Безопасность соединения

Transcript

1. Безопасность соединения Емельяненков Александр 07/09/2018 [email protected]

2. Агенда - Изобретаем TLS - MITM over TLS - SSL

   Pinning 01

3. 02

4. 02 Самодержавие — !

5. 02

6. 02

7. 02

8. 02

9. 02

10. 02

11. АСИММЕТРИЧНОЕ Шифрование 03 CИММЕТРИЧНОЕ

12. АСИММЕТРИЧНОЕ Шифрование 03 Вот каким ключом шифровали, таким и расшифровывайте!

    CИММЕТРИЧНОЕ

13. - Открытый ключ для шифрования АСИММЕТРИЧНОЕ Шифрование 03 Вот каким

    ключом шифровали, таким и расшифровывайте! CИММЕТРИЧНОЕ

14. - Открытый ключ для шифрования - Закрытый ключ для расшифровки

    АСИММЕТРИЧНОЕ Шифрование 03 Вот каким ключом шифровали, таким и расшифровывайте! CИММЕТРИЧНОЕ

15. 04

16. 04

17. 04

18. 04

19. 04

20. 04 ? ?

21. 05

22. 05

23. 05

24. 06

25. 06

26. 06

27. 06 ?

28. 06 ?

29. 07

30. 07

31. 07

32. 07

33. 07

34. 07

35. 07

36. 07

37. Сертификат X.509 - Открытый ключ - Сведения о владельце -

    Цифровая подпись 08

38. Аутентификация ключа 09

39. Аутентификация ключа 09

40. Аутентификация ключа 09

41. Аутентификация ключа 09

42. Аутентификация ключа 10

43. Аутентификация ключа 10

44. Аутентификация ключа 10

45. 11

46. 11

47. 11 ?

48. Цепочка доверия 12

49. Цепочка доверия 12

50. Цепочка доверия 12

51. 13 Цепочка доверия

52. 13 Цепочка доверия

53. 13 Цепочка доверия

54. Промежуточный итог 14

55. 15 TLS

56. 15 TLS

57. 15 TLS Hello

58. 15 TLS Hello Certificate Exchange

59. 15 TLS Hello Certificate Exchange

60. 15 TLS Hello Certificate Exchange

61. 15 TLS Hello Certificate Exchange

62. 15 TLS Hello Certificate Exchange

63. 15 TLS Hello Certificate Exchange Key exchange

64. Ах, эти протоколы - SSL - HTTPS - TLS 16

65. SSL, TLS, HTTPS - Шифрование - Аутентификация - Проверка целостности

    17

66. 18 MITM over TLS

67. 18 MITM over TLS

68. 18 MITM over TLS

69. 18 MITM over TLS

70. 18 MITM over TLS

71. 18 MITM over TLS

72. 18 MITM over TLS

73. 18 MITM over TLS

74. 18 MITM over TLS

75. 19

76. 19

77. 20 Пиннинг

78. 20 Пиннинг

79. 20 Пиннинг

80. 20 Пиннинг

81. URLSession 21 func urlSession( _ session: URLSession, didReceive challenge: URLAuthenticationChallenge,

    completionHandler: @escaping (URLSession.AuthChallengeDisposition,URLCredential?) -> Void) { let serverTrust: SecTrust = challenge.protectionSpace.serverTrust ... completionHandler(.cancelAuthenticationChallenge, nil) }

82. Alamofire 22 public static func certificates( in bundle: Bundle =

    Bundle.main) -> [SecCertificate] public static func publicKeys( in bundle: Bundle = Bundle.main) -> [SecKey] let serverTrustPolicy = ServerTrustPolicy.pinCertificates( certificates: ServerTrustPolicy.certificates(), validateCertificateChain: true, validateHost: true)

83. Когда не надо пинниться - Не контролируем сервер - Нет

    чувствительных данных 23

84. Виды пиннинга 24 на какой сертификат пиннимся

85. Виды пиннинга 24 на какой сертификат пиннимся

86. - fingerprint - открытый ключ Виды пиннинга 24 на какой

    сертификат пиннимся на что пиннимся в сертификате

87. Пиннинг на fingerprint 25

88. Пиннинг на fingerprint 25

89. Пиннинг на fingerprint 25

90. Пиннинг на fingerprint 25

91. Пиннинг на fingerprint 25

92. Пиннинг на fingerprint 25

93. 26 Пиннинг на открытый ключ

94. 26 Пиннинг на открытый ключ

95. 26 Пиннинг на открытый ключ

96. 26 Пиннинг на открытый ключ

97. Пиннинг - Плюсы: - перевыпуск сертификата - отказ от цепочки

    доверия - можно перейти к другому CA - Минусы: - дольше храним/не меняем ключ 27 на открытый ключ конечного сертификата

98. Итог - Декабристы, TLS и цепочка доверия - MITM over

    TLS - SSL Pinning - Когда и как пинниться 28

99. Литература - Performing manual server trust authentication - Ключи, шифры,

    сообщения: как работает TLS 29