Slide 2
Slide 2 text
Агенда
- Изобретаем TLS
- MITM over TLS
- SSL Pinning
01
Slide 3
Slide 3 text
02
Slide 4
Slide 4 text
02
Самодержавие — !
Slide 5
Slide 5 text
02
Slide 6
Slide 6 text
02
Slide 7
Slide 7 text
02
Slide 8
Slide 8 text
02
Slide 9
Slide 9 text
02
Slide 10
Slide 10 text
02
Slide 11
Slide 11 text
АСИММЕТРИЧНОЕ
Шифрование
03
CИММЕТРИЧНОЕ
Slide 12
Slide 12 text
АСИММЕТРИЧНОЕ
Шифрование
03
Вот каким ключом
шифровали, таким
и расшифровывайте!
CИММЕТРИЧНОЕ
Slide 13
Slide 13 text
- Открытый ключ
для шифрования
АСИММЕТРИЧНОЕ
Шифрование
03
Вот каким ключом
шифровали, таким
и расшифровывайте!
CИММЕТРИЧНОЕ
Slide 14
Slide 14 text
- Открытый ключ
для шифрования
- Закрытый ключ
для расшифровки
АСИММЕТРИЧНОЕ
Шифрование
03
Вот каким ключом
шифровали, таким
и расшифровывайте!
CИММЕТРИЧНОЕ
Slide 15
Slide 15 text
04
Slide 16
Slide 16 text
04
Slide 17
Slide 17 text
04
Slide 18
Slide 18 text
04
Slide 19
Slide 19 text
04
Slide 20
Slide 20 text
04
?
?
Slide 21
Slide 21 text
05
Slide 22
Slide 22 text
05
Slide 23
Slide 23 text
05
Slide 24
Slide 24 text
06
Slide 25
Slide 25 text
06
Slide 26
Slide 26 text
06
Slide 27
Slide 27 text
06
?
Slide 28
Slide 28 text
06
?
Slide 29
Slide 29 text
07
Slide 30
Slide 30 text
07
Slide 31
Slide 31 text
07
Slide 32
Slide 32 text
07
Slide 33
Slide 33 text
07
Slide 34
Slide 34 text
07
Slide 35
Slide 35 text
07
Slide 36
Slide 36 text
07
Slide 37
Slide 37 text
Сертификат X.509
- Открытый ключ
- Сведения о владельце
- Цифровая подпись
08
Slide 38
Slide 38 text
Аутентификация ключа
09
Slide 39
Slide 39 text
Аутентификация ключа
09
Slide 40
Slide 40 text
Аутентификация ключа
09
Slide 41
Slide 41 text
Аутентификация ключа
09
Slide 42
Slide 42 text
Аутентификация ключа
10
Slide 43
Slide 43 text
Аутентификация ключа
10
Slide 44
Slide 44 text
Аутентификация ключа
10
Slide 45
Slide 45 text
11
Slide 46
Slide 46 text
11
Slide 47
Slide 47 text
11
?
Slide 48
Slide 48 text
Цепочка доверия
12
Slide 49
Slide 49 text
Цепочка доверия
12
Slide 50
Slide 50 text
Цепочка доверия
12
Slide 51
Slide 51 text
13
Цепочка доверия
Slide 52
Slide 52 text
13
Цепочка доверия
Slide 53
Slide 53 text
13
Цепочка доверия
Slide 54
Slide 54 text
Промежуточный итог
14
Slide 55
Slide 55 text
15
TLS
Slide 56
Slide 56 text
15
TLS
Slide 57
Slide 57 text
15
TLS
Hello
Slide 58
Slide 58 text
15
TLS
Hello
Certificate Exchange
Slide 59
Slide 59 text
15
TLS
Hello
Certificate Exchange
Slide 60
Slide 60 text
15
TLS
Hello
Certificate Exchange
Slide 61
Slide 61 text
15
TLS
Hello
Certificate Exchange
Slide 62
Slide 62 text
15
TLS
Hello
Certificate Exchange
Slide 63
Slide 63 text
15
TLS
Hello
Certificate Exchange
Key exchange
Slide 64
Slide 64 text
Ах, эти протоколы
- SSL
- HTTPS
- TLS
16
Slide 65
Slide 65 text
SSL, TLS, HTTPS
- Шифрование
- Аутентификация
- Проверка целостности
17
Slide 66
Slide 66 text
18
MITM over TLS
Slide 67
Slide 67 text
18
MITM over TLS
Slide 68
Slide 68 text
18
MITM over TLS
Slide 69
Slide 69 text
18
MITM over TLS
Slide 70
Slide 70 text
18
MITM over TLS
Slide 71
Slide 71 text
18
MITM over TLS
Slide 72
Slide 72 text
18
MITM over TLS
Slide 73
Slide 73 text
18
MITM over TLS
Slide 74
Slide 74 text
18
MITM over TLS
Slide 75
Slide 75 text
19
Slide 76
Slide 76 text
19
Slide 77
Slide 77 text
20
Пиннинг
Slide 78
Slide 78 text
20
Пиннинг
Slide 79
Slide 79 text
20
Пиннинг
Slide 80
Slide 80 text
20
Пиннинг
Slide 81
Slide 81 text
URLSession
21
func urlSession(
_ session: URLSession,
didReceive challenge: URLAuthenticationChallenge,
completionHandler: @escaping
(URLSession.AuthChallengeDisposition,URLCredential?) -> Void) {
let serverTrust: SecTrust = challenge.protectionSpace.serverTrust
...
completionHandler(.cancelAuthenticationChallenge, nil)
}
Slide 82
Slide 82 text
Alamofire
22
public static func certificates(
in bundle: Bundle = Bundle.main) -> [SecCertificate]
public static func publicKeys(
in bundle: Bundle = Bundle.main) -> [SecKey]
let serverTrustPolicy = ServerTrustPolicy.pinCertificates(
certificates: ServerTrustPolicy.certificates(),
validateCertificateChain: true,
validateHost: true)
Slide 83
Slide 83 text
Когда не надо пинниться
- Не контролируем сервер
- Нет чувствительных данных
23
Slide 84
Slide 84 text
Виды пиннинга
24
на какой сертификат пиннимся
Slide 85
Slide 85 text
Виды пиннинга
24
на какой сертификат пиннимся
Slide 86
Slide 86 text
- fingerprint
- открытый ключ
Виды пиннинга
24
на какой сертификат пиннимся
на что пиннимся в сертификате
Slide 87
Slide 87 text
Пиннинг
на fingerprint
25
Slide 88
Slide 88 text
Пиннинг
на fingerprint
25
Slide 89
Slide 89 text
Пиннинг
на fingerprint
25
Slide 90
Slide 90 text
Пиннинг
на fingerprint
25
Slide 91
Slide 91 text
Пиннинг
на fingerprint
25
Slide 92
Slide 92 text
Пиннинг
на fingerprint
25
Slide 93
Slide 93 text
26
Пиннинг
на открытый ключ
Slide 94
Slide 94 text
26
Пиннинг
на открытый ключ
Slide 95
Slide 95 text
26
Пиннинг
на открытый ключ
Slide 96
Slide 96 text
26
Пиннинг
на открытый ключ
Slide 97
Slide 97 text
Пиннинг
- Плюсы:
- перевыпуск сертификата
- отказ от цепочки доверия
- можно перейти к другому CA
- Минусы:
- дольше храним/не меняем ключ
27
на открытый ключ конечного сертификата
Slide 98
Slide 98 text
Итог
- Декабристы, TLS и цепочка доверия
- MITM over TLS
- SSL Pinning
- Когда и как пинниться
28
Slide 99
Slide 99 text
Литература
- Performing manual server trust authentication
- Ключи, шифры, сообщения: как работает TLS
29