Come posso sapere se i certificati CA nel mio computer non sono stati falsificati?

C'era una volta, puoi controllare i tuoi certificati di base su un libro di carta: link

In questi giorni, prova a controllare il maggior numero possibile di fonti indipendenti, ad esempio installa diversi browser su diversi sistemi operativi su macchine virtuali e verifica se sono in accordo tra loro.

Se sei preoccupato specificamente del tuo datore di lavoro, stampa un elenco delle CA radice sul posto di lavoro e portalo a casa e confrontalo con la tua macchina domestica. (O viceversa, porta una stampa da casa). Se lavori in un posto che non è permesso, sono sorpreso che non ti sia stato appena detto di accettare un nuovo certificato e che sarai comunque monitorato.

Se pensi che la NSA abbia compromesso sia il tuo lavoro che la tua casa, e chiunque ti chieda di masterizzarti un CD-ROM per un'installazione pulita potrebbe anche essere un impianto NSA, hai problemi più grandi. (E se hai ragione a pensarlo, ancora più grandi problemi.)

Modifica: qualcosa che ho dimenticato - blocco dei certificati (bozza standard) . Questo ti avviserà se il certificato utilizzato da es. I link cambiano in modo inaspettato, quindi potresti avvisarti di un attacco MITM. Una spiegazione di come funziona per Google: link

E DANE . Non è davvero qualcosa che puoi fare, ma è qualcosa che può avvisarti di questo tipo di attacco se viene adottato. Vedi anche link

Se qualcuno (qualcuno) ha accesso root / admin alla tua macchina, non è più la tua macchina: sei, nel migliore dei casi, condividendola con loro. Tecnicamente parlando, sono liberi di sostituire tutti (o tutti) i certificati radice con copie esatte che hanno solo una chiave pubblica diversa.

L'unico modo per rilevare la contraffazione consiste nel verificare l'impronta digitale di OGNI certificato radice rispetto a una versione nota nota (forse presa da un altro computer attendibile).

Inoltre, a meno che non si verifichi manualmente l'intera catena di fiducia ogni volta che ci si connette a un sito Web, sarà necessario verificare TUTTO il certificato nell'archivio principale attendibile. Altrimenti, una singola radice può essere utilizzata per firmare certificati intermedi e fogliari che non hanno nulla a che fare con il nome della CA (ad esempio, è possibile utilizzare una radice etichettata come "Microsoft root CA" per firmare un certificato CA intermedio che afferma di essere di Thawte e utilizzare quel cert intermedio per convalidare un certificato del server Web per www.gmail.com).

Una cosa da ricordare è che Google Chrome si aspetta che tutti i siti di proprietà di Google (GMail, YouTube, Google+ e tutti i siti di ricerca) presentino un certificato molto specifico. Non solo uno affidabile, ma quello che Google stesso sa che fornisce con questi siti. Se sei stato MITMed, i certificati non corrisponderanno e Chrome ti avviserà. Questa pratica è chiamata "pinning del certificato", e non è rara (anche se software diversi imposteranno diversi certificati ovviamente). Puoi anche farlo da solo, andando nell'archivio dei certificati e installando un certificato che conosci da GMail, quindi specificando che non accetti altri certificati per il dominio elencato finché non dici diversamente.

Poiché il computer, in questo caso, appartiene al tuo datore di lavoro, è relativamente facile per il tuo datore di lavoro lavorare su di esso; possono semplicemente prendere provvedimenti per imporre un ufficio solo IE. Criteri di gruppo consente inoltre a un controller di dominio di Windows di inviare i certificati desiderati (e di annullare o revocare altri). In breve, se si tratta della rete del tuo datore di lavoro e del computer del tuo datore di lavoro, c'è ben poco che il tuo datore di lavoro non sia autorizzato a fare con esso per quanto riguarda le tue aspettative sulla privacy sul lavoro,

La fiducia deve iniziare da qualche parte. I certificati CA root del sistema sono l'inizio di tale trust. Non c'è modo di convalidarli. Puoi provare a ottenerli da più sedi per assicurarti che provengano dalla società che sostengono di essere, ma alla fine, installarle è una dichiarazione in cui ti fidi di loro per dire chi dovresti fidarti e questo è un atto di fede.

Se un malintenzionato controlla una CA di cui il computer si fida (ad esempio perché è stata installata come CA principale sul computer), allora quell'attaccante non deve fare affidamento su qualcosa di così grezzo come un nome tipograficamente simile; può fare un certificato falso che dice "gmail.com" in tutti i suoi dettagli, e pretende di essere certificato da VeriSign, Food & Drug Administration, e il Papa. Si dice che i certificati di root sono "root" perché sono davvero alla base della vostra fiducia.

potresti provare a ottenere qualche convalida esterna; ad esempio, potresti provare a telefonare al quartier generale di Google, chiedere di parlare con un amministratore di sistema e vedere se è in grado di comunicare a te, per telefono, la "identificazione personale" del certificato. Potresti quindi confrontarlo con ciò che vedi dalla tua parte; questo avrebbe rilevato il gioco scorretto. Tuttavia, questo presuppone che il telefono sia "intrinsecamente sicuro" (un'affermazione alquanto discutibile nel migliore dei casi) e che a Google sia disponibile un sysadmin con abbastanza tempo libero e umorismo per rispondere effettivamente a tale richiesta.

Un problema più fondamentale è che se qualche hacker potrebbe piantare una CA canaglia nel tuo computer, allora ci sono pochi motivi per credere che si sia fermato lì. La manipolazione del negozio di fiducia richiede diritti amministrativi; lo stesso utente malintenzionato potrebbe aver installato un keylogger o altri tipi di malware. Potrebbe anche farlo in seguito perché i normali aggiornamenti del software sono firmati: con la sua CA canaglia, l'autore dell'attacco potrebbe falsificare-firmare alcuni aggiornamenti falsi pieni di codice sgradevole.

Quindi, la solita saggezza è che se si sospetta che la CA radice sia stata manipolata, non si può salvare realmente la macchina se non con un formato completo e la reinstallazione del sistema operativo (e, anche allora, questo pulisce la macchina solo se nessun virus è stato installato nelle parti flashable come il BIOS e il firmware di alcune periferiche).

In ritardo per la festa ... Puoi utilizzare questo strumento per le impronte digitali:

link

Vai lì, digita qualsiasi sito web (URL) a cui sei interessato e confronta l'impronta digitale visualizzata con quella visualizzata sul browser.

Se le impronte digitali non corrispondono, il proxy del tuo datore di lavoro intercetta la tua connessione.

Probabilmente funziona anche quando l'organizzazione che esegue il proxy è di per sé un'autorità di certificazione attendibile o i certificati di origine della macchina sono stati manipolati, perché il certificato, anche se rilasciato con il nome corrispondente del sito web, non avrà la stessa impronta digitale .

Per ovviare a questo, il datore di lavoro dovrebbe manipolare il browser per visualizzare un'impronta digitale diversa da quella effettivamente utilizzata nel certificato in uso, che io considero improbabile. È possibile testare anche questo caso con una macchina con un sistema operativo "pulito" / live sulla rete del datore di lavoro e confrontare i certificati visualizzati.