Prijavi se z GoogleID

» »

Backup in uvoz SIGEN-CA certifikata

Backup in uvoz SIGEN-CA certifikata

Aphanisis ::

Živijo.

Danes sem prevzel novo osebni SIGEN-CA certifikat v Firefoxu. Naredil sem backup v obliki PKCS#12 (.p12) datoteke in izbral password.

Ko želim certifikat uvoziti v Chrome mi piše, da je password napačen. To je nemogoče, ker sem naredil več backupov, z različnimi passwordi in 100% vtipkam pravega (caps lock checked).

Ne razumem, zakaj mi v Chromu, ko uvažam certifkat, pravi, da je password napačen, čep a 100% ni.

Najlepša hvala za pomoč.

nejc_ ::

hej,
instaliraj dodatno firefox esr, importiraj certifikat iz ta novega firefoxa in ga potem izvozi iz esr
lp

Apple ::

Vzrok je v tem, da Firefox 58 je zaščito gesla s hash algoritmom izvajal v 100.000 ponovitvah v verziji FF 59 pa so to povišali za faktor 10 na milijon ponovitev. Ker pa je windows omejen na 600.000 ponovitev, pride do napačnega preračunavanja in seveda zanj to geslo ni ustrezno. Zakaj so torej zvišali zahtevo po zvečanju ponovitev pri kodiranju gesla? Predvsem zaradi brute-force attack metode, kjer namreč napadalec z različnimi gesli poskuša enostavno ujeti pravega. Ker so današnje mašine že zelo močne in lahko preračunavanje enega gesla pri 100.000 ponovitvah poteka prehitro, saj lahko računalnik dokaj hitro najde ustrezno geslo. Pri milijon ponovitvah je to že bistveno težje, saj rabi računalnik 10x več časa za preverjanje posameznega gesla.
LP, Apple

BadB0y ::

Ali pa prevzemi certifikat z verzijo 57. Samo ta dela ok. Sem imel ravno včeraj tale problem.


Aphanisis ::

nejc_ je izjavil:

hej,
instaliraj dodatno firefox esr, importiraj certifikat iz ta novega firefoxa in ga potem izvozi iz esr
lp


Hvala. Rešeno.

Aphanisis ::

Še nekaj nejasnosti. Po nejcevem hintu sem uspešno uvozil certifikat v Chrome. Ko ga sedaj želim izvoziti iz Chroma, mi ne dovoli izvoziti "private key". Pri starem certifikatu je bilo to mogoče. Kaj sploh je "private key"? Kako ga lahko izvozim? Je sploh pomembno?

XS!D3 ::

Aphanisis je izjavil:

Še nekaj nejasnosti. Po nejcevem hintu sem uspešno uvozil certifikat v Chrome. Ko ga sedaj želim izvoziti iz Chroma, mi ne dovoli izvoziti "private key". Pri starem certifikatu je bilo to mogoče. Kaj sploh je "private key"? Kako ga lahko izvozim? Je sploh pomembno?

Če si pri uvozu označil ceritikat kok non-exportable, potem lahko načeloma izvoziš samo javni del . Zakaj načeloma? Po mojih izkušnjah je tudi v tem primeru mogoče izvozit komplet certifikat s privatnim ključem vred, in sicer z orodjem mimikatz. Je pa res, da že nekaj časa tega nisem počel.

Certifikat oziroma digitalno potrdilo, je v osnovi samo potrdilo certifikatne agencije, da določen javni ključ, ki je navaden v ceritifkatu, (s tem pa tudi pripadajoč privatni ključ, saj sta javni in privatni ključ vedno v paru) res pripada določeni entiteti (v tem primeru tebi).

Več o asimetrični kriptografiji si lahko prebereš npr. tu. Zelo poenostavljeno gre za to, da vse kar zašifriraš z določenim javnim ključem lahko odšifriraš le s pripadajočim privatnim ključem in obratno. To princip lahkom potem uporabiš na različne način, da zagotoviš zasebnost (s tvojim javnim ključem lahko npr vsebino zašifrira kdorkoli, dešifriraš jo lahko samo ti, ker imaš ustrezen privatni ključ), integriteto podatkov, nezataljivost, itd..

Privatni ključ je uglavnem ključna zadeva, brez katere samo potrdilo za tebe v tem primeru nima neke vrednosti, in je tudi edini del, ki ne sme prit pod roke komur koli drugemu.

nsa_ag3nt ::

Za omogočen izvoz non-exportable certifikata skupaj z zasebnim ključem
https://github.com/iSECPartners/jailbre...
https://gizmodo.com/c/goodbye-big-five

XS!D3 ::

nsa_ag3nt je izjavil:

Za omogočen izvoz non-exportable certifikata skupaj z zasebnim ključem
https://github.com/iSECPartners/jailbre...

Ja to je druga opcija, ampak v določenih primerih s tem ni šlo, je šlo pa z mimikatzom, ki sem ga linkal v prejšnem postu, BP.

NoName ::

Meni tudi na enem exportu ni deloval izvoz iz ff58 ter naknaden uvoz v chorme.. sem naredil en workardoun.. prekonvertiral pkcs12 z openssl v pub/priate key ter nazaj pakiranje v nov p12...
I can see dumb people...They're all around us... Look, they're even on this forum!

Aphanisis ::

Bom izkoristil vašo prijaznost, da še malo poglobim moje ABC znanje certifikatov.

Zanima me, če prav razumem naslednje: digitalni certifkat se lahko izvozi tudi na USB ključek s sim kartico. Ta USB ključek zaščiti certifikat tako, da se ga ne da prekopirati iz ključka v obliki datoteke, je pa dostopen certifikat vsakokrat, ko ga neko spletno mesto preverja. Takrat vpišemo pin/password. Tak princip je pri nas od Halcoma, ki deluje prek programske opreme Nexus Peronal. Ali to drži?

Je možno tako zaščititi tudi SIGEN-CA certifikate in tako omogočiti prenosljivost certifikata med napravami, ne da bi zato bilo potrebno prenašati datoteko s certifikatom po drugih medijih?

XS!D3 ::

Aphanisis je izjavil:

Bom izkoristil vašo prijaznost, da še malo poglobim moje ABC znanje certifikatov.

Zanima me, če prav razumem naslednje: digitalni certifkat se lahko izvozi tudi na USB ključek s sim kartico. Ta USB ključek zaščiti certifikat tako, da se ga ne da prekopirati iz ključka v obliki datoteke, je pa dostopen certifikat vsakokrat, ko ga neko spletno mesto preverja. Takrat vpišemo pin/password. Tak princip je pri nas od Halcoma, ki deluje prek programske opreme Nexus Peronal. Ali to drži?

Je možno tako zaščititi tudi SIGEN-CA certifikate in tako omogočiti prenosljivost certifikata med napravami, ne da bi zato bilo potrebno prenašati datoteko s certifikatom po drugih medijih?

Da, digitalno potrdilo s privatnim ključem lahko spraviš tudi na pametno kartico (ni ravno SIM, je pa SIM sicer tudi pametna kartica), ki je v čitalcu (lahko v obliki USB ključka kot npr. Halcomov USB ključek, ki je pravzaprav še vedno čitalec v katerega vstaviš pametno kartico velikosti običajne SIM kartice). Samo digitalno potrdilo z javnim ključem lahko še vedno dobiš dol (v končni fazi ga pošlješ npr. strežniku, kamor se želiš avtenticirat z digitalnim potrdilom), medtem ko privatnega ključa načeloma ne moreš dobit dol (naj ga ne bi, če nima kartica kakšne varnostne luknje), tako da računalnik nima več direktnega dostopa do njega. Vse kripto funkcije (šifriranje/dešifriranje s privatnim ključem) izvaja sama pametna kartica.

Najbolj varno je, da že sam prevzem digitalnega potrdila izvedeš s pomočjo takšnega čitalca in pametne kartice, pri čemer se privatni ključ dejansko zgenerira direktno na pametni kartici in je več ne zapusti. Tudi certifikatni agenciji, ki ti izda samo potrdilo, se pošlje samo javni ključ oziroma zahtevo za izdajo digitalnega potrdila, ki vsebuje javni ključ. Se pa da tudi obstoječe digitalno potrdilo s privatnim ključem namestit na kartico. Če že imaš Halcomov ključek, bi moral bit še kak slot prazen, da namestiš sigenco. Drugače lahko tak ali podoben ključek nabaviš tudi sam. Ena izmed možnosti je tudi YubiKey, ki poleg ceritifikatov X.509 podpira tudi OpenPGP, FIDO U2F, TOPT, HOTP, itd.

Sheteentz ::

Apple je izjavil:

Vzrok je v tem, da Firefox 58 je zaščito gesla s hash algoritmom izvajal v 100.000 ponovitvah v verziji FF 59 pa so to povišali za faktor 10 na milijon ponovitev. Ker pa je windows omejen na 600.000 ponovitev, pride do napačnega preračunavanja in seveda zanj to geslo ni ustrezno. Zakaj so torej zvišali zahtevo po zvečanju ponovitev pri kodiranju gesla? Predvsem zaradi brute-force attack metode, kjer namreč napadalec z različnimi gesli poskuša enostavno ujeti pravega. Ker so današnje mašine že zelo močne in lahko preračunavanje enega gesla pri 100.000 ponovitvah poteka prehitro, saj lahko računalnik dokaj hitro najde ustrezno geslo. Pri milijon ponovitvah je to že bistveno težje, saj rabi računalnik 10x več časa za preverjanje posameznega gesla.

Frajerji pri firefoxu so torej, vedoč za omejitev na windowsih, vseeno šli implementirat to varnostno rešitev, in jih je prav malo brigalo, da bodo s tem za*ebali vsakogar, ki bo hotel exportat certifikat za uporabo v chromu ali edge-u.

Če smo že pri šalabajzeriji, naj omenim, da nlb certifikata sploh ne moreš prevzet s chromom ali edgeom, ki je itak privzeti brskalnik na win10. Možna sta samo firefox in IE, ki ga pa na win 10 sploh ne moreš inštalirat. In tako sem moral inštalirat firefox, samo zato, da mi je uničil certifikat. Bravo NLB!

Invictus ::

IE je po defaultu na Win 10.

Samo skrit... Vtipkaj iexplore.exe ;).
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

jukoz ::

Sheteentz je izjavil:


Frajerji pri firefoxu so torej, vedoč za omejitev na windowsih, vseeno šli implementirat to varnostno rešitev, in jih je prav malo brigalo, da bodo s tem za*ebali vsakogar, ki bo hotel exportat certifikat za uporabo v chromu ali edge-u.

Če smo že pri šalabajzeriji, naj omenim, da nlb certifikata sploh ne moreš prevzet s chromom ali edgeom, ki je itak privzeti brskalnik na win10. Možna sta samo firefox in IE, ki ga pa na win 10 sploh ne moreš inštalirat. In tako sem moral inštalirat firefox, samo zato, da mi je uničil certifikat. Bravo NLB!


Če citiram Prešerna: "Le čevlje sodi naj kopitar."
Ker ne veš kje je težava: Chrome in edge uporabljata nov način generiranja certifikatov, kar pa zahteva tudi spremembe na strani ponudnika. IE in Firefox delujeta še po starem, zato ga lahko prevzameš z njima.
In ja IE10 je vključen v Win10, tudi v Win20 bo, ker drugače 3/4 SWja za banke in javne uprave ne bo delal več.

Bye ::

Rad bi uvozil certifikat v Firefox, pa mi javi napako. A je lahko vzrok v izvozu/prevzemu certifikata v IE?

Zgodovina sprememb…

  • spremenilo: Bye ()

Fsegula62 ::

Brskalnik Firefox je z verzijo 69.0 onemogočil prevzem digitalnih potrdil.

Uporabnikom svetujemo, da digitalna potrdila prevzemajo s starejšo verzijo brskalnika Firefox oz. prevzem naredijo v brskalniku Explorer 11 in potrdilo kot varnostno kopijo uvozijo v brskalnik, ki ga želijo uporabljati.

VIR: https://www.si-trust.gov.si/sl/obvestil...

#slovenia

Bye ::

Ja, to sem prebral. Saj je bil prevzem z IE ampak mi ga ne dovoli izvoziti v FF.

Fsegula62 ::

Kakšno napako ti javi?

Bye ::

Da dekodiranje ni uspelo. Bodisi potrdilo ni v formatu PKCS#12, je poškodovano ali pa napačno geslo.
Geslo je seveda pravo, format je .pfx. So what gives?

Zgodovina sprememb…

  • spremenilo: Bye ()

Fsegula62 ::

Če si ga ravno prevzel ga poskusi ga najprej uvoziti vi IE in iz IE izvoziti in sele nato uvoziti v Firefox

Bye ::

Ne gre; javi isto napako.

Zgodovina sprememb…

  • spremenilo: Bye ()

solatko ::

Iz IE moraš certifikat najprej izvoziti, kot svojo datoteko, varnostna kopija, potem pa ga instaliraš v FF, Opero, Crome, Edge,.....
Delo krepa človeka

Zgodovina sprememb…

  • spremenil: solatko ()

Han ::

Za take zadeve in v firmah je priporočljiva uporaba Firefoxa ESR (Extended Support Release).

https://www.mozilla.org/sl/firefox/all/...

Zgodovina sprememb…

  • spremenil: Han ()

Bye ::

solatko je izjavil:

Iz IE moraš certifikat najprej izvoziti, kot svojo datoteko, varnostna kopija, potem pa ga instaliraš v FF, Opero, Crome, Edge,.....

Sem že napisal, da ne gre. Torej mi ostane ESR. Upam, da obstaja mobilna verzija, ker IE mi gre na bru...

Han ::

Vse kaže na to, da certifikata nisi pravilno shranil / izvozil.

Bye ::

Han je izjavil:

Vse kaže na to, da certifikata nisi pravilno shranil / izvozil.

Hm, a res? Kako potem, da mi v IE normalno funkcionira?

Han ::

Ker si ga z IE prevzel in ob tem verjetno nisi izbral opcije za izvoz...

Bye ::

Kako sem ga po tvoje potem izvozil v varnostno kopijo?

Zgodovina sprememb…

  • spremenilo: Bye ()

Han ::

Povedano drugače: verjetno nisi izbral vseh potrebnih opcij za "popolni" izvoz. Če bi jih, ne bi imel težav z uvozom v druge brskalnike.

Bye ::

To so v navodilih za prevzemanje pozabili omeniti. In kaj naj zdaj s tem certifikatom?

Han ::

Poskusi z izvozom še enkrat, mogoče v drug format, pri tem pa izberi čimveč opcij. Lahko poskusiš še z uvozom v Edge, izvozom iz njega in uvozom v Firefox.

nsa_ag3nt ::

Si prevzem po tem vodiču ?
https://www.si-trust.gov.si/sl/podpora-...

Na koncu imaš opcijo "Preizkus namestitve potrdila"...


Izdelava varnostne kopije z brskalnikom MS Internet Explorer oz. izvoz potrdila
https://www.si-trust.gov.si/sl/podpora-...
omfg, a niso mogli dati malo večje resolucije slik ???
https://gizmodo.com/c/goodbye-big-five

Zgodovina sprememb…

  • spremenilo: nsa_ag3nt ()

Bye ::

Hvala, javim po poskusu.

MrStein ::

Han je izjavil:

Poskusi z izvozom še enkrat, mogoče v drug format, pri tem pa izberi čimveč opcij. Lahko poskusiš še z uvozom v Edge, izvozom iz njega in uvozom v Firefox.

IE in Edge uporabljata isto (sistemsko) shrambo certifikatov.

Poskusi uvoziti na drugem PC. Samo dvoklikni pfx datoteko. Za test ali je fajl OK ali ne.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Bye ::

Mah, ne da se mi s tem več jajcat. Uporabljam na IE, ko rabim.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Prevzem certifikata sigenca v WIN 10 (strani: 1 2 )

Oddelek: Informacijska varnost
536677 (3242) MrStein
»

Izvoz digitalnega potrdila.

Oddelek: Pomoč in nasveti
102008 (1644) polde66
»

Prevzem certifikata za Klik NLB

Oddelek: Pomoč in nasveti
151961 (1732) b3D_950
»

Kje na disku je shranjen certifikat za banko

Oddelek: Pomoč in nasveti
4515608 (13644) technolog
»

eDavki certifikat

Oddelek: Loža
319933 (8348) lopov

Več podobnih tem