako nedostatky s\u00fa\u010dasn\u00e9ho syst\u00e9mu, tak nov\u00e9 bezpe\u010dnej\u0161ie alternat\u00edvy zav\u00e1dzaj\u00face v prvom rade transparentnos\u0165, decentraliz\u00e1ciu a agiln\u00fd pr\u00edstup zo strany pou\u017e\u00edvate\u013ea.<\/p>\n
Najsk\u00f4r p\u00e1r d\u00f4le\u017eit\u00fdch faktov:<\/strong><\/p>\n 1. Na svete je viac ako 600 „d\u00f4veryhodn\u00fdch“ certifika\u010dn\u00fdch autor\u00edt<\/a> („d\u00f4veryhodn\u00e9“ znamen\u00e1, \u017ee s\u00fa bu\u010f priamo integrovan\u00e9 v najroz\u0161\u00edrenej\u0161\u00edch webov\u00fdch prehliada\u010doch (ako aj opera\u010dn\u00fdch syst\u00e9moch) alebo s\u00fa tzv. „dc\u00e9rske“ certifika\u010dn\u00e9 autority, ktor\u00e9 s\u00fa podp\u00edsane t\u00fdmi „d\u00f4veryhodn\u00fdmi“).<\/p>\n Pri takom mno\u017estve „d\u00f4veryhodn\u00fdch“ autor\u00edt je prakticky nemo\u017en\u00e9 udr\u017eova\u0165 ich technologick\u00fa bezpe\u010dnos\u0165 – k 27.10.2011 bolo 15 z nich kompletne kompromitovan\u00fdch a ich priv\u00e1tne k\u013e\u00fa\u010de zneu\u017eite na digit\u00e1lne podp\u00edsanie extr\u00e9mne d\u00f4le\u017eit\u00fdch dom\u00e9n (ako napr\u00edklad mail.google.com, addons.mozilla.org, skype.com a in\u00e9). Podot\u00fdkam, \u017ee aj napriek tomu, \u017ee i\u0161lo o prakticky najv\u00e4\u010d\u0161ie CA (Comodo CA hack<\/a>, DigiNotar hack<\/a>) prakticky sa nestalo \u00faplne ni\u010d – Comodo CA je na\u010falej d\u00f4veryhodn\u00e1 certifika\u010dn\u00e1 autorita vo v\u0161etk\u00fdch prehliada\u010doch, svojich klientov prakticky nestratila, jej CEO obvinil z hacku Ir\u00e1nsku vl\u00e1du a ozna\u010dil cel\u00fd \u00fatok za kyberterorizmus, \u010d\u00edm sa defacto zbavil zodpovednosti a o\u010distil „po\u0161koden\u00e9“ meno Comodo<\/a>. T\u00e1to nepr\u00edjemna situ\u00e1cia len poukazuje na krut\u00fd fakt, \u017ee kritick\u00e9 chyby a bezpe\u010dnos\u0165 svetov\u00fdch CA prakticky nijako nereflektuj\u00fa ich postavenie na trhu a ich mas\u00edvne vyu\u017e\u00edvanie v\u0161etk\u00fdmi prehliada\u010dmi. 2. „Domain-validated“ certifik\u00e1ty je mo\u017en\u00e9 kompromitova\u0165 viacer\u00fdmi sp\u00f4sobmi v pr\u00edpade, \u017ee \u00fato\u010dn\u00edk m\u00e1 kompromitovan\u00fd aspo\u0148 jeden uzol medzi danou CA a klientom (MITM na „verifika\u010dn\u00fd“ ne\u0161ifrovan\u00fd email, ktor\u00fd posiela dan\u00e1 CA + DNS spoofing apod) – osobne neviem o CA, ktor\u00e1 by verifika\u010dn\u00e9 tokeny pre domain-validated certifik\u00e1ty \u0161ifrovala napr\u00edklad zvolen\u00fdm verejn\u00fdm PGP k\u013e\u00fa\u010dom.<\/p>\n 3. Vl\u00e1dy m\u00f4\u017eu (s\u00fadnou cestou?) po\u017eiada\u0165 dan\u00e9 svetov\u00e9 CA o vystavenie „falo\u0161n\u00e9ho“ certifik\u00e1tu pre dan\u00fa dom\u00e9nu. Viac inform\u00e1cii, \u017ee sa to m\u00f4\u017ee re\u00e1lne sta\u0165<\/a>. To, \u017ee svetov\u00e9 CA priamo podliehaj\u00fa politick\u00fdm rozhodnutiam \u0161t\u00e1tov, kde fyzicky p\u00f4sobia, pod\u013ea mna automaticky degraduje ich ak\u00fako\u013evek d\u00f4veryhodnos\u0165.<\/p>\n 4. Pou\u017eitie DNSSECu (ukladanie server certifik\u00e1tov, pr\u00edp. ich fingerprintov do DNS z\u00e1znamov pre dan\u00fa dom\u00e9nu ako to rob\u00ed napr\u00edklad Google Chrome<\/a>) v princ\u00edpe ni\u010d nerie\u0161i -> d\u00f4vera vy\u0161e 600 svetov\u00fdch CA sa len prenesie na spr\u00e1vcu danej top level dom\u00e9ny (v pr\u00edpade .sk dom\u00e9ny je to SK-NIC, ktor\u00fd je samozrejme tie\u017e pod kontrolou „spr\u00e1vnych \u00faradov“, vi\u010f. nov\u00fd dodatok 10.6 v nov\u00fdch SK-NIC pravidl\u00e1ch<\/a>), ktor\u00fd priamo podlieha kontrole dan\u00e9ho \u0161t\u00e1tu – toto plat\u00ed pre ccTLD dom\u00e9ny, com\/org\/net dom\u00e9ny s\u00fa priamo pod vplyvom americkej jurisdikcie. V pr\u00edpade dikt\u00e1torsk\u00fdch kraj\u00edn (ktor\u00fdm vl\u00e1dam sa ned\u00e1 prakticky nijako veri\u0165) to predstavuje e\u0161te hor\u0161iu situ\u00e1ciu ako je teraz. Uvediem viacero ambici\u00f3znych n\u00e1vrhov (okrem Convergence e\u0161te nie s\u00fa produk\u010dne implementovan\u00e9) z r\u00f4znych str\u00e1n ako tento probl\u00e9m rie\u0161i\u0165:<\/p>\n 1. N\u00e1vrh Google (Ben Laurie a Adam Langsley) – Transparentn\u00e9 Certifik\u00e1ty <\/a>– certifik\u00e1ty bud\u00fa zaregistrovan\u00e9 vo verejnom auditovacom logu tzv. „registrovan\u00fdch certifk\u00e1tov“. Servery poskytn\u00fa d\u00f4kaz o tom, \u017ee ich certifik\u00e1t je v tomto logu zaregistrovan\u00fd spolu s t\u00fdmto certifik\u00e1tom a klienti len overia tento samotn\u00fd d\u00f4kaz.\u00a0Implementovan\u00e9 to m\u00f4\u017ee by\u0165 pomocou \u0161peci\u00e1lnej komponenty v prehliada\u010di.<\/p>\n 2. N\u00e1vrh od EFF (Peter Eckerslay) – Suver\u00e9nne K\u013e\u00fa\u010de<\/a> – podobn\u00fd, ale komplexnej\u0161\u00ed pr\u00edstup ako m\u00e1 Google. Suver\u00e9nne k\u013e\u00fa\u010de sa ukladaj\u00fa do verifikovate\u013en\u00fdch „append-only“ d\u00e1tov\u00fdch \u0161trukt\u00far, tak\u017ee sp\u00e4tn\u00e1 zmena v \u010dase je nemo\u017en\u00e1. Tieto k\u013e\u00fa\u010de bud\u00fa ulo\u017een\u00e9 na tzv. „timeline“ serveroch, ktor\u00fdch bude relat\u00edvne m\u00e1lo a ich k\u00f3pie bud\u00fa ulo\u017een\u00e9 na z\u00e1lo\u017en\u00fdch „mirror“ serveroch. D\u00f4le\u017eit\u00e9 podotkn\u00fa\u0165, \u017ee bude mo\u017en\u00e9 si zvoli\u0165 vlastn\u00e9ho „3rd-party“ poskytovate\u013ea pre mana\u017ement suver\u00e9nnych k\u013e\u00fa\u010dov a teda sa dobrovo\u013ene rozhodn\u00fa\u0165, ak\u00fdm dom\u00e9nam budeme d\u00f4verova\u0165 a ak\u00fdm nie.<\/p>\n 3. N\u00e1vrh od Whisper Systems \/ Twitter – Convergence<\/a> – n\u00e1vrh, ktor\u00fd sa do\u010dkal \u00faspe\u0161nej implement\u00e1cie pre v\u0161etky najroz\u0161\u00edrenej\u0161ie prehliada\u010de – umo\u017e\u0148uje nahradi\u0165 doteraj\u0161ie certifika\u010dn\u00e9 autority za distribuovan\u00fdch, decentralizovan\u00fdch „not\u00e1rov“, o ktor\u00fdch dobrovo\u013ene rozhoduj\u00fa samotn\u00ed koncov\u00ed pou\u017e\u00edvatelia a \u010do je d\u00f4le\u017eit\u00e9 – toto rozhodnutie m\u00f4\u017eu v bud\u00facnosti kedyko\u013evek zmeni\u0165. Pou\u017e\u00edvatelia sa m\u00f4\u017eu rozhodnu\u0165, ak\u00fdm „not\u00e1rsk\u00fdm slu\u017eb\u00e1m“ bud\u00fa veri\u0165 v z\u00e1vislosti od ich reput\u00e1cie, bezpe\u010dnostnej politiky apod., podobne si m\u00f4\u017eu zalo\u017ei\u0165 vlastn\u00fa „not\u00e1rsku slu\u017ebu“ a svoje „prejavy d\u00f4very“ poskytova\u0165 \u010fal\u0161\u00edm pou\u017e\u00edvate\u013eom. Jednotliv\u00e9 „not\u00e1rske slu\u017eby“ dok\u00e1\u017eu zoh\u013ead\u0148ova\u0165 viacero bezpe\u010dnostn\u00fdch atrib\u00fatov pri overovan\u00ed d\u00f4veryhodnosti danej slu\u017eby – je mo\u017en\u00e9 vyu\u017ei\u0165 DNSSEC, BGP data, „SSL observatory<\/a>“ at\u010f. Podobne je mo\u017en\u00e9 \u0161pecifikova\u0165, ko\u013eko not\u00e1rov sa mus\u00ed zhodn\u00fa\u0165 na svojom rozhodnut\u00ed, aby dan\u00fd web bol pokladan\u00fd za „d\u00f4veryhodn\u00fd“. Overenie not\u00e1rov je mo\u017en\u00e9 lok\u00e1lne cachova\u0165, tak\u017ee pr\u00edstupy na dan\u00fd web v bud\u00facnosti dok\u00e1\u017eu by\u0165 ve\u013emi r\u00fdchle.<\/p>\n 4. Namecoin s TLS podporou <\/a>– kompletne decentralizovan\u00fd pr\u00edstup postaven\u00fd na Namecoine<\/a>. Namecoin<\/a> predstavuje prv\u00fd decentralizovan\u00fd DNS syst\u00e9m postaven\u00fd na Bitcoine (decentralizovan\u00e1 kryptomena) umo\u017e\u0148uj\u00faci uklada\u0165 v princ\u00edpe \u013eubovo\u013en\u00fa kombin\u00e1ciu „name\/value“ do namecoin chainu – nemus\u00ed to by\u0165 teda len DNS z\u00e1znam, ale v princ\u00edpe \u010doko\u013evek – v na\u0161om pr\u00edpade to bude „fingerprint“ SSL certifik\u00e1tu\/verejn\u00e9ho k\u013e\u00fa\u010da pre dan\u00fa dom\u00e9nu, ktor\u00fa chceme pri pr\u00edstupovan\u00ed overi\u0165. Uveden\u00fd „fingerprint“ v danom namecoin chaine dok\u00e1\u017ee nastavi\u0165 alebo zmeni\u0165 len vlastn\u00edk priv\u00e1tneho k\u013e\u00fa\u010da, ktor\u00fd dan\u00fd DNS z\u00e1znam do namecoinu zaregistroval. Implement\u00e1cia uveden\u00e9ho overovania TLS certifik\u00e1tu pre dan\u00fa namecoin dom\u00e9nu zatia\u013e neexistuje, ide ale ur\u010dite nap\u00edsa\u0165. M\u00f4j skepticizmus oh\u013eadom konceptu svetov\u00fdch certifika\u010dn\u00fdch autor\u00edt (CA) predstavuj\u00facich defacto korpor\u00e1tny \u0161tandard v oblasti „d\u00f4veryhodnosti webu“ dosiahol vrchol a preto som sa rozhodol nap\u00edsa\u0165 nasleduj\u00faci \u010dl\u00e1nok, kde pop\u00ed\u0161em ako nedostatky s\u00fa\u010dasn\u00e9ho syst\u00e9mu, tak nov\u00e9 bezpe\u010dnej\u0161ie alternat\u00edvy zav\u00e1dzaj\u00face v prvom rade transparentnos\u0165, decentraliz\u00e1ciu a agiln\u00fd pr\u00edstup zo strany pou\u017e\u00edvate\u013ea. Najsk\u00f4r p\u00e1r d\u00f4le\u017eit\u00fdch faktov: 1. Na svete […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[11],"tags":[783,784,785,786],"class_list":["post-1358","post","type-post","status-publish","format-standard","hentry","category-unkategorisiert","tag-ca-de","tag-convergence-de","tag-dnssec-de","tag-namecoin-de"],"yoast_head":"\n
\nJe tie\u017e potrebn\u00e9 podotkn\u00fa\u0165, \u017ee niektor\u00e9 svetov\u00e9 CA sa nach\u00e1dzaju v dikt\u00e1torsk\u00fdch krajin\u00e1ch (\u010c\u00edna) umo\u017e\u0148uj\u00face digit\u00e1lne podp\u00edsa\u0165 certifik\u00e1t k \u013eubovo\u013enej svetovej dom\u00e9ne (a t\u00fdm padom realizova\u0165 \u00faspe\u0161n\u00fd MITM \u00fatok na svojich ob\u010danov).<\/p>\n
\n\u010co s t\u00fdm?<\/strong><\/p>\n
\nOsobne sa mi uveden\u00fd pr\u00edstup vyu\u017eit\u00edm namecoinu p\u00e1\u010di najviac, nako\u013eko namecoiny s\u00fa \u00faplne mimo kontrolu ak\u00fdchko\u013evek \u0161t\u00e1tov a namecoinove dom\u00e9ny (a ich fingerprinty) prakticky nejd\u00fa nijako cenzurova\u0165.<\/p>\n","protected":false},"excerpt":{"rendered":"