@@AdminAkademia trzymam kciuki za kanał. Mało wartościowego kontentu o IT na polskim KZbin.

Jarosław Karcewicz dokładnie o to chodziło. Materiały są PRO, jestem fanem.

ok. 1:05 - gdzie mowa jest o sposobie generowania pary kluczy asymetrycznych... oczywiście, tak samo zgadzam się z tym, że nie dopuszczalne jest korzystanie z narzędzi zewnętrznych online do generowania kluczy. Ale... jeszcze bym dodał o kwestii zaufania do biblioteki generującej. Jeśli się nie mylę, to ileś lat temu była afera (już nie pamiętam dokładnie) chyba Windows miał napisany systemowy generator liczb losowych specjalnie w taki sposób, aby drastycznie zmniejszyć pulę generowanych liczb pierwszych dla RSA dla klucza, co za tym szło, jak ktoś znał algorytmikę wyliczania klucza z użyciem owego generatora liczb losowych, to miał małą pulę kluczy do odgadywania a to dawało możliwość odgadnięcia klucza w sensownym czasie. Tutaj nie jestem pewien, nie badałem głeboko tematu. O ile się nie mylę, to OpenSSL ma swój generator liczb losowych i nie korzysta z systemowego.. takie przynajmniej miałem wrażenie przy używaniu biblioteki OpenSSL. Argument z tym, aby nie instalować nielegalnego softu, bo może nam dodać swój felerny CA do listy zaufanych w systemie - to ja mam pytanie to jakiemu oprogramowaniu możemy zaufać jak tak? Jak soft jest legalny bo go kupię to już nie będzie instalował swojego CA? No nie. Ja się jakoś mocno nie znam, ale moim zdaniem, to po pierwsze, programy antywirusowe powinny przeglądać systemową i przeglądarkową listę CA i zgłaszać podejrzane. Po drugie, powinien to robić sam system. Jeśli się nie da, to system powinien wywalać chociaż okno dialogowe ostrzegawcze za każdym razem, gdy tylko oprogramowanie próbuje doinstalować swój certyfikat urzędu certyfikacji i nie powinno być możliwości innego dodania certyfikatu jak tylko poprzez bibliotekę systemową pokazującą ostrzegawcze okno dialogowe.

@@AdminAkademia No właśnie, wszystko kwestia taka, komu ufamy. Jak sam próbowałem na potrzeby systemu krypto-głosowania online wymyśleć algorytm potwierdzający autentyczność klucza publicznego obcej osoby, to w sumie doszedłem do czegoś bardzo podobnego do X.509. Problemem w moim algorytmie była kwestia zaufania do instytucji, która wystawia certyfikat dla klucza osoby uprawnionej do głosowania, nie chciałem aby zaistniała możliwość jak wyżej opisałem dla X.509. Pewnym rozwiązaniem było rozszerzenie algorytmu o rozwiązanie takie, że osoby certyfikujące będą się pilnowały wzajemnie czyli wyborca uzyskuje dla swojego klucza publicznego certyfikat CertA, który wystawi urzędnik A oraz certyfikat certB, który wystawi urzędnik B, przy czym nie jest przypadkowe to, który urzędnik musi wystawić certyfikat.. jest to wyliczane algorytmem na podstawie ogólno dostępnego ciągu powstającego systematycznie podczas działania systemu. Zatem urzędnik A jeśli dostanie w łapę i wystawi certA, to nie będzie wiedział jaki inny urzędnik wykona drugą weryfikację. Każda osoba znająca algorytm (publicznie podany) będzie mogła wyliczyć dla każdego wyborcy którzy urzędnicy powinni wystawić certyfikat, a w momencie wystawiania certA nie jest możliwe obliczenie urzędnika B. Także urzędnik A nie dogada się z urzędnikiem B. To tak w ogromnym uproszczeniu. Ten sam algorytm można by być może przenieść do X.509.

dodałbym jeszcze do propozycji tematyke "wirtualizacji", która zaczyna odgrywać coraz większą rolę w dzisiejszym świecie IT

Jarosław Karcewicz na razie jestem na odc 4 o x509 klucza publicznego ale odcinki sa długie, myślałem dlaczego sam mam wątpliwość ze coś jest szyfrowane a każdy i tak to odszyftowuje, nie każdy ma czas aby obejrzeć od deski do deski. ale lepsze długie odcinki i dobrze wytlumaczone niż krótkie i po lebkach:)

Dziękuje za szybką i treściwą odpowiedź. Sam problemu z profilaktyką nie mam, lecz często mam styczność z komputerami innych osób, którzy po dość krótkim użytkowaniu komputera potrafią doprowadzić go do marnego stanu :D Przy czyszczeniu takich kompów z różnych śmieci, taka wiedza się przydaje. Jak będę dziś w domu to z ciekawości potestuje trochę na wirtualce.

Sprawdzałem na sobie (Windows 10). Certy można spokojnie wywalić, system operacyjny zaciąga je sobie na nowo podczas próby skorzystania z internetu (strona www lub np. Windows update). Certyfikaty są przechowywane również w rejestrze: HKLM\SOFTWARE\Microsoft\SystemCertificates Wygląda na to że gdy strona przedstawia się jakimś certyfikatem system go sobie po prostu dopisuje. A raczej nie "po prostu" tylko wcześniej sprawdza czy dany cert jest ok. Tylko nie potrafię odpowiedzieć sobie na pytanie jak to robi, moje umiejętności władania Wiresharkiem są na zbyt niskim poziomie by sprawdzić czy potwierdza to z jakimś innym serwerem któremu ufa. Jeśli tak faktycznie jest to musi mieć zaszyty zaufany certyfikat gdzieś głębiej (jak np. plik z hasłami) albo w jakiejś dll'ce. Po chwili poszukiwań natknąłem się na informacje że w systemie Windows XP i w innych produktach firmy Microsoft zostały zamieszczone listy firm i organizacji uważanych za urzędy zaufane. Jeżeli użytkownik otrzyma certyfikat wystawiony przez niezaufany urząd główny, komputer nawiąże połączenie z witryną Windows Update w sieci Web w celu sprawdzenia, czy ten urząd certyfikacji został dodany przez firmę Microsoft do listy urzędów zaufanych. Sprawdzanie przez Windows Update certyfikatów od urzędów głównych których nie ma na tej standardowej liście można wyłączyć dodając klucz w rejestrze: Software\Policies\Microsoft\SystemCertificates\AuthRoot REG_DWORD DisableRootAutoUpdate na wartość 1 Mam odpowiedź na swoje pytanie. Może się kiedyś komuś przyda :)