• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Если Id файл дискредитирован

S

seoman2

Green Team
17.02.2010
504
1
BIT
45
Какой алгоритм применяют в лотусе, в случае утери id файла?
Человек, который ставит подписи утерял свой id. И получается, что теперь возможно кто-то может подписывать документы с его подписью, если знает пароль на ид.
Как сделать старый id - недоверяемым, и выдать новый сертефицированный id юзеру?

В документе сервера есть опции в Security Settings:
Check passwords on Notes IDs:
Compare public keys:

Но как туда загнать дискредитированные ID?

Если ид заблокирован, то цифр подпись невалидна?

Как сгенерировать юзеру новый открытый ключ? получается фактически новый ид сделать.

есть ещё проверка пароля. рекомендуют ей пользоваться...
 
ToxaRat

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
совсем недавно же было
напишите дескридитировали по английски и сразу найдете статью на ИБМ ;)
 
S

seoman2

Green Team
17.02.2010
504
1
BIT
45
Ещё вопрос, после подписания дока, кроме самой подписи открытый ключ подписавшего храниться в документе? Или при проверке подписи открытый ключ подписавшего ищется не в доке,а в адресной книге сервера?
 
A

Akupaka

seoman2 сказал(а):
при проверке подписи открытый ключ подписавшего ищется не в доке, а в адресной книге сервера
Нажмите, чтобы раскрыть...
Да вроде так, но не только сервера, есть же еще ключи, которые пользователь импортировал себе.
Но в доке его хранить нет смысла, т.к. тогда можно было бы подделать документ, подпись, и ключ для проверки тут же положить. Кому это надо? :)
Могу ошибаться... :)
 
ToxaRat

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
документ подписывает личным ключом, проверяется публичным
публичный ключ может быть как в АК пользователя так и в Ак сервера
 
S

seoman2

Green Team
17.02.2010
504
1
BIT
45
А если пришел документ с ЦП на сервер от стороннего адресата, то возможно же, что открытый ключ адресата не попал на сервер в АК?
Где его тогда брать для проверки подписи?
А для проверки открытого ключа есть сертификаты.

ToxaRat сказал(а):
напишите дескридитировали по английски и сразу найдете статью на ИБМ
Нажмите, чтобы раскрыть...
Можно ссылочку?
 
A

Akupaka

seoman2 сказал(а):
А если пришел документ с ЦП на сервер от стороннего адресата, то возможно же, что открытый ключ адресата не попал на сервер в АК?
Нажмите, чтобы раскрыть...
Akupaka сказал(а):
есть же еще ключи, которые пользователь импортировал себе
Нажмите, чтобы раскрыть...
либо иметь общий внешний центр сертификации и проверки ключей, вероятно.
 
Мыш

Мыш

Lotus Team
12.02.2008
1 219
29
BIT
66
Ссылка скрыта от гостей

Ключи-то можно сменить, но есть подозрение, что при проверке подписи будут использоваться сначала локально сохраненные сертификаты *, а потом уже из общей АК. Т.е., "старый" ключ будет валиден. На самом деле, это надо проверять...

* Точно помню, что была в свое время проблема с шифрованием документов. Т.е., пользователь1 скопировал себе в личную АК документ пользователя2 (естественно, вместе с сертификатом). У последнего меняются ключи. Далее пользователь1 отправляет шифрованное письмо пользователю2, тот не может открыть - т.к. оно зашифровано его "старым" ключом. Ессно, помогало удаление документа из личной АК...
 
Constantin A Chervonenko

Constantin A Chervonenko

Green Team
30.05.2006
1 345
12
BIT
0
Akupaka сказал(а):
Но в доке его хранить нет смысла, т.к. тогда можно было бы подделать документ, подпись, и ключ для проверки тут же положить. Кому это надо? :)
Могу ошибаться... :ya_lamo:
Нажмите, чтобы раскрыть...
Ошибаешься. Именно что все ПУБЛИЧНЫЕ (самого подписанта и всех вышестоящих сертификаторов) ключи к подписи прилагаются.
Кому это надо? Тому юзеру, который проверяет подпись, не имея доступа к АК с публичным ключом. Это бывает при автономной работе и просто в другом домене.
 
A

Akupaka

Constantin A Chervonenko сказал(а):
Ошибаешься. Именно что все ПУБЛИЧНЫЕ ключи к подписи прилагаются
Нажмите, чтобы раскрыть...
Но в таком случае, я могу перехватить документ, подделать содержимое, подписать его нужным (поддельным) закрытым ключем, вложить туда нужный открытый ключ и отправить дальше!
И проверка пройдет успешно!
Константин, если я действительно ошибаюсь, приму ссылку на правильную инфу :ya_lamo:

зы: открытый ключ шлется предварительно, за неимением общего центра сертификации и верификации подписи, и импортируется адресатом в свое приложение.
 
S

seoman2

Green Team
17.02.2010
504
1
BIT
45
Akupaka сказал(а):
Но в таком случае, я могу перехватить документ, подделать содержимое, подписать его нужным (поддельным) закрытым ключем, вложить туда нужный открытый ключ и отправить дальше!
И проверка пройдет успешно!
Нажмите, чтобы раскрыть...
Для этого есть сертификаты.

Так открытый ключ передается в документе или в АК храниться? Или обоими способами передается получателю?
И как можно откр. ключ импортировать в документ?
 
S

seoman2

Green Team
17.02.2010
504
1
BIT
45
Итого, как на сервере занести в черный список недоверяемый ид?
И как создать для существующего юзера новый ид?
 
A

Akupaka

ищи похожее "Revoke Certificate"...
а може просто пересоздать пользователя?
 
S

seoman2

Green Team
17.02.2010
504
1
BIT
45
Можно и так, но как правильно блокировать старый ид???
 
ToxaRat

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
Можно и так, но как правильно блокировать старый ид
Нажмите, чтобы раскрыть...
самое простое решение это включить проверку пароля и заставитьв всех сменить пароль
 
K

Klido

seoman2 сказал(а):
как правильно блокировать старый ид
Нажмите, чтобы раскрыть...
вон там мы обсуждаем тему про FAQ - а это оно и есть :) ссыль #1 в гугле...
Ссылка скрыта от гостей



Добавлено:
ToxaRat сказал(а):
включить проверку пароля и заставить всех сменить пароль
Нажмите, чтобы раскрыть...
включить сверку ключей и сменить ключи - надежнее, т.к. злоумышленник может подобрать на старый id новый пароль
 
Constantin A Chervonenko

Constantin A Chervonenko

Green Team
30.05.2006
1 345
12
BIT
0
Akupaka сказал(а):
Но в таком случае, я могу перехватить документ, подделать содержимое, подписать его нужным (поддельным) закрытым ключем, вложить туда нужный открытый ключ и отправить дальше!
И проверка пройдет успешно!
зы: открытый ключ шлется предварительно, за неимением общего центра сертификации и верификации подписи, и импортируется адресатом в свое приложение.
Нажмите, чтобы раскрыть...
"Фигушки! Я плотоядная!!"(с)
Принципы Лотусёвой аутентификации, изобретённые Рэем Оззи уж лет чуть не 20 как назад, замечательно растолкованы в старой книге Ионцева Н.Н., Некрасова и C[sup]o[/sup] (Интертраст, про 4-ку ещё).
Если ОЧЕНЬ коротко, то:
1.В подписи есть ВСЕ сертификаты (открытые ключи), как самого подписанта, так и его вышестоящих сертификаторов
2.Проверяющий смотрит, есть-ли что-то из этих сертификатов в его собственном ID (не обращаясь к сёрверу!).
3.Предположим, самый старший сертификат у них общий. Тогда проверяющий проверяет эл.подпись на следующем (вниз по дереву) сертификате (сертификат - это публ.ключ, заверенный эл.подписью вышестоящего сертификатора. Публ.ключ его у юзера есть в ID).
4.Если сертификат неподделан, то ключ из него используется для проверки следующего, вниз по дереву имен, сертификата в подписи.
.. и т.д., до последнего юзерского сертификата
5.Теперь у проверяющего есть проверенный публ.ключ подписанта. Ним и проверяется эл.подпись самого документа
Ы?

Гениальная схема! Ничего заранее пересылать не надо (при пересылке м.б. подменен)
По такой-же схеме происходит и взаимная аутентификация юзера с сервером
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ