Тайны зеленого замочка

Тайны зеленого замочка

Владимир Дашукевич

Вопросы на сегодня:

1. Защищает ли полностью HTTPS?
2. Можно ли просмотреть HTTPS траффик?
3. Что надежнее: мобильное или Web приложение?

Мир без HTTPS

HTTP можно подсмотреть

Man-in-the-Middle (MITM)

Мужик-в-середине

Нам нужен защищенный HTTP?

Шифрование

Шифрование

1. Симметричное
2. Асимметричное

Симметричное шифрование

Асимметричное шифрование

Шифрование

1. Симметричное
2. Асимметричное
3. Гибридное

Хакер получил приватный ключ сервера

Протокол Диффи — Хеллмана

Протокол Диффи — Хеллмана с:

1. статичным ключом
2. эфимерным ключом

Perfect forward secrecy (PFS)

Вывод

1. Шифровать данные
2. Использовать асимметричное щифрование для согласования ключей
3. Использовать симметричное щифрование для передачи данных

Надежна ли данная схема?

Контроль целостности

HMAC, AEAD

Возможно ли подделать подпись?

Вывод

1. Шифровать данные
2. Использовать асимметричное щифрование для согласования ключей
3. Использовать симметричное щифрование для передачи данных
4. Уверенность в неизменности сообщения

Надежна ли данная схема?

Нужна аутентификация

Аутентификация != Авторизация

Аутентификация

Аутентификация - это процедура проверки подлинности.

Сертификаты

Сертификат

- это файл, использующий электронно-цифровую подпись и связывающий открытый (публичный) ключ компьютера с его принадлежностью.

Cертификаты связывают доменные имена с определенным публичным ключом

Сравнить с локальным сертификатом

Certificate Authority (CA)

Задачи CA

1. Выпуск сертификатов
2. Проверка подлиности домена:
• является ли домен реально существующим
• имеет ли программист доступ к домену, сертификат для которого он пытается получить
3. Электронная подпись сертификата

Доверие

Let's Encript

DigiCert

В чем отличие?

Зачем платить больше)))

Вывод

1. Шифровать данные
2. Использовать асимметричное щифрование для согласования ключей
3. Использовать симметричное щифрование для передачи данных
4. Уверенность в неизменности сообщения
5. Уверенность в том, с кем вы общаетесь

Наш "защищенный HTTP"

Это и есть HTTPS

observatory. mozilla. org

Надежна ли данная схема?

Перенаправление на HTTP

HTTP Strict Transport Security (HSTS)

А самый первый раз?

hstspreload

Надежна ли данная схема?

А стоит ли доверять CA?

WoSign и StartCom

CRL и OCSP протоколы

Но...

HTTP Public Key Pinning (HPKP)

А самый первый раз?

Вопросы на сегодня:

1. Защищает ли полностью HTTPS?
2. Можно ли просмотреть HTTPS траффик?
3. Что надежнее: мобильное или Web приложение?