Шифруем файлы и диски правильно: обеспечиваем безопасность браузера и почты

Даже самое лучшее веб-шифрование не поможет, если взломан сертификат. Кроме того, все зависит и от длины ключа.

Надежный криптографический метод для веб-шифрования — это, конечно, очень важно, но на нем все не заканчивается. Основную роль играют сертификаты, поскольку благодаря им браузер подтверждает подлинность сервера.

Сертификат следит за тем, чтобы пользователь находился на странице своего онлайн-банка, а не на ее дубликате, который лишь выглядит идентично, а на самом деле предназначен для сбора данных доступа. Браузер может перепроверить сертификат в режиме онлайн с помощью хранящегося в системе списка центров сертификации (Certificate Authorities — CA).

К сожалению, некоторые CA, такие как Comodo, являющийся одним из крупнейших центров, показали себя в прошлом не самыми надежными и выдавали фальшивые сертификаты. Такая подделка — идеальная база для атаки «человек посередине».

Недавно шумиху наделал предустановленный в ноутбуках Lenovo довольно неприятный троян Adware Superfish, который добавлял корневой сертификат, зашифрованный по методу RSA, в Windows. Его закрытый ключ был защищен только легко угадываемым паролем и как следствие легко вычислялся.

Хакерам существенно облегчалась задача по прослушиванию сетевой коммуникации и ее манипулированию. Тем, кого это касается, необходимо выполнить онлайн-проверку и при необходимости вручную удалить данный сертификат, если вы не хотите стать жертвой атаки «человек посередине».

Ахиллесова пята — управление сертификатами

Поддельные или взломанные сертификаты обходят шифрование вебтрафика. Этим отличился и сертификат фирмы Comodo. Онлайновый сервис (filippo.io/Badfish) проверит, чиста ли ваша система.

SuperfishCheck2

Меры безопасности в браузере

Некоторые разработчики браузеров, например, Mozilla и Google, начинают менять систему сертификатов. Их продукты ведут собственные списки и обладают дополнительными встроенными механизмами защиты: HTTP Strict Transport Security (HSTS) предотвращают SSL Stripping, атаку «человек посередине», которая переключает HTTPS-соединение на уязвимое HTTP.

Борьбу непосредственно с фальшивым сертификатом ведет HTTP Public Key Pinning (HPKP): в этом случае сервер при первом установлении контакта отправляет браузеру зашифрованный ключ (pin).

Если браузер впоследствии снова открывает ту же страницу, ее серверу помимо сертификата придется предъявить и этот ключ. Другим важным компонентом является длина ключа для таких ассиметричных методов, как RSA.

Долгое время 1014 бит считались безопасными, однако с течением времени это изменилось. Специалисты рекомендуют 1048 бит, чтобы вооружиться против хакеров с большими вычислительными мощностями. Длина ключа должна быть 4096 бит.

Этот совет актуален не только для работы в Интернете, но и для шифрования электронных писем в программе PGP. В этих целях часто используют графический интерфейс Gpg4win для криптопрограммы GnuPG.

Лучшие браузеры для работы с HTTPS

Многие современные браузеры с помощью дополнительных функций повышают целостность веб-соединения. HPKP дважды проверяет сертификаты, а HSTS форсирует HTTPS. Расширение для HSTS под названием ≪No User Recourse≫ дополнительно усиливает защиту.

HSTS

HSTS блокирует небезопасные соединения

В Firefox, Chrome и Safari реализован механизм HSTS с расширением ≪No User Recourse≫. При попытке зайти на сайт с небезопасным сертификатом браузер отклонит доступ.

No User Recourse

Надежное шифрование почты

В графическом интерфейсе GNU Privacy Assistant программы Gpg4win создается ключ для закодированной коммуникации по электронной почте. При настройке следует учитывать, что безопасными являются только ключи длиной 2048 и 3072 бита.

GPG7

Фото: компании-производители

ПОДЕЛИТЬСЯ


Предыдущая статьяНа выставке Integrated Systems Russia 2015 покажут проект «Умный город»
Следующая статьяТест Apple iPad Mini 4: один из лучших планшетов последнего времени
КОММЕНТАРИИ