Product placement w filmie „The Day The Earth Stood Still” :)

idsh_badgeholderZapowiada się całkiem fajny film z Keanu Reeves’em – Dzień, w którym zatrzymała się Ziemia. Będzie można go zobaczyć od jutra w naszych kinach. Dobra, ale czemu piszę o tym na moim blogu? Otóż w filmie wykorzystano bardzo ciekawy holder do kart wyprodukowany przez firmę Identity Stronghold. Nie jest to zwykły (zazwyczaj paskudny) kawałek plastiku z miejscem na identyfikator. Ten jest inny 🙂 Po pierwsze został zaprojektowany przez studio ROBRADY Design znane miedzy innymi z projektu Seegway. Dostajemy więc produkt nie tylko ładny ale też funkcjonalny (np. łatwe wyjmowanie karty jedną ręką). Po drugie Secure Badgeholder posiada certyfikat FIPS 201, co daje nam pewność że nikt nie odczyta danych z karty RFID znajdującej się w nim. Polecam obejrzenie krótkiej animacji demonstrującej sposób działania holdera.

idsh_earth-still

Reklamy

TrustBearer Live PIV API z certyfikatem FIPS 201

trustbearer_openid_logoMiddleware przygotowany przez TrustBearer Labs trafił na listę FIPS 201 Approved Products List (APL) (392 pozycja). W odróżnieniu od innych producentów TrustBearer przygotował oprogramowanie, które pozwala na silne uwierzytelnianie w aplikacjach internetowych przy użyciu poświadczeń rządowych wydanych na kartach PIV (Personal Identity Verification) za pomocą własnej platformy OpenID. Używając technologii OpenID i SAML, TrustBearer wspiera Single Sign-On w takich aplikacjach internetowych jak Salesforce, czy też Google Apps.

Platforma OpenID TrustBearer jest częścią federacji obsługującej tożsamości cyfrowe. Serwis obsługuje silne uwierzytelnienie (dokładnie dwu składnikowe – „coś co mam” – karta i „coś co znam” – PIN) w witrynach internetowych, które wprowadziły standard OpenID lub SAML. Warto podkreślić że middleware TrustBearer obsługuje całkiem sporą ilość wiele kart m.in.

  • PIV,
  • CAC (Common Access Card), 
  • Belgium Identity Card,
  • FineID (Finland National ID card), 
  • Oberthur Cosmo 64RSA, 
  • IBM JCOP. 

Middleware współpracuje z przeglądarkami: IE 6.0, Firefox 2, Safari 2 i z ich nowszymi wersjami. Jak do tej pory jest to jedyne znane mi działające rozwiązanie gdzie wykorzystano karty inteligentne w powiązaniu ze standardem OpenID.

Silne uwiarygodnienie (Strong Authentication) na wesoło :)

Będąc w kinie z synem zobaczyłem co to znaczy prawdziwe Strong Authentication. Przed filmem Madagaskar 2 puścili zwiastun Potwory kontra Obcy.  Zwiastun pokazuje jak wygląda identyfikacja na najwyższym poziomie 🙂 Nie będę opisywał o co chodzi – musisz to sam zobaczyć.

Podrobiony certyfikat RapidSSL CA

Pod koniec zeszłego roku, na konferencji 25th Chaos Communication Congress (25C3) miało miejsce ciekawe wystąpienie. Grupa specjalistów (Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molinar, Dag Arne Osvik i Benne De Weger) spreparowała fałszywy certyfikat firmy RapidSSL. Badacze wykorzystali znaną od 2004 roku słabość algorytmu MD5 polegającą na wygenerowaniu kolizji.  Mechanizm generowania kolizji opiera się  na znalezieniu dwóch wiadomości z taką samą wartością skrótu. Mając zatem oryginalny certyfikat i jego skrót należy spreparować fałszywy certyfikat tak aby dawał taką samą funkcję skrótu.

Znalezienie kolizji było możliwe m.in. dzięki wykorzystaniu Sony Playstation 3. Naukowcy mieli do dyspozycji „konsolową farmę” składającą się z ponad 200 połączonych maszyn. Zawsze wiedziałem że w konsolach drzemie ogromna moc „marnowana” na gry 🙂

Wracając jednak do certyfikatów to dziwi mnie fakt że RapidSSL należąca do Verisign  (podobnie jak marka GeoTrust  czy thawte) dalej używa przestarzałego algorytmu MD5 zamiast korzystać z SHA-1.

Minął ponad tydzień od publikacji informacji na temat sfałszowanego certyfikatu. Dziś sprawdziłem z samej ciekawości jak wygląda „wymiana” certyfikatów RapidSSL korzystających z funkcji MD5. Moje zaskoczenie było wielkie gdy na stronie RapidSSL znalazłem stary certyfikat, który jest w dalszym ciągu używany.

rapidssl_md51

Certyfikat ze strony RapidSSL

Idąc dalej sprawdziłem listę CRL – faktycznie jest ważny. Na naszym rodzimym podwórku jest różnie.  Przykładowo firma Gigaone zajmująca się sprzedażą certyfikatów RapidSSL posiada już nowy certyfikat na swojej stronie testowej.

rapidssl_sha11

Certyfikat ze strony Gigaone

Natomiast starym certyfikatem z MD5 posługuje się np. pasaż Otoli.

Jeszcze jedno. Jeśli chodzi o najczęściej wykorzystywany obecnie algorytm SHA-1 to już w 2005 roku niejaki prof. Xiaoyun Wang przedstawił teoretyczny sposób ataku różnicowego na ten algorytm. Na razie nie jest znana praktyczna próba ataku zakończona sukcesem. Wymaga to ogromnych mocy obliczeniowych. Biorąc jednak pod uwagę postęp technologiczny NIST zaleciła już w 2006 roku agencjom rządowym USA, aby zaprzestały używać algorytmu SHA-1 i wykorzystały algorytmy z rodziny SHA-2 uważane za znacznie bezpieczniejsze. Od 2010 żadna agencja rządowa USA nie może posługiwać się algorytmem SHA-1.