Design by Contract Мейера не взлетел в 1986 из-за двойной работы. AI-агент убирает вторую половину. Я построил PKI-систему с аппаратным TRNG, формальными контрактами на криптографию и открытым репозиторием, чтобы это проверить.
Рубрика «PKI»
KPI по ИИ: как «эффективность» убивает мотивацию разработчика (и при чем тут синдром самозванца)
2026-04-05 в 14:30, admin, рубрики: PKI, ИИ, крик души, разработка
Компрометация PKI: Когда Red Team получает «ключи от королевства»
2025-10-07 в 15:22, admin, рубрики: blue team, cert, certificate, pentest, PKI, red team, securityАнализ теоретическо-практических векторов атаки при утечке корневых и промежуточных сертификатов в модели угроз направленного взлома.
В практике тестирования на проникновение (penetration testing) традиционно большое внимание уделяется эксплуатации уязвимостей в программном обеспечении, слабостях в конфигурации и социальной инженерии.
Однако существуют сценарии, при которых Red Team получает доступ к активам, ставящим под угрозу не отдельные серверы или учетные записи, а саму основу доверия в информационной системе — инфраструктуру открытых ключей (Public Key Infrastructure, PKI).
Защита от эксплойтов rdp, smb c помощью IPSec и сертификатов
2025-09-15 в 13:20, admin, рубрики: firewall, ipsec, PKI, rdp, smb, Windows Server, брандмауэр, информационная безопасностьНа многих предприятиях остаются всё ещё работать старые версии операционных систем windows, которые не обновляются, или просто не установлены обновления по непонятным причинам. Типичный ответ у нас после обновления отвалились принтеры, и мы отключили их. В результате были использованы эксплойты по типу MS12-020, или другие приватные эксплойты, что повлекло за собой утечку информации, и вывод серверов из строя. Чтобы этого не случилось, я написал инструкцию шаг за шагом, которая позволит это предотвратить, или сузить вектор атаки.
Про IPSec много написано, поэтому здесь только настройки.
Сам себе нотариус. Используем OpenSSH для подписи файлов и TLS для нотариального заверения веб-страниц
2021-12-22 в 8:06, admin, рубрики: Keybase, Minisign, OpenPGP, openssh, pgp, PKI, signify, ssh, ssh-keygen, TLS, асимметричная криптография, Блог компании М.Видео-Эльдорадо, информационная безопасность, криптография, мвидео, нотариус, Софт, Эльдорадо
Если нужно подписать файл, чтобы гарантировать его аутентичность, что мы делаем? Старый способ — запустить PGP и сгенерировать подпись, используя команду --sign. Цифровая подпись удостоверяет создателя и дату создания документа. Если документ будет как-то изменён, то проверка цифровой подписи это покажет. Одновременно нужно опубликовать в открытом доступе свой публичный ключ, чтобы любой желающий мог проверить подпись.
Но использовать PGP — не лучшая идея. Есть варианты получше. Например, теперь подписывать документы/файлы можно с помощью обычной утилиты OpenSSH.
Вообще, ключ SSH — очень удобная штука. Не только для подписи текстов и коммитов в Git, но и для авторизации на сайтах. А также для шифрования сообщений, которые сможет прочитать только один человек.
Читать полностью »
Подделка паспортов вакцинации Евросоюза. Утечка секретного ключа?
2021-12-17 в 20:37, admin, рубрики: EU Digital COVID Certificate, PKI, vaccine passport, Verifica C19, Блог компании GlobalSign, информационная безопасность, ковид, криптография, паспорт вакцинации, публичная криптография, сертификат, электронное правительство
Поддельные паспорта вакцинации — очень востребованный товар на рынке. По какой-то причине люди платят от $300 до 400 евро за фальшивый сертификат, лишь бы не делать бесплатную прививку. Доходит до того, что открываются анонимные центры вакцинации, куда человек с поддельным паспортом вакцинации может прийти и сделать настоящую прививку, не раскрывая своё настоящее имя. Ситуация очень странная. По мировой статистике, наиболее настроены против вакцинации жители России (20% населения) и США (19%). Но проблема есть и в Евросоюзе, особенно в Германии (10%).
В октябре 2021 года итальянские источники сообщили об утечке приватного ключа, который использовался для подписи EU Digital COVID Certificate (паспортов вакцинации ЕС).
Читать полностью »
Safari перестанет принимать сертификаты HTTPS, срок действия которых превышает 13 месяцев
2020-02-21 в 9:55, admin, рубрики: apple, https протокол, PKI, safari, ssl/tls, браузеры, информационная безопасность
Apple решила вступить в борьбу с долговечными сертификатами HTTPS — Safari в конце этого года откажется принимать новые сертификаты, срок действия которых составляет более 13 месяцев с момента создания. Сайты, которые используют долгосрочные сертификаты SSL/TLS, выпущенные после этого момента, будут вызывать ошибки конфиденциальности в браузере.
С 1 сентября любой новый сертификат веб-сайта, действительный более 398 дней, не будет доверен браузеру Safari и будет отклонен. Однако правило не затронет старые сертификаты. Читать полностью »
Помощь девопсам по внедрению PKI
2019-11-17 в 14:25, admin, рубрики: Ansible, ci/cd, devops, globalsign, hashicorp vault, Jenkins CI, kubernetes, openshift, PKI, saltstack, terraform, Venafi, X.509, Блог компании GlobalSign, информационная безопасность, облачные сервисы, Серверное администрирование
Ключевые интеграции Venafi
У девопсов и так много работы, а от них ещё требуют экспертных знаний по криптографии и инфраструктуре открытых ключей (PKI). Это неправильно.
Действительно, у каждой машины должен быть валидный TLS-сертификат. Они нужны для серверов, контейнеров, виртуальных машин, в сетках service mesh. Но количество ключей и сертификатов растёт как снежный ком, а управление быстро становится хаотичным, дорогостоящим и рискованным, если всё делать самостоятельно. При отсутствии надлежащей практики применения политик и мониторинга бизнес может пострадать из-за слабых сертификатов или неожиданного истечения срока действия.
GlobalSign и Venafi организовали два вебкаста в помощь девопсам. Первый — вводный, а второй — с более конкретными техническими советами по подключению системы PKI от GlobalSign через облако Venafi с помощью опенсорсных инструментов через HashiCorp Vault из конвейера Jenkins CI/CD.
Читать полностью »
Зачем нужен собственный удостоверяющий центр
2019-08-05 в 7:50, admin, рубрики: globalsign, IntranetSSL, PKI, Блог компании GlobalSign, иерархия доверия, информационная безопасность, инфраструктура открытых ключей, Разработка веб-сайтов, Разработка для интернета вещей, удостоверяющий центр, центр сертификации
Примеры 1) промежуточного УЦ в открытой иерархии доверия и 2) частной иерархии, которая изолирована от открытой иерархии, со своим собственным корневым УЦ
Инфраструктура открытых ключей (PKI) традиционно имеет иерархическую структуру. В ней удостоверяющие центры (УЦ) связаны отношениями подчинённости. Все пользователи доверяют одному и тому же корневому (головному) УЦ, а каждый нижестоящий УЦ подчиняется более высокому в иерархии.
Но что, если мы хотим создать частную инфраструктуру PKI со своим собственным УЦ? Действительно, в некоторых ситуациях такие промежуточные или частные иерархии очень удобны на практике.
Читать полностью »
Как подружить Ovirt и Let’s Encrypt
2019-03-17 в 10:22, admin, рубрики: Apache, apache2, cert, certificate, certificates, certification authority, java, Let's Encrypt, linux, nginx, nginx сертификаты, open source, ovirt, PKI, python, виртуализация, Настройка LinuxШагая по пути улучшения инфраструктуры, я решил добить древний и мучительный вопрос — без лишних телодвижений предоставлять возможность коллегам (разработчикам, тестировщикам, админам, etc ) самостоятельно управлять своими виртуалками в ovirt'е. В ovirt есть несколько компонентов, которые надо настроить для решения моего вопроса: сам веб интерфейс, noVNC консоль и заливка образов дисков.
Кнопки «Сделать Зашибись» я не нашёл, поэтому показываю какие ручки я крутил, чтобы решить данную задачу. Полная инструкция под катом:
