הפקרות בלתי חסומה...

[עשרים ושתים]

1.
4. יש טעות נפוצה (זה קצת באשמתם שהם לא מסבירים,אבל ממילא רוב האנשים לא יבינו) בנושא ההרשאות שרימון מבקשים שתוסיפו בשביל אתרים מאובטחים.
לא הכוונה שיש להם את מפתחות ההצפנה של ה SSL , זה לא אפשרי כי זה חתום משני הצדדים. אלא זה רק לצורך שהשרת שלהם יוכל לחתום על החבילות שהם הגיעו מהיכן שהם אמורות היו הגיע אפילו שהם בדר עברו עוד משהוא .
אני אתן משל. ראובן מחכה לחבילה משמעון . מאוד חשוב לו לדעת שבאת המוסר זה שמעון כי המידע חייב להיות מדוייק. לכן הוא סיכם שתהיה על החבילה חותמת של שמעון. ואם היא שבורה סימן שמשהוא התעסק עם החבילה ואז אולי גם המידע בפנים לא מדויק.
בסוף ראובן מקבל את החבילה עם חתימת שמעון שבורה , אבל מעליה חתימה של המכס או רשות אחרת שהוא סומך עליה. אז הוא יודע שמי שפתח וידא לפניו ששמעון הוא זה שמסר את החבילה אחרת לא היה חותם את שמו.
זה בערך הרעיון. אין לזה שום קשר לפתיחת ההצפנה עצמה.מקווה שהסברתי.

אתה מערבב שני דברים אחד hash שבודק האם החבילה שיצאה היא זו שהגיעה
והשני האם אף אחד לא קרא את החבילה חוץ ממני והשולח.

הדרך לקרוא חבילות מוצפנות היא רק על ידי התקפות של man in the middle והתהליך הוא כזה
ראובן רוצה לשלוח הודעה לשמעון הוא מבקש משמעון את המפתח הציבורי של שמעון לוי נדחף באמצע ושולח לראובן את המפתח הציבורי שלו. כך שראובן מצפין את כל המידע שלו לפי המפתח של לוי . לוי פונה לשמעון ומבקש את המפתח הציבורי שלו ומצפין את החבילה של ראובן לפי המפתח של שמעון.
כדי למנוע זאת יש לאתרים מאובטחים תעודה שמאשרת העובדה שהחבילה לא שונתה כך שהקוד הציבורי שמגיע באמת הגיע מבעל התעודה....
רימון למעשה מתנהגת כמו לוי שולחת ללקוחותיה את המפתח הציבורי שלה במקום את המפתח של האתר המאובטח.
וכל ההתקנה של התוסף באה כדי להסתיר או להסיר את ההודעה על בעיית אבטחה.

 

[bris]

אתה מערבב שני דברים אחד hash שבודק האם החבילה שיצאה היא זו שהגיעה
והשני האם אף אחד לא קרא את החבילה חוץ ממני והשולח.

הדרך לקרוא חבילות מוצפנות היא רק על ידי התקפות של man in the middle והתהליך הוא כזה
ראובן רוצה לשלוח הודעה לשמעון הוא מבקש משמעון את המפתח הציבורי של שמעון לוי נדחף באמצע ושולח לראובן את המפתח הציבורי שלו. כך שראובן מצפין את כל המידע שלו לפי המפתח של לוי . לוי פונה לשמעון ומבקש את המפתח הציבורי שלו ומצפין את החבילה של ראובן לפי המפתח של שמעון.
כדי למנוע זאת יש לאתרים מאובטחים תעודה שמאשרת העובדה שהחבילה לא שונתה כך שהקוד הציבורי שמגיע באמת הגיע מבעל התעודה....
רימון למעשה מתנהגת כמו לוי שולחת ללקוחותיה את המפתח הציבורי שלה במקום את המפתח של האתר המאובטח.
וכל ההתקנה של התוסף באה כדי להסתיר או להסיר את ההודעה על בעיית אבטחה.

לא רציתי להכנס לכל ההסבר הטכני, אז פישטתי מאוד את הנושא.
ודאי שמבחינת הלקוח זה נחשב שזה לא מוצפן , כי לוי פתח את הקופסה לראות מה יש שם.
בפועל מה שקורה שבכל סביבה של PKI (מפתח ציבורי) יש את החתימה של צד הלקוח (זה בדכ בתקשורת SSL הדפדפן עצמו) ויש את הצד שאיתו הוא מדבר .
למשל אם הוא מדבר עם GMAIL הוא רוצה לוודא שהצד השני שהוא מדבר מולו (וגם נתן לו את המפתח שלו) הוא באמת גוגל (או מורשה שלו). אז בברירת מחדל אם זה לא באמת גוגל , התקשורת היא אולי מוצפנת כי יש מפתחות והכל אבל הדפדפן לא יודע אם הוא מדבר באמת עם גוגל או שמשהוא אחר נכנס באמצע.
והוא יתן הודעה שגירה של אישור האבטחה , שהוא אולי מהימן והכל אבל הוא לא גוגל.
ברגע שאתה מרשה את חברת NETSAPRK אתה בעצם אומר לדפדפן להתייחס לחתימה שלהם (וממילא גם למתפחות שהם מייצרים וכו) בתור צד נאמן.
האמת שבהרבה מקרים כשאתה מקיים תקשורת עם אתר מאובטח אתה בכלל מדבר עם שרת אחר שיש לו CA כללי - אתה פשוט לא מודע לזה.

אישורי האבטחה של רימון (נקראים CA) הם של חברת NETSPARK , חברה מאוד גדולה בתחום. הם בעצם הכי גדולים ומסודרים בסינון של SSL.
הם בעצם מתווכים בין הלקוח לגוגל אבל הכל נשאר מוצפן בשתי הקצוות , רק בשלב הפנימי בסינון בתוך השרתים שלהם הוא נפתח.
אין גישה לרימון בכלל למידע שבתוך השרתים של NETSPARK אלא רק האלגוריתם של רימון רץ שם בצורה מוגבלת (החומר הלא מוצפן לא יוצא בשום שלב מהשרת של NETSPARK) .
בנוסף בנקים ידועים בארץ ובחול , לא מסוננים בכלל, אפשר גם לבקש מהם במייל להוסיף מוסדות פיננסיים נוספים.

 

[עשרים ושתים]

אישורי האבטחה של רימון (נקראים CA) הם של חברת NETSPARK , חברה מאוד גדולה בתחום. הם בעצם הכי גדולים ומסודרים בסינון של SSL.
הם בעצם מתווכים בין הלקוח לגוגל אבל הכל נשאר מוצפן בשתי הקצוות , רק בשלב הפנימי בסינון בתוך השרתים שלהם הוא נפתח.
אין גישה לרימון בכלל למידע שבתוך השרתים של NETSPARK אלא רק האלגוריתם של רימון רץ שם בצורה מוגבלת (החומר הלא מוצפן לא יוצא בשום שלב מהשרת של NETSPARK) .
בנוסף בנקים ידועים בארץ ובחול , לא מסוננים בכלל, אפשר גם לבקש מהם במייל להוסיף מוסדות פיננסיים נוספים.

ממש לא נכון...
netspark בסך הכל מייצרים תעודה ללקוח מסוים שהם מאשרים שהם בדקו אותו פיזית (בדרך כלל שולחים עו"ד) שהוא אכן בעל הדומיין לדומ' mail.google.com ומה הקוד הציבורי שלו . ועוד
netspark לא מעורבים בשום תהליך אחר למעט הפקת תעודה אחת לתקופה בהתאם לסוג הפעילות של הלקוח.

 

[bris]

כאן כתוב לא ככה

https://wiki.jct.ac.il/index.php/רימון,_גלישה_מאובטחת,_ותעודות

 

[trew]

כאן כתוב לא ככה

https://wiki.jct.ac.il/index.php/%D7%A8%D7%99%D7%9E%D7%95%D7%9F,_%D7%92%D7%9C%D7%99%D7%A9%D7%94_%D7%9E%D7%90%D7%95%D7%91%D7%98%D7%97%D7%AA,_%D7%95%D7%AA%D7%A2%D7%95%D7%93%D7%95%D7%AA

כתוב שרימון אמרו לא מעבר, השאלה עכשיו כמה אתה סומך על מה הם אומרים כשזה קשור לעסק וליחסי ציבור שלהם.

 

[עשרים ושתים]

כאן כתוב לא ככה

https://wiki.jct.ac.il/index.php/רימון,_גלישה_מאובטחת,_ותעודות

יפה עכשיו הדברים הרבה יותר ברורים חשבתי שnetspark זו חברה בעלת CA מוכר ומתברר שלא..
בדיוק כמו שאני יכול ללכת לרשם החברות לרשום שם של חברה. אח"כ להרים שרת CA להנפיק תעודה ולשלוח אותה ללקוחות וכל מי שיתקין אותה יאפשר לי להתחזות לשרת מייל שלו לדוג'....