«Взрослый» Autoenrollment сертификатов в Linux
В современных гибридных инфраструктурах Linux-системы всё чаще соседствуют с Windows-доменами. Но если в мире Windows управление PKI давно стандартизировано, то автоматизация работы с сертификатами в Linux остаётся задачей «со звёздочкой» Читать далее...
Компрометация PKI: Когда Red Team получает «ключи от королевства»
Анализ теоретическо-практических векторов атаки при утечке корневых и промежуточных сертификатов в модели угроз направленного взлома. В практике тестирования на проникновение (penetration testing) традиционно большое внимание уделяется эксплуатации уязвимостей в программном обеспечении, слабостях в...
Защита от эксплойтов rdp, smb c помощью IPSec и сертификатов
На многих предприятиях остаются всё ещё работать старые версии операционных систем windows, которые не обновляются, или просто не установлены обновления по непонятным причинам. Типичный ответ у нас после обновления отвалились принтеры, и мы отключили их. В результате были использованы эксплойты по...
Как отправлять документы с грифом ДСП по электронной почте: законы, шифрование, автоматизация
Документы с грифом «Для служебного пользования» (ДСП) содержат сведения ограниченного распространения. Это информация, не подпадающая под государственную тайну, но доступ к которой ограничен по служебной необходимости или в соответствии с законами. На бумаге такие документы пересылают в плотных...
Настройка КриптоПро HSM Client на Suse/RedHat/ROSA Linux и Мир будущего
В новой публикации я покажу, как разработчику информационных систем со встроенными СКЗИ настроить интеграцию с программно-аппаратным криптографическим модулем КриптоПро HSM. Научимся использовать HSM, как самостоятельный криптографический провайдер с выполнением всей математики на борту или только...
Как реализовать пакетную подпись PDF-документов
Автоматическое подписание документов электронной подписью используют там, где требуется пакетная подпись документов без участия сотрудника. Это могут быть как небольшие сайты, например по продаже билетов в театр и музей, или порталы с онлайн-обучением при отправке сертификатов о прохождении курсов,...
Использование PKI для безопасности IoT
Устройства интернета вещей в последнее десятилетие получили широкое распространение. Их используют и в системах умного дома и в более важных промышленных системах. При этом, массовое развертывание приводит к угрозам безопасности, последствия которых растут с увеличением количества развернутых...
PKI для IOT, архитектура защищенной сети ESP32 + Mosquitto SSL и Flash Encryption для хранения сертификатов
Цель статьи - показать вариант построения защищенной Iot-инфраструктуры для сети устройств на базе ESP32 и обменяться опытом. Общую идею и весь проект разделил на темы: • развертывание mosquitto SSL/TLS из docker-контейнера • создание сертификатов для брокера Mosquitto SSL и клиентов ESP32 •...
V2X. Система безопасности
V2X расшифровывается как Vehicle-to-Everything. Это когда ваш автомобиль общается с окружающим миром, минуя вас. Есть множество статей о том, что такое V2X и зачем это нужно. Есть описания работы системы разной степени подробности и достоверности, описания стандартов, кликбейтные новости, обзоры и...
Знакомимся с не-X.509 сертификатами для документов нового поколения
Доступ к данным, хранящимся в документах нового поколения — вопрос актуальный. Для его решения применяются CV-сертификаты, не соответствующие стандарту X.509, но сохраняющие идею иерархичности открытых ключей и адаптированные к технологии смарт-карт. Они вполне заслуженно получили широкое...
Offline root CA с использованием YubiHSM
Общепринятой лучшей практикой считается использование отключенных от сети корневых удостоверяющих центров, a.k.a., offline root CA. Кроме того, не рекомендуется хранить закрытый ключ в файле, потому, что файл легко скопировать незаметно. Топовые HSM, типа Thales, стоят дорого: весь проект, включая...
[Перевод] Что такое PKI? Главное об инфраструктуре открытых ключей
Представьте, что вы системный администратор в Home Depot. Уже собираясь домой, вы замечаете, что ваша сеть только что одобрила подключение нового кондиционера. Ничего особенного, верно? На следующее утро вы просыпаетесь и обнаруживаете, что терабайты данных, включая логины, пароли и информацию о...
Инфраструктура открытых ключей на базе российской криптографии: GnuTLS как альтернатива OpenSSL
Инфраструктура открытых ключей (PKI/ИОК) включает в себя множество различных объектов и механизмов работы с ними, а также протоколы взаимодействия объектов друг с другом (например, протоколы TLS, OCSP). В число объектов ИОК входят запросы на сертификаты (PKCS#10) и сами сертификаты x509, ключевые...
Памятка для удостоверяющих центров и других участников PKI
Удостоверяющий центр, в чьи функции входит поддержание жизненного цикла сертификатов открытых ключей проверки электронной подписи, шифрования, аутентификации и защиты каналов передачи данных, их выпуск, распределение, депонирование, резервное копирование, восстановление, отзыв и ведение списка...
Альтернатива центру сертификации от Microsoft
Пользователям нельзя доверять. В большинстве своем они ленивы и вместо безопасности выбирают комфорт. По статистике, 21% записывают на бумаге свои пароли от рабочих аккаунтов, 50% указывают одинаковые пароли для рабочих и личных сервисов. Среда тоже враждебна. 74% организаций разрешают приносить на...