From f0d6634fe3e64cea43bd82b28ac22068b13eba8e Mon Sep 17 00:00:00 2001 From: Silvio Date: Sat, 3 Dec 2011 19:47:22 -0200 Subject: S9 formatting --- cool.mdwn | 107 +++++++++++++++++++++++++++++++++++++++++--------------------- 1 file changed, 71 insertions(+), 36 deletions(-) (limited to 'cool.mdwn') diff --git a/cool.mdwn b/cool.mdwn index 6c29b91..006003f 100644 --- a/cool.mdwn +++ b/cool.mdwn @@ -1,8 +1,27 @@ -Convergence e Monkeysphere: chaves para gestão SSL distribuída -============================================================== +Title: Convergence e Monkeysphere: chaves para gestão SSL distribuída +Author: Silvio +Generator: S9 -Conferência O Outro Lado Edição 2 ---------------------------------- +%css + +body { + font-family: monospace; +} + +.centered img { + display: block; + margin-left: auto; + margin-right: auto; +} + +.centered { + text-align: center; +} + +%end + +Convergence e Monkeysphere: chaves para gestão SSL distribuída - Co0l - Ed. 2 +============================================================================= [Convergence](http://convergence.io) e [Monkeysphere](http://web.monkeysphere.info): duas alternativas viáveis para @@ -10,7 +29,7 @@ substituir ou complementar o atual cartel das Autoridades Certificadoras utilizadas na pilha SSL/TLS. Propósito ---------- +========= De 2008 até o momento, foram reveladas falhas fundamentais em vários protocolos básicos da internet: @@ -23,7 +42,7 @@ Estamos falando de falhas de especificação e não de implementação ou DoS, o mais difícil de mitigar. SSL: Breve histórico --------------------- +==================== Pontos principais de um protocolo seguro: @@ -40,7 +59,7 @@ No [caso do SSL/TLS](https://techmeet.sarava.org/uploads/Agenda/SSL_For_Activist 3. Autenticidade: Certificados SSL ---- +=== - HSTS - CipherSuite e Perfect Forward Secrecy @@ -53,15 +72,24 @@ SSL - [LittleBlackBox](https://code.google.com/p/littleblackbox/): chaves padrões em dispositivos embarcados! Autoridades certificadoras --------------------------- +========================== - Sistema PKI em x509 (ITU-T - 1998): atrela uma chave pública a um nome (domínio, email, etc) - 2009: [Relatório da Netcraft](https://ssl.netcraft.com/ssl-sample-report) - 2010: Verisign: operação de CA vendida por US$1.28 bi para a Symantec - "Two big to fail" + +Netcraft (2009) +=============== + +
+![Netcraft - Linha do Tempo](images/netcraft-ssl-timeline.png) +![Netcraft - Fatias do Bolo](images/netcraft-ssl-pizza.png) +
+ Como me torno uma autoridade certificadora? -------------------------------------------- +=========================================== Depende dos processos de inclusão @@ -76,7 +104,8 @@ são considerados como autoassinados. - Mozilla: https://www.mozilla.org/projects/security/certs/included/ - ICP-Brasil: http://www.iti.gov.br/twiki/bin/view/Certificacao/WebHome -Procedimentos +CA: Procedimentos +================= - Mozilla - https://wiki.mozilla.org/CA:How_to_apply - Opera - http://www.opera.com/docs/ca/ @@ -84,7 +113,8 @@ Procedimentos - Safari - https://www.apple.com/certificateauthority/ca_program.html - Google - ? -Em geral +CA: Em geral +============ - Há pouca transparência na relação entre CAs e fabricantes de software - Sem gestão multissetorial @@ -92,7 +122,7 @@ Em geral - As CAs são confiadas exatamente por serem CAs. Onde está a abertura das auditorias? Obtenção de um certificado assinado ------------------------------------ +=================================== ________ | | @@ -107,7 +137,7 @@ Obtenção de um certificado assinado Situação atual --------------- +============== - Vocês checam seus fingerprints (OpenPGP, SSH e OpenSSL)? - [sslsnif](http://www.thoughtcrime.org/software/sslsniff) @@ -115,7 +145,7 @@ Situação atual - Bypass da tela de "conexão não-confiável" Casos reais ------------ +=========== "Crime maior do que roubar uma CA é fundar uma CA" - Bertold Brecha @@ -126,7 +156,7 @@ Casos reais - SSL não se aplica apenas a HTTPS: StartTLS/SMTPS/IMAPS/XMPP/VPN/etc também sofrem dessas vulnerabilidades. O que é preciso para interceptar conexão SSL? ---------------------------------------------- +============================================= 1. Certificado falso. 2. Meios efetivos de um MITM: @@ -136,7 +166,7 @@ O que é preciso para interceptar conexão SSL? Conexão SSL ------------- +============ _______________ | | @@ -151,7 +181,7 @@ Conexão SSL 1 MITM ----- +==== ________ | | @@ -166,7 +196,7 @@ MITM Mas o quanto disso é factível? ------------------------------- +============================== - Oriente médio: ... - EUA: [NSA warrantless surveillance controversy](https://en.wikipedia.org/wiki/NSA_warrantless_surveillance_controversy / https://en.wikipedia.org/wiki/Hepting_v._AT%26T) @@ -176,7 +206,7 @@ A falha atinge de pequenos provedores até grandes porções da internet. O ataq apenas a capacidade do atacante. Mitigação ---------- +========= Recentemente foram propostas várias formas de mitigação: @@ -192,23 +222,25 @@ Recentemente foram propostas várias formas de mitigação: - [Google Certificate Catalog](http://googleonlinesecurity.blogspot.com/2011/04/improving-ssl-certificate-security.html) Alternativas? -------------- +============= A grande questão é: abandonar o SSL hoje é uma opção que não depende apenas dos/as usuários, porém é importante considerar que _o modelo atual de certificação não é mandatório._ Ao invés disso, o modelo de CAs pode ser _plugável._ -Convegence ----------- +Convergence +=========== - http://convergence.io - [Add-on para firefox](http://convergence.io/releases/firefox/convergence-current.application=x-xpinstall) - Precedido pelo Perspectives (http://perspectives-project.org) - "Trust agility" -- Problema: se o MITM estiver exatamente no provedor upstream, o Convergence pode não perceber. +- Problemas: + - Se o MITM estiver exatamente no provedor upstream, o Convergence pode não perceber. + - Mudanças de chaves. Funcionamento -------------- +============= _______________ 5 cert | |----<----. @@ -223,7 +255,7 @@ Funcionamento 1 Bundles -------- +======= ____ .-----<-| | @@ -247,7 +279,7 @@ Bundles Monkeysphere ------------- +============ - http://web.monkeysphere.info - [Add-on pra firefox](https://addons.mozilla.org/pt-BR/firefox/addon/monkeysphere/?src=search) @@ -255,7 +287,7 @@ Monkeysphere - Também provê autorização I - Estabelecimento de confiança entre pessoas ----------------------------------------------- +============================================== ________ ________ | |-->--| | @@ -264,7 +296,7 @@ I - Estabelecimento de confiança entre pessoas II - Assinatura de chave do servidor ------------------------------------- +==================================== ___________ | | @@ -279,7 +311,7 @@ II - Assinatura de chave do servidor 1 III - Conexão SSL ------------------ +================= ___________ | | @@ -292,14 +324,9 @@ III - Conexão SSL | User | | Servidor | |_________|------>-------|__________| 1 -Demonstrações -------------- - -- Monkeysphere -- Convergence Integração ----------- +========== - O Monkeysphere ainda é muito geeky porém oferece um nível de segurança muito mais alto para a verificação de certificados; o código está maduro porém é preciso muito mais desenvolvimento @@ -308,7 +335,7 @@ Integração upstream. Perspectivas ------------- +============ - A indústria sabe que o modelo de CAs está falido, mas ainda assim existe uma insistência em dizer que o problema são as "maçãs podres" ou o excesso de CAs. @@ -319,3 +346,11 @@ Perspectivas - Conscientização do público é fundamental. +Demonstrações +============= + +- Monkeysphere +- Convergence + +Perguntas? +========= -- cgit v1.2.3