česky | english
Seznam hrozeb
Toto je pokus o sestavení seznamu hrozeb uživatelům CAcert.
Místní hrozby
"Muž [špion] v prohlížeči": http://www2.futureware.at/svn/sourcerer/CAcert/SecureClient.pdf
Únik postranním kanálem RSA (RSA side-channel leak): http://blog.cacert.org/2006/11/193.html
Zfalšování podpisu: http://www.openssl.org/news/secadv_20060905.txt
- Útoky postranním kanálem
- Použití nedokonalých [generátorů] náhodných čísel
- Data nelze dešifrovat, neboť se ztratil privátní klíč
- Vypršela platnost certifikátů
Kolize v hašovacím algoritmu: http://www.iaik.tugraz.at/research/krypto/collision/index.php
Síťové hrozby
- Nedostatky informací v SSL/HTTPS (přenos certifikátu prostým textem)
- Analýza provozu umožněná komunikací v OCSP prostým textem
- Phishing [vylákání osobních/důvěrných informací]
- Opětné použití utajených klíčů vlivem distribuce softwaru a dalších nedostatků
- "Muž [špion] uprostřed" od schválených CA
Specifické hrozby CAcert
- Vydávání chybných certifikátů
- Prolomení kořenového klíče
Hrozby prohlížeče
Strom útoků prohlížeče (je appletem Mindmap) a spol.
Model hrozeb prohlížeče, psáno jako návrh pro Mozillu již roku 2004.
Obchodní hrozby
Threats/LegalDiscovery bombardování právními návrhy
Jiné
Příručka bezpečnosti: SecurityManual a http://svn.cacert.org/CAcert/SecurityManual/