Narodowe Centrum Certyfikacji udostępniło testowe listy TSL, o których pisałem kilka dni temu.

Oryginalna lista TSL jest dostępna w postaci pliku XML o składni zgodnej z ETSI TS 102 231:

https://www.nccert.pl/tsl/PL_TSL.xml

Drugi plik to ten sam XML sformatowany i pokolorowany "do czytania" w postaci pliku PDF:

https://www.nccert.pl/tsl/PL_TSL.pdf

Do czego można wykorzystać te listy? Przede wszystkim jako zaufane źródło certyfikatów polskiego drzewa kwalifikowanego. Po drugie, jako spójne źródło informacji o tych centrach takich jak OIDy, nazwy oraz informacje o zakresie świadczonych usług kwalifikowanych.

AES, XAdES, Bitlocker - w ostatnim czasie pojawiło się kilka informacji, które nie są na tyle interesujące by poświęcać im cały wpis, jednak warto o nich wspomnieć.

Po pierwsze, opublikowany został nowy atak na szyfr AES - Diagonal fault attack. Nie jest to atak na sam algorytm (jak piszą niektórzy), tylko na jego sprzętowe implementacje. Atak polega na zakłócaniu sygnału zegara podawanego do układu implementującego AES. Dzięki specyficznej konstrukcji tablicy stanu szyfru możliwe jest odtworzenie klucza szyfrującego (co autorzy zademonstrowali w praktyce).

Po drugie, Microsoft zapowiedział obsługę XAdES w Office 2010. Program ma obsługiwać wszystkie typowe profile XAdES oprócz XAdES-A. Obsługa XAdES jest zapewne pierwszym krokiem dla przybliżenia Office do obsługi podpisu kwalifikowanego w Unii Europejskiej.

Po trzecie, zespół z Fraunhofer Institute opublikował interesującą analizę scenariuszy ataku na szyfrowanie dysku mechanizmem Bitlocker. Wbrew temu co pisały niektóre redakcje o "złamaniu Bitlockera" dokument ten nie punktuje żadnych szczególnych dziur w architekturze czy implementacji tego systemu.

Wszystkie rozważane ataki wymagają fizycznego dostępu do komputera i polegają np. na uruchomieniu alternatywnego systemu (z CD lub USB), który udając prompt Bitlockera przechywaci hasło, a następnie odtworzy oryginalny MBR i uruchomi ponownie system.

Konkluzja autorów jest następnująca - sam TPM nie gwarantuje bezpieczeństwa, jeśli atakujący ma swobodny dostęp do komputera i może go w dowolnym momencie modyfikować a następnie ponownie podkładać właścicielowi. Innymi słowy TPM nie zastąpi ochrony fizycznej pomieszczeń, stalowych linek, kontroli dostępu, alarmów i wszystkich pozostałych elementów składających się na bezpieczeństwo informacji.

Po lekturze w/w dokumentu warto jeszcze zapoznać się z zaleceniami i najleszymi praktykami TPM opublikowanymi przez TCG oraz prezentacją Joanny Rutkowskiej z tegorocznej konferencji Confidence 2009.

Zmiany w Narodowym Centrum Certyfikacji - wkrótce zostanie opublikowana lista usług certyfikacyjnych (TSL), a strona centrum będzie dostępna po SSL.

Lista TSL (Trust-service Status List, patrz ETSI TS 102 231) zawiera informacje o podmiotach świadczących usługi związane z PKI oraz zakresie oferowanych przez nie usług.

Listy TSL w Europie są wprowadzane na mocy decyzji KE z 16 października. Lista ma format XML i stanowić będzie uzupełnienie do drzewa certyfikatów kwalifikowanych w formacie X.509. W praktyce lista TSL może zawierać znacznie więcej informacji niż certyfikaty, jest także łatwiejsza do automatycznego i ręcznego przetwarzania. TSL jest publikowana i podpisana przez uprawniony organ (w naszym przypadku Narodowe Centrum Certyfikacji).

W przypadku ogólnym TSL może wręcz zastępować hierarchię X.509 jako metoda wskazania, które urzędy certyfikujące są przez dany organ akredytowane i do jakich zastosowań. Jest to ustandardyzowana forma rozwiązań w stylu "list zaufanych certyfikatów" stosowanych od dawna tam, gdzie nie da się zbudować formalnej hierarchii X.509 ze względu na koszty certyfikacji wzajemnej (cross- certification). Tego typu listy w postaci podpisanego kontenera PKCS#7 stosowane są np. we Włoszech czy w European Bridge CA. Publikowana przez nas lista certyfikatów dla Acrobata też jest specyficzną formą TSL.

NCC przez SSL

Istotną zmianą jest również to, że od dnia dzisiejszego strona Narodowego Centrum Certyfikacji będzie dostępna po protokole SSL (certyfikat SGC wydany przez Thawte).

W dniach 7.12.09 - 21.12.2009 strona będzie dostępna zarówno poprzez http jak i https, natomiast od dnia 22.12.2009 NCC będzie dostępne wyłącznie poprzez https. Wprowadzane zmiany mają związek z przygotowaniami do rozpoczęcia publikowania krajowej listy TSL. Zmiana nie obejmie list ARL , które nadal będą dostępne poprzez http.

Jak można się domyślić, wprowadzona zmiana odzwierciedla również zgłaszane przez różne strony sugestie, że publikowanie certyfikatów root polskich centrów kwalifikowanych na niezaufanej stronie nie ma wielkiego sensu z punktu widzenia zaufania.