Protezione del keystore Java con una password debole, qual è il rischio?

Naviga le tue risposte
7

Da quanto ho capito, il keystore Java contiene informazioni sui certificati, ma queste informazioni sono pubbliche (ad esempio, altri certificati macchina di cui si desidera che la macchina locale consideri attendibili).

C'è qualcos'altro oltre a questo che mi manca? Quale sarebbe il rischio nel proteggere il keystore con una password debole?

Aggiorna

Ho appena realizzato che potrei essermi riferito al truststore in questa domanda. Apparentemente il keystore include anche le chiavi private. Se puoi confermare questo, allora posso facilmente vedere quale sarebbe il problema di usare una password debole per proteggerlo.

    
posta user1301428 02.07.2014 - 10:49
fonte

3 risposte

3

the Java keystore contains certificate information

Per essere più precisi contiene chiavi pubbliche o coppie di chiavi (chiave pubblica e privata). Il keystore è protetto da una password e ogni chiave privata è protetta anche da una password. Tuttavia, è possibile modificare o rimuovere le password. Tocca a voi. Un keystore Java è come un keystore distaccato di un browser Web, cioè 

Mozilla -> Edit -> Preferences -> Advanced -> Certificates,
Chrome -> Settings -> Advanced Settings -> HTTPS/SSL

Un Certificate Manager di questo tipo gestisce i certificati, le chiavi pubbliche delle persone, i certificati del server o dell'autorità di certificazione che sono anche chiavi pubbliche. Sono memorizzati nel keystore di un browser.

but this information is public (i.e. other machine certificates which you want the local machine to trust)

Pubblico sono solo le chiavi che non hanno bisogno di alcuna protezione, lo sono le chiavi pubbliche. Le chiavi private non sono pubbliche e protette da una password.

Decidi quando usare i tasti e quando viene rubato non è facile estrarre informazioni da. Quindi un keystore è un incantesimo di sicurezza.

Ma parli in generale del livello di fiducia o delle metriche sulla fiducia .

Per fare questo è necessario sapere che le chiavi private possono teoricamente anche essere indovinato, quindi la tua sicurezza non è al 100%. Un supercomputer di oggi elencato a Top500 Supercomputer Sites con 33.862.7 Tera Flops / s potrebbe rinforzare la tua chiave privata. In teoria, il tuo computer / laptop può essere rubato o il tuo keystore può essere rubato e le tue password possono essere lette da un trojan .

Finirai per chiederti quanto è alto il rischio se il mio keystore verrebbe rubato e decifrato e cosa posso fare per evitarlo. Questo è spesso anche una questione di impegno e prezzo.

Se il rischio è elevato, è necessario memorizzare il keystore su un disco scollegato (ad es. pen drive), utilizzare password complesse lunghe e utilizzare una macchina protetta speciale dalla quale connettersi.

    
risposta data 13.07.2014 - 18:46
fonte
4

Se stai parlando del truststore, il rischio non è che qualcuno possa vedere o rubare i certificati nel truststore. Il rischio è che qualcuno aggiunga un certificato nel negozio di cui non vuoi fidarti. Il negozio deve essere protetto in primo luogo protetto dalle autorizzazioni del sistema operativo. La password è una protezione aggiuntiva.

    
risposta data 02.07.2014 - 11:44
fonte
1

Penso che sia importante avere una password complessa quando si mantiene una catena di certificati nel keystore per eseguire un'autenticazione lato client. Alcuni server, ad esempio: i server bancari richiedono l'autenticazione del client per impostare una connessione affidabile: "prova che sei il cliente che penso di essere". Dovrai mettere questi certificati nel keystore in modo che le altre applicazioni non possano afferrarli. Ad esempio, penso a una piattaforma mobile come Android. Ma correggimi se sbaglio.

I certificati pubblici di solito non sono archiviati nei keystore, nella mia esperienza.

Spero sia di aiuto.

    
risposta data 02.07.2014 - 11:22
fonte

Leggi altre domande sui tag

Sicurezza di Microsoft OneDrive Perché non utilizzare lo stesso certificato per il server web TLS e l'accesso al SAML?