Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Certificaten in Thunderbird ook niet veilig.
15-07-2021, 21:55 door waterlelie, 7 reacties
Ook hier blijkt uit een test, die ik heb uitgevoerd met het maken van reserve kopieën van certificaten in Thunderbird, dat het hetzelfde procedure volgt als met OpenPGP sleutels. Een certificaat word nadat het is gemaakt door een wachtwoord beschermt, en bij het importeren daarvan moet hetzelfde wachtwoord worden ingevoerd, waarmee het certificaat origineel mee is opgeslagen
De procedure bij het opslaan van de kopie echter is dat er gevraagd word om een wachtwoord, en daarvoor kan een willekeurig tekst ingevoerd worden, die daarna nogmaals als bevestiging moet worden ingevoerd. Als het originele certificaat uit het certificaatbeheer is verwijdert, en de kopie wordt daarna teruggeplaatst, moet het nieuwe wachtwoord ingetypt worden.
De procedure bij het opslaan van de kopie echter is dat er gevraagd word om een wachtwoord, en daarvoor kan een willekeurig tekst ingevoerd worden, die daarna nogmaals als bevestiging moet worden ingevoerd. Als het originele certificaat uit het certificaatbeheer is verwijdert, en de kopie wordt daarna teruggeplaatst, moet het nieuwe wachtwoord ingetypt worden.
Reacties (7)
Door Anoniem: Het lijk mij handiger dat u dit meld op Bugzilla.
Waarom? Wat hij schrijft dat klopt en het is de goede werking, hij snapt alleen nog niet wat het doet. Komt nog wel.
16-07-2021, 14:49 door
Erik van Straten
Door waterlelie: Een certificaat word nadat het is gemaakt door een wachtwoord beschermt ...
Er is niets geheim aan een certificaat. Sterker, het is de bedoeling dat je ze deelt met iedereen die bereid is om versleutelde mails naar jou te sturen {1} en met iedereen waar jij digitaal ondertekende mails naar toe stuurt {2}.{1} Afhankelijk van hoe betrouwbaar de certificaatuitgever heeft vastgesteld dat het certificaat daadwekelijk van de enige echte waterlelie is, die afzenders enige zekerheid hebben dat als zij een versleutelde mail naar "jou" sturen, alleen jij (en niet een MitM) deze kunt (kan) ontsleutelen. Dit certificaat moet in elk geval een public key bevatten die bedoeld is voor encryptie.
{2} Afhankelijk van hoe betrouwbaar de certificaatuitgever heeft vastgesteld dat het certificaat daadwekelijk van de enige echte waterlelie is, die ontvangers enige zekerheid hebben dat "jij" die mail digitaal hebt ondertekend, en niet iemand die zich voordoet als jou. Dit certificaat moet in elk geval een public key bevatten die bedoeld is voor (het valideren van) signing.
Waarschijnlijk bedoel je een bestand (met bijv. PKCS12 format) dat zowel een private key als een certificaat (met daarin de bijpassende public key) bevat. De reden dat zoveel sukkels dit soort bestanden (d.w.z. inclusief private key) naar anderen sturen, wordt veroorzaakt door mensen zoals jij die simplificeren - of er helemaal niets van snappen.
@Erik van Straten (14:49). Je bent niet erg behulpzaam naar waterlelie. waterlelie is duidelijk bereid wat te leren over crypto en een cypherpunk te worden en jij vergelijkt 'mensen zoals hij' met 'zoveel sukkels'.
Kuis uw taal alstublieft.
Je bent geen sukkel als je PGP niet snapt. 99% van de wereldbevolking snapt PGP niet en dat zijn heus niet allemaal 'sukkels'.
Kuis uw taal alstublieft.
Je bent geen sukkel als je PGP niet snapt. 99% van de wereldbevolking snapt PGP niet en dat zijn heus niet allemaal 'sukkels'.
Door Anoniem: @Erik van Straten (14:49). Je bent niet erg behulpzaam naar waterlelie. waterlelie is duidelijk bereid wat te leren over crypto en een cypherpunk te worden en jij vergelijkt 'mensen zoals hij' met 'zoveel sukkels'.
Kuis uw taal alstublieft.
Je bent geen sukkel als je PGP niet snapt. 99% van de wereldbevolking snapt PGP niet en dat zijn heus niet allemaal 'sukkels'.
Het siert men als we elkaar niet sukkels noemen het levert ook niet op. Echter een moderator zal moeten beslissen of de post een persoonlijke aanval is of in context van de rest van bericht gedoogd wordt.Kuis uw taal alstublieft.
Je bent geen sukkel als je PGP niet snapt. 99% van de wereldbevolking snapt PGP niet en dat zijn heus niet allemaal 'sukkels'.
Echter het siert ook als de OP niet threads aanmaakt waarin al een conclusie staat als titel terwijl er niks reviewed is. Daarnaast als dit wel een onbekende kwetsbaarheid was (wat het nu dus niet is dit is intended by design) dan had dit gemeldt moeten worden richting de makers onder responsible disclosure en niet in een openbaar forum.
Niemand heeft alle wijsheid in pacht en iedereen heeft wel iets dat ze niet snappen of fout interpreteren maar wees bewust ervan dat je mogelijk ernaast zit. Het staat nu alsof het een feit is wat het niet is en deze mindset helpt niet in IT op geen enkel vlak het veroorzaakt foute diagnose met vaak desastreuze gevolgen van dien als het niet opgemerkt wordt.
De gene met geen kennis lezen dit nu als Thunderbird niet veilig en de mensen met kennis omtrent cryptografie gaan of de post negeren of erger de OP negeren. Als je geluk hebt wijzen ze op de fout (en soms met minder diplomatieke houding helaas) maar de meeste zullen in straatje 1 en 2 zitten.
Bij deze een goede gratis cursus omtrent leren omgaan met cryptografie. In week 6 leer je over public-key concept. Als je deze cursus serieus volgt heb je een goede basis om vanaf verder te werken.
https://www.coursera.org/learn/crypto
Dan Boneh staat hoog aangeschreven op dit leer gebied hieronder zijn portfolio, profiel.
https://profiles.stanford.edu/dan-boneh
16-07-2021, 21:23 door
Erik van Straten
Door Anoniem: @Erik van Straten (14:49). Je bent niet erg behulpzaam naar waterlelie. waterlelie is duidelijk bereid wat te leren over crypto en een cypherpunk te worden en jij vergelijkt 'mensen zoals hij' met 'zoveel sukkels'.
Kuis uw taal alstublieft.
Je bent geen sukkel als je PGP niet snapt. 99% van de wereldbevolking snapt PGP niet en dat zijn heus niet allemaal 'sukkels'.
In https://security.nl/posting/711372 en https://security.nl/posting/711381 heb ik geprobeerd om constructief bij te dragen door mijn ervaringen met waterlelie te delen, maar als waterlelie mij vervolgens in https://security.nl/posting/711391 kaatst "Het is de bel horen, maar niet weten waar de klepel zit", is zij of hij duidelijk niet bereid om iets van een ervaren oude rot te leren, en dus kan hij of zij de bal verwachten.Kuis uw taal alstublieft.
Je bent geen sukkel als je PGP niet snapt. 99% van de wereldbevolking snapt PGP niet en dat zijn heus niet allemaal 'sukkels'.
Overigens hoort een dikke huid krijgen er ook bij (weet ik uit eigen ervaring).
@21:23, @Erik van Straten: Ik denk dat we als cypherpunks niet de luxe hebben om mensen buiten te kunnen sluiten. Er zijn er nooit veel van ons geweest en dat is met de tijd alleen maar erger geworden.
Ik ben benieuwd wat waterlelie heeft te zeggen. Hij zit wat meer op de 'handhaving' en heeft een voorkeur voor digitale handtekeningen en niet voor encryptie zoals ik. Maar alle discussie over encryptie verwelkom ik. Van wie dan ook. Ongeacht het kennisniveau en de beweegredenen.
Misschien zou waterlelie de volgende twee artikelen kunnen lezen en daarna een tweede poging kunnen wagen om ons uit te leggen waarom certificaten in Thunderbird onveilig zijn?
https://www.security.nl/posting/39614/Security+Tip+van+de+Week%3A+veiliger+downloaden+onder+Windows
https://www.security.nl/posting/39821/Security+Tip+van+de+Week%3A+veiliger+downloaden+onder+Windows+deel+2
Anoniem 17:57
Ik ben benieuwd wat waterlelie heeft te zeggen. Hij zit wat meer op de 'handhaving' en heeft een voorkeur voor digitale handtekeningen en niet voor encryptie zoals ik. Maar alle discussie over encryptie verwelkom ik. Van wie dan ook. Ongeacht het kennisniveau en de beweegredenen.
Misschien zou waterlelie de volgende twee artikelen kunnen lezen en daarna een tweede poging kunnen wagen om ons uit te leggen waarom certificaten in Thunderbird onveilig zijn?
https://www.security.nl/posting/39614/Security+Tip+van+de+Week%3A+veiliger+downloaden+onder+Windows
https://www.security.nl/posting/39821/Security+Tip+van+de+Week%3A+veiliger+downloaden+onder+Windows+deel+2
Anoniem 17:57
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.