» »

Backup in uvoz SIGEN-CA certifikata

Backup in uvoz SIGEN-CA certifikata

Aphanisis ::

Živijo.

Danes sem prevzel novo osebni SIGEN-CA certifikat v Firefoxu. Naredil sem backup v obliki PKCS#12 (.p12) datoteke in izbral password.

Ko želim certifikat uvoziti v Chrome mi piše, da je password napačen. To je nemogoče, ker sem naredil več backupov, z različnimi passwordi in 100% vtipkam pravega (caps lock checked).

Ne razumem, zakaj mi v Chromu, ko uvažam certifkat, pravi, da je password napačen, čep a 100% ni.

Najlepša hvala za pomoč.

nejc_ ::

hej,
instaliraj dodatno firefox esr, importiraj certifikat iz ta novega firefoxa in ga potem izvozi iz esr
lp

Apple ::

Vzrok je v tem, da Firefox 58 je zaščito gesla s hash algoritmom izvajal v 100.000 ponovitvah v verziji FF 59 pa so to povišali za faktor 10 na milijon ponovitev. Ker pa je windows omejen na 600.000 ponovitev, pride do napačnega preračunavanja in seveda zanj to geslo ni ustrezno. Zakaj so torej zvišali zahtevo po zvečanju ponovitev pri kodiranju gesla? Predvsem zaradi brute-force attack metode, kjer namreč napadalec z različnimi gesli poskuša enostavno ujeti pravega. Ker so današnje mašine že zelo močne in lahko preračunavanje enega gesla pri 100.000 ponovitvah poteka prehitro, saj lahko računalnik dokaj hitro najde ustrezno geslo. Pri milijon ponovitvah je to že bistveno težje, saj rabi računalnik 10x več časa za preverjanje posameznega gesla.
LP, Apple

BadB0y ::

Ali pa prevzemi certifikat z verzijo 57. Samo ta dela ok. Sem imel ravno včeraj tale problem.


Aphanisis ::

nejc_ je izjavil:

hej,
instaliraj dodatno firefox esr, importiraj certifikat iz ta novega firefoxa in ga potem izvozi iz esr
lp


Hvala. Rešeno.

Aphanisis ::

Še nekaj nejasnosti. Po nejcevem hintu sem uspešno uvozil certifikat v Chrome. Ko ga sedaj želim izvoziti iz Chroma, mi ne dovoli izvoziti "private key". Pri starem certifikatu je bilo to mogoče. Kaj sploh je "private key"? Kako ga lahko izvozim? Je sploh pomembno?

XS!D3 ::

Aphanisis je izjavil:

Še nekaj nejasnosti. Po nejcevem hintu sem uspešno uvozil certifikat v Chrome. Ko ga sedaj želim izvoziti iz Chroma, mi ne dovoli izvoziti "private key". Pri starem certifikatu je bilo to mogoče. Kaj sploh je "private key"? Kako ga lahko izvozim? Je sploh pomembno?

Če si pri uvozu označil ceritikat kok non-exportable, potem lahko načeloma izvoziš samo javni del . Zakaj načeloma? Po mojih izkušnjah je tudi v tem primeru mogoče izvozit komplet certifikat s privatnim ključem vred, in sicer z orodjem mimikatz. Je pa res, da že nekaj časa tega nisem počel.

Certifikat oziroma digitalno potrdilo, je v osnovi samo potrdilo certifikatne agencije, da določen javni ključ, ki je navaden v ceritifkatu, (s tem pa tudi pripadajoč privatni ključ, saj sta javni in privatni ključ vedno v paru) res pripada določeni entiteti (v tem primeru tebi).

Več o asimetrični kriptografiji si lahko prebereš npr. tu. Zelo poenostavljeno gre za to, da vse kar zašifriraš z določenim javnim ključem lahko odšifriraš le s pripadajočim privatnim ključem in obratno. To princip lahkom potem uporabiš na različne način, da zagotoviš zasebnost (s tvojim javnim ključem lahko npr vsebino zašifrira kdorkoli, dešifriraš jo lahko samo ti, ker imaš ustrezen privatni ključ), integriteto podatkov, nezataljivost, itd..

Privatni ključ je uglavnem ključna zadeva, brez katere samo potrdilo za tebe v tem primeru nima neke vrednosti, in je tudi edini del, ki ne sme prit pod roke komur koli drugemu.

nsa_ag3nt ::

Za omogočen izvoz non-exportable certifikata skupaj z zasebnim ključem
https://github.com/iSECPartners/jailbre...
https://gizmodo.com/c/goodbye-big-five

XS!D3 ::

nsa_ag3nt je izjavil:

Za omogočen izvoz non-exportable certifikata skupaj z zasebnim ključem
https://github.com/iSECPartners/jailbre...

Ja to je druga opcija, ampak v določenih primerih s tem ni šlo, je šlo pa z mimikatzom, ki sem ga linkal v prejšnem postu, BP.

NoName ::

Meni tudi na enem exportu ni deloval izvoz iz ff58 ter naknaden uvoz v chorme.. sem naredil en workardoun.. prekonvertiral pkcs12 z openssl v pub/priate key ter nazaj pakiranje v nov p12...
I can see dumb people...They're all around us... Look, they're even on this forum!

Aphanisis ::

Bom izkoristil vašo prijaznost, da še malo poglobim moje ABC znanje certifikatov.

Zanima me, če prav razumem naslednje: digitalni certifkat se lahko izvozi tudi na USB ključek s sim kartico. Ta USB ključek zaščiti certifikat tako, da se ga ne da prekopirati iz ključka v obliki datoteke, je pa dostopen certifikat vsakokrat, ko ga neko spletno mesto preverja. Takrat vpišemo pin/password. Tak princip je pri nas od Halcoma, ki deluje prek programske opreme Nexus Peronal. Ali to drži?

Je možno tako zaščititi tudi SIGEN-CA certifikate in tako omogočiti prenosljivost certifikata med napravami, ne da bi zato bilo potrebno prenašati datoteko s certifikatom po drugih medijih?

XS!D3 ::

Aphanisis je izjavil:

Bom izkoristil vašo prijaznost, da še malo poglobim moje ABC znanje certifikatov.

Zanima me, če prav razumem naslednje: digitalni certifkat se lahko izvozi tudi na USB ključek s sim kartico. Ta USB ključek zaščiti certifikat tako, da se ga ne da prekopirati iz ključka v obliki datoteke, je pa dostopen certifikat vsakokrat, ko ga neko spletno mesto preverja. Takrat vpišemo pin/password. Tak princip je pri nas od Halcoma, ki deluje prek programske opreme Nexus Peronal. Ali to drži?

Je možno tako zaščititi tudi SIGEN-CA certifikate in tako omogočiti prenosljivost certifikata med napravami, ne da bi zato bilo potrebno prenašati datoteko s certifikatom po drugih medijih?

Da, digitalno potrdilo s privatnim ključem lahko spraviš tudi na pametno kartico (ni ravno SIM, je pa SIM sicer tudi pametna kartica), ki je v čitalcu (lahko v obliki USB ključka kot npr. Halcomov USB ključek, ki je pravzaprav še vedno čitalec v katerega vstaviš pametno kartico velikosti običajne SIM kartice). Samo digitalno potrdilo z javnim ključem lahko še vedno dobiš dol (v končni fazi ga pošlješ npr. strežniku, kamor se želiš avtenticirat z digitalnim potrdilom), medtem ko privatnega ključa načeloma ne moreš dobit dol (naj ga ne bi, če nima kartica kakšne varnostne luknje), tako da računalnik nima več direktnega dostopa do njega. Vse kripto funkcije (šifriranje/dešifriranje s privatnim ključem) izvaja sama pametna kartica.

Najbolj varno je, da že sam prevzem digitalnega potrdila izvedeš s pomočjo takšnega čitalca in pametne kartice, pri čemer se privatni ključ dejansko zgenerira direktno na pametni kartici in je več ne zapusti. Tudi certifikatni agenciji, ki ti izda samo potrdilo, se pošlje samo javni ključ oziroma zahtevo za izdajo digitalnega potrdila, ki vsebuje javni ključ. Se pa da tudi obstoječe digitalno potrdilo s privatnim ključem namestit na kartico. Če že imaš Halcomov ključek, bi moral bit še kak slot prazen, da namestiš sigenco. Drugače lahko tak ali podoben ključek nabaviš tudi sam. Ena izmed možnosti je tudi YubiKey, ki poleg ceritifikatov X.509 podpira tudi OpenPGP, FIDO U2F, TOPT, HOTP, itd.

Sheteentz ::

Apple je izjavil:

Vzrok je v tem, da Firefox 58 je zaščito gesla s hash algoritmom izvajal v 100.000 ponovitvah v verziji FF 59 pa so to povišali za faktor 10 na milijon ponovitev. Ker pa je windows omejen na 600.000 ponovitev, pride do napačnega preračunavanja in seveda zanj to geslo ni ustrezno. Zakaj so torej zvišali zahtevo po zvečanju ponovitev pri kodiranju gesla? Predvsem zaradi brute-force attack metode, kjer namreč napadalec z različnimi gesli poskuša enostavno ujeti pravega. Ker so današnje mašine že zelo močne in lahko preračunavanje enega gesla pri 100.000 ponovitvah poteka prehitro, saj lahko računalnik dokaj hitro najde ustrezno geslo. Pri milijon ponovitvah je to že bistveno težje, saj rabi računalnik 10x več časa za preverjanje posameznega gesla.

Frajerji pri firefoxu so torej, vedoč za omejitev na windowsih, vseeno šli implementirat to varnostno rešitev, in jih je prav malo brigalo, da bodo s tem za*ebali vsakogar, ki bo hotel exportat certifikat za uporabo v chromu ali edge-u.

Če smo že pri šalabajzeriji, naj omenim, da nlb certifikata sploh ne moreš prevzet s chromom ali edgeom, ki je itak privzeti brskalnik na win10. Možna sta samo firefox in IE, ki ga pa na win 10 sploh ne moreš inštalirat. In tako sem moral inštalirat firefox, samo zato, da mi je uničil certifikat. Bravo NLB!

Invictus ::

IE je po defaultu na Win 10.

Samo skrit... Vtipkaj iexplore.exe ;).
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

jukoz ::

Sheteentz je izjavil:


Frajerji pri firefoxu so torej, vedoč za omejitev na windowsih, vseeno šli implementirat to varnostno rešitev, in jih je prav malo brigalo, da bodo s tem za*ebali vsakogar, ki bo hotel exportat certifikat za uporabo v chromu ali edge-u.

Če smo že pri šalabajzeriji, naj omenim, da nlb certifikata sploh ne moreš prevzet s chromom ali edgeom, ki je itak privzeti brskalnik na win10. Možna sta samo firefox in IE, ki ga pa na win 10 sploh ne moreš inštalirat. In tako sem moral inštalirat firefox, samo zato, da mi je uničil certifikat. Bravo NLB!


Če citiram Prešerna: "Le čevlje sodi naj kopitar."
Ker ne veš kje je težava: Chrome in edge uporabljata nov način generiranja certifikatov, kar pa zahteva tudi spremembe na strani ponudnika. IE in Firefox delujeta še po starem, zato ga lahko prevzameš z njima.
In ja IE10 je vključen v Win10, tudi v Win20 bo, ker drugače 3/4 SWja za banke in javne uprave ne bo delal več.

Bye ::

Rad bi uvozil certifikat v Firefox, pa mi javi napako. A je lahko vzrok v izvozu/prevzemu certifikata v IE?

Zgodovina sprememb…

  • spremenilo: Bye ()

Fsegula62 ::

Brskalnik Firefox je z verzijo 69.0 onemogočil prevzem digitalnih potrdil.

Uporabnikom svetujemo, da digitalna potrdila prevzemajo s starejšo verzijo brskalnika Firefox oz. prevzem naredijo v brskalniku Explorer 11 in potrdilo kot varnostno kopijo uvozijo v brskalnik, ki ga želijo uporabljati.

VIR: https://www.si-trust.gov.si/sl/obvestil...

#slovenia

Bye ::

Ja, to sem prebral. Saj je bil prevzem z IE ampak mi ga ne dovoli izvoziti v FF.

Fsegula62 ::

Kakšno napako ti javi?

Bye ::

Da dekodiranje ni uspelo. Bodisi potrdilo ni v formatu PKCS#12, je poškodovano ali pa napačno geslo.
Geslo je seveda pravo, format je .pfx. So what gives?

Zgodovina sprememb…

  • spremenilo: Bye ()

Fsegula62 ::

Če si ga ravno prevzel ga poskusi ga najprej uvoziti vi IE in iz IE izvoziti in sele nato uvoziti v Firefox

Bye ::

Ne gre; javi isto napako.

Zgodovina sprememb…

  • spremenilo: Bye ()

solatko ::

Iz IE moraš certifikat najprej izvoziti, kot svojo datoteko, varnostna kopija, potem pa ga instaliraš v FF, Opero, Crome, Edge,.....
Delo krepa človeka

Zgodovina sprememb…

  • spremenil: solatko ()

Han ::

Za take zadeve in v firmah je priporočljiva uporaba Firefoxa ESR (Extended Support Release).

https://www.mozilla.org/sl/firefox/all/...

Zgodovina sprememb…

  • spremenil: Han ()

Bye ::

solatko je izjavil:

Iz IE moraš certifikat najprej izvoziti, kot svojo datoteko, varnostna kopija, potem pa ga instaliraš v FF, Opero, Crome, Edge,.....

Sem že napisal, da ne gre. Torej mi ostane ESR. Upam, da obstaja mobilna verzija, ker IE mi gre na bru...

Han ::

Vse kaže na to, da certifikata nisi pravilno shranil / izvozil.

Bye ::

Han je izjavil:

Vse kaže na to, da certifikata nisi pravilno shranil / izvozil.

Hm, a res? Kako potem, da mi v IE normalno funkcionira?

Han ::

Ker si ga z IE prevzel in ob tem verjetno nisi izbral opcije za izvoz...

Bye ::

Kako sem ga po tvoje potem izvozil v varnostno kopijo?

Zgodovina sprememb…

  • spremenilo: Bye ()

Han ::

Povedano drugače: verjetno nisi izbral vseh potrebnih opcij za "popolni" izvoz. Če bi jih, ne bi imel težav z uvozom v druge brskalnike.

Bye ::

To so v navodilih za prevzemanje pozabili omeniti. In kaj naj zdaj s tem certifikatom?

Han ::

Poskusi z izvozom še enkrat, mogoče v drug format, pri tem pa izberi čimveč opcij. Lahko poskusiš še z uvozom v Edge, izvozom iz njega in uvozom v Firefox.

nsa_ag3nt ::

Si prevzem po tem vodiču ?
https://www.si-trust.gov.si/sl/podpora-...

Na koncu imaš opcijo "Preizkus namestitve potrdila"...


Izdelava varnostne kopije z brskalnikom MS Internet Explorer oz. izvoz potrdila
https://www.si-trust.gov.si/sl/podpora-...
omfg, a niso mogli dati malo večje resolucije slik ???
https://gizmodo.com/c/goodbye-big-five

Zgodovina sprememb…

  • spremenilo: nsa_ag3nt ()

Bye ::

Hvala, javim po poskusu.

MrStein ::

Han je izjavil:

Poskusi z izvozom še enkrat, mogoče v drug format, pri tem pa izberi čimveč opcij. Lahko poskusiš še z uvozom v Edge, izvozom iz njega in uvozom v Firefox.

IE in Edge uporabljata isto (sistemsko) shrambo certifikatov.

Poskusi uvoziti na drugem PC. Samo dvoklikni pfx datoteko. Za test ali je fajl OK ali ne.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Bye ::

Mah, ne da se mi s tem več jajcat. Uporabljam na IE, ko rabim.

HMatjaz ::

Pozdravljeni
Kako izvoziti digitalno potrdilo od ZVEM.
Po navodilih na spletni strani ZVEM zažene čarovnika in ko pridem do koraka "Izvoz zasebnega ključa - zasebni ključ lahko izvozite skupaj s potrdilom", mi ne ponudi možnosti "Da, izvozi zasebni ključ" oz je polje sivo, ampak samo "Ne, ne izvozi zasebnega ključa".
OS W7, brskalnik Crom ali Firefox. Nikjer ni možno izvoziti potrdila.
Kako rešiti problem?


LP M

sbawe64 ::

Imaš sigen-ca digitalno potrdilo ?
Na osebno stran od fursa prideš ?
2020 is new 1984
Corona World order

6bt9hmDwY ::

Kako bi izvažal digitalno potrdilo od ZVEM? Misliš, digitalno potrdilo 'tudi za' ZVEM? Ja, ko si ga včital, si moral dati, da je izvozljivo, kar je dobro in tudi ni dobro, odvisno od situacije. Če nimaš nikjer dvojnika, bo bolj težko, to je menda znalo delovati, poskusi in poročaj.

Zgodovina sprememb…

  • spremenilo: 6bt9hmDwY ()

HMatjaz ::

Pozdravljen

Ja, na spletno stran ZVEM-a se normalno prijavim in vse deluje OK. Lahko pogledam osebne zdravstvene podatke.

Digitalno potrdilo bi izvozi kot varnostno kopijo in shranil na USB da bi lahko uporabljal tudi na drugem računalniku. So tudi navodila na uradni spletni strani ZVEM.

LP M

broken/link ::

tole je za win7/win10 lifesaver, če si ob namesitvi certa nisi označil, da lahko ključ izvoziš:
https://mlohr.com/jailbreak-for-windows...

Vuli ::

V firefoxu greš v nastavitve/Privycy&Security -> View Cerfiticates oznaščiš svojga in izvoziš.
|Gb x570 Pro|R9 5900x|32GB DDR4 RAM G.Skill V@ 3600 cl16|6800XT Merc319 Black|

HMatjaz ::

Pozdravljeni

Hvala za pomoč.
broken/linj tvoj link je OK, sicer z malo truda je stvar uspela in deluje.

LPM

vsakdanji ::

Jaz imam težave z Sigenca certifikatom in uvozom na androida. Certifikat sem prevzel s Chromom v win10 in ga shranil na sd kartico. Nato sem skušal certifikat odpreti na androidu pa mi vedno javi napačno geslo. Za geslo sem prepričan da vnašam pravilnega. Kaj je vzrok temu in ali je kakšna rešitev

kow ::

Imaš še vedno oba certifikata? Enega v brskalniku (pc), drugega na kartici? Si po izvozu na sd kartico, zatem preveril ali si sposoben certifikat uvoziti v (drug) brskalnik?

Zgodovina sprememb…

  • spremenil: kow ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Digitalni certifikat SIGENCA

Oddelek: Programska oprema
428390 (2966) Yossarian
»

Eksport SIGEN-CA certifikata brez gesla

Oddelek: Pomoč in nasveti
275730 (5230) chrush
»

Prevzem certifikata sigenca v WIN 10 (strani: 1 2 )

Oddelek: Informacijska varnost
5319558 (16123) MrStein
»

Kje na disku je shranjen certifikat za banko

Oddelek: Pomoč in nasveti
4520140 (18176) technolog
»

eDavki certifikat

Oddelek: Loža
3111785 (10200) lopov

Več podobnih tem