Pull to refresh
7
0
Send message

Читаем контейнер закрытого ключа КриптоПро средствами OpenSSL

Reading time 8 min
Views 83K
Речь пойдет о файлах primary.key, masks.key и header.key, которые лежат в директории ххххх.000 на флешке. Данные файлы входят в состав криптоконтейнера закрытого ключа электронной подписи криптопровайдера КриптоПро, формат которого нигде не опубликован. Целью данной статьи является чтение контейнера и преобразование закрытого ключа в формат, который может быть прочитан в библиотеке OpenSSL. Долгое время было распространено ошибочное суждение, что достаточно сделать нечто вида (primary_key XOR masks_key) и мы получим закрытый ключ в чистом (raw) виде, однако забегая вперед, можно утверждать, что в КриптоПро было применено более сложное преобразование, в худшем случае состоящее из более чем 2000 (двух тысяч) операций хеширования.

Стоит упомянуть о существовании утилиты P12FromGostCSP которая позволяет конвертировать ключ в формат P12, доступный для работы с OpenSSL, но утилита имеет следующие существенные недостатки:
  • Читает контейнер не напрямую, а через криптопровайдер, поэтому там, где кроме OpenSSL ничего нет, не работает.
  • Если в свойствах ключа не отмечено, что ключ «экспортируемый», то конвертировать его невозможно.
  • В демо версии не формирует файл с ключом, эта возможность присутствует только в платной версии.

Файл primary.key


Содержит 32 байта ключа в формате Asn1. Это только половина ключа, полный ключ получается при делении этого числа по модулю Q на маску. Поле, хранящее модуль Q в библиотеке OpenSSL имеет название order. Маска лежит в файле masks.key:

primary.key
Читать дальше →
Total votes 58: ↑56 and ↓2 +54
Comments 44

Изменения в УК, которые могут коснуться многих

Reading time 2 min
Views 537
8 декабря с.г. Российская газета опубликовала многостраничный федеральный закон «О внесении изменений в Уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации» (№ 420-ФЗ от 7 декабря 2011 года).
Наверно, как раз в его объеме потерялись и не получили достаточного резонанса значительные изменения в статью 273 УК, новая редакция которой теперь звучит следующим образом:
Читать дальше →
Total votes 81: ↑73 and ↓8 +65
Comments 147

Майндмэпы в учебе

Reading time 2 min
Views 2.5K
Диаграммы связей

Я думаю, большинство хабралюдей должно быть знакомо с такой вещью, как майндмэпы, они же карты разума, они же диаграммы связей. Для тех, кто не в курсе, поясню: майндмэп — это иерархическая диаграмма, отображающая множество взаимосвязанных мыслей.


У диаграмм связей существует много возможных применений. Например, с их помощью можно разрабатывать базы данных и абстрактные структуры классов, проводить мозговой штурм или планировать личные расходы. Расскажу, как я применяю их в учебе.
Читать дальше →
Total votes 81: ↑74 and ↓7 +67
Comments 57

Битва с «сумрачным гением» или Microsoft-HTTPAPI/2.0 наносит первый удар

Reading time 4 min
Views 28K
Как-то раз, вернувшись из отпуска, вдоволь натунеядствовавшись, решил я сваять что-то божественное на PHP. Открыл свой любимый Denwer и поразился неожиданной перемене: Apache напрочь отказался слушать 80-й порт, а значит, мои благородные намерения на этот вечер оказались под угрозой срыва. Ситуация, в общем-то, довольно банальная — сразу же в голове сработал заветный триггер: Skype! Однако к моему удивлению, Skype тут же объявил о своей непричастности к данному инциденту отсутствием галочки напротив соответствующей настройки. Чтобы окончательно проверить алиби зарубежного видеотелефона я решил посмотреть, кто же все-таки в данный момент слушает 80-й порт.
Читать дальше →
Total votes 114: ↑93 and ↓21 +72
Comments 124

Программа и материалы курса «Multicore programming in Java»

Reading time 5 min
Views 34K
Добрый день.
Меня зовут Головач Иван, я буду уже второй раз вести спецкурс-вебинар «Multicore programming in Java». В этой статье предлагаю на рассмотрение программу курса и наиболее полезные ссылки по вопросам многопоточности в Java.

Также я веду курс «Scala for Java Developers» на платформе для онлайн-образования udemy.com (аналог Coursera/EdX).

Кратко о курсе: стартует 1 сентября, ведется в режиме вебинаров дважды в неделю (понедельник + четверг) в 19.00-22.00 (по московскому времени), состоит из 16 лекций по 2.5 часа (=40 лекционных часов), рассчитан на Java Middle.

1. Модуль #1: Между hardware и New JMM
1.1 Программа модуля
1.2 Литература к модулю
2. Модуль #2: java.util.concurrent
2.1 Программа модуля
2.2 Литература к модулю
3. Модуль #3: Fork/Join Framework + Parallel Streams
3.1 Программа модуля
3.2 Литература к модулю
4. Модуль #4: “Неклассические архитектуры”
4.1 Программа модуля
4.2 Литература к модулю
Читать дальше →
Total votes 39: ↑28 and ↓11 +17
Comments 1

HTML Academy, Хабр и краудфандинг

Reading time 3 min
Views 89K
HTML Academy — это интерактивные онлайн-курсы по HTML и CSS. Проект существует уже более года, за который мы создали более 15 курсов, большая часть из которых бесплатна. Всё это время работа велась на чистом энтузиазме, однако, сейчас уже нужно выходить на новый уровень, чтобы делать курсы чаще, круче и полезнее. Для этого есть много путей, и один из них — народное финансирование.

Немного об HTML Academy


Всё обучение в академии происходит в практическом режиме. По сути, оно сводится к прохождению огромного количества практических заданий. Практическое задание выглядит вот так:

Практическое задание
Читать дальше →
Total votes 130: ↑118 and ↓12 +106
Comments 75

Взаимодействие php-soap на linux с авторизацией по сертификатам с использованием алгоритмов ГОСТ

Reading time 8 min
Views 23K
С криптографией я сталкивался ранее, приходилось разворачивать удостоверяющий центр на КриптоПро в свое время, так что общие представления о том что такое закрытые и открытые ключи и сертификаты у меня имелось, но вот о том как все это работает в Linux представления особого не было.
Встала задача обеспечить взаимодействие со службами РосМинздрава, а именно — с федеральным регистром медработников по протоколу SOAP. Со стороны клиента система на CentOS и работающими службами на PHP, со стороны сервера — SOAP-сервис с авторизацией по сертификатам с использованием ГОСТ алгоритмов. В наличии была флешка с закрытым ключом, сформированным удостоверяющим центром РосМинздрава и сертификат этого ключа.
После анализа ситуации по использованию ГОСТ алгоритмов шифрования в мире Linux выяснено что за последние годы здесь есть хорошее движение вперед, но все таки не совсем все хорошо. Итак, для того чтобы заставить расширение php-soap прозрачно понимать алгоритмы ГОСТ, а также использовать сертификаты и ключи выданные РосМинздравом нужно сделать следующее:

1. Обновить в дистрибутиве библиотеку OpenSSL до версии не ниже 1.0.1с и настроить поддержку ГОСТ.
2. Преобразовать выданный ключ и сертификат в формат, понятный OpenSSL. Проверить работу OpenSSL.
3. Подправить расширение OpenSSL в PHP и перекомпилировать сам PHP. Протестировать работу SOAP на PHP.

Итак, приступим.
Читать дальше →
Total votes 28: ↑27 and ↓1 +26
Comments 8

Конференция RSA 2013

Reading time 1 min
Views 3.5K

На недавней конференции RSA выступили отцы-основатели современной криптографии с открытыми ключами — Уитфилд Диффи, Рональд Ривест, Ади Шамир, а также наш любимый (для тех, кто учится на Coursera) профессор Ден Боне. Участники делятся своими взглядами на современное состояние компьютерной безопасности, обсуждают недавно опубликованные факты массовых хакерских атак на американские компании и рассказывают о своих текущих исследованиях.
Total votes 13: ↑12 and ↓1 +11
Comments 0

SSRF DoS Relaying

Reading time 8 min
Views 14K
За 2012 год SSRF-атаки превратились из чего-то экзотического во вполне реальную угрозу. Работы Александра Полякова, Владимира Воронцова и других исследователей в этой области составили практически полную картину различных механизмов проведения таких атак и возможных последствий. Тем не менее, поскольку разработка этой тематики началась сравнительно недавно, поле для исследований еще остается.

В этой статье будет рассмотрена небольшая особенность протокола FTP, благодаря которой уязвимость, позволяющую провести SSRF-атаку, можно использовать не только для получения информации или развития вектора атаки, но и для релеинга атак типа DoS как на внешние, так и на внутренние системы (в том числе и на систему с уязвимостью, позволяющей DoS-атаку).

Читать дальше →
Total votes 31: ↑31 and ↓0 +31
Comments 12

Lenovo P770 — «долгоиграющий» смартфон с аккумулятором на 3500мАч

Reading time 6 min
Views 344K
image
Выпуская новые смартфоны производители очень часто забывают о самом главном — хорошем аккумуляторе. Да, 4 ядра, большой экран, ультратонкий дизайн — это хорошо. Но не доживать до вечера на одном заряде? Это слишком!
Есть ли на данный момент хороший компромисс? Чтобы и производительность хорошая, и экран, и аккумулятор. И при этом телефон не выглядел кирпичом?
Да, есть!
Компания Lenovo выпустила свой новый смартфон под названием — Lenovo P770. Два ядра, хороший экран, 2 сим-карты, аккумулятор на 3500мАч. А цена…
Интересно? Тогда читаем далее!
Читать дальше →
Total votes 118: ↑94 and ↓24 +70
Comments 144

Интеллектуальная собственность в области ПО. Ответы эксперта

Reading time 9 min
Views 31K

Мы продолжаем рубрику «задаем вопросы экспертам Intel». В предыдущем посте мы озвучили тему диалога — «интеллектуальная собственность в области ПО» и представили нашего эксперта — старшего инженера исследователя Intel, специалиста по вопросам интеллектуальной собственности, патентного и авторского права в области программного обеспечения Станислава Братанова. В комментариях и личных сообщениях было получено достаточное количество ваших вопросов, теперь время публиковать ответы на них. Вопросы, заданные публично, для удобства поиска снабжены ником автора.
Читать дальше →
Total votes 41: ↑37 and ↓4 +33
Comments 3

Сборник полезных ссылок для системного администратора

Reading time 2 min
Views 188K
Думаю у каждого грамотного системного администратора есть коллекция ссылок на полезные в работе ресурсы. Я имею в виду различные сайты и блоги, на которых выкладываются полезные с точки зрения системного администратора посты.
Предлагаю ими поделиться в формате ссылка — описание.
Пример: habrahabr.ru — разнообразные статьи и новости на IT и около-IT тематику.

Если Вы считаете ссылку полезной — ставьте плюсы нужному сообщению и я добавлю эту ссылку в свой пост (но и без плюсов тоже буду добавлять, просто медленнее т.к придется каждую ссылку изучать самостоятельно).
В результате (если поучаствует достаточно человек) мы получим неплохую подборку ссылок, которую я возможно разобью на категории.

P.S. Хабр, опеннет и лор можно не упоминать. Можно выкладывать ссылки на конкретные статьи, если считаете их очень полезными.

Начну с себя (т.к я администрирую linux, то и ссылки у меня в основном соответствующие):
Читать дальше →
Total votes 105: ↑88 and ↓17 +71
Comments 68

NIST SP 800: библиотека по информационной безопасности

Reading time 5 min
Views 63K
NIST Хочу познакомить хабрапользователей, касающихся прямо или косвенно вопросов защиты информации, с практически не упоминавшимся на Хабре замечательным методическим ресурсом: “NIST Special Publications 800 Series”.

NIST – National Institute of Standards and Technology – американский национальный институт стандартизации, аналог отечественного ГосСтандарта. В его составе функционирует компетентный и имеющий серьезный вес в США центр по компьютерной безопасности – CSRC, объединяющий специалистов федеральных служб, университетов, крупнейших ИТ-компаний США. Центр публикует с начала 1990-х годов Стандарты (FIPS) и более детальные разъяснения/рекомендации (Special Publications) в области информационной безопасности. Рекомендациям (Special Publications), созданным CSRC, присваивается код 800. О них я и предлагаю поговорить подробнее.
Читать дальше →
Total votes 35: ↑34 and ↓1 +33
Comments 17

Частые ошибки программирования на Bash (продолжение)

Reading time 6 min
Views 38K
Продолжаю знакомить сообщество с переводом Bash Pitfalls.
Часть первая.
Первоначальная публикация перевода.

11. cat file | sed s/foo/bar/ > file


Нельзя читать из файла и писать в него в одном и том же конвейере. В зависимости от того, как построен конвейер, файл может обнулиться (или оказаться усечённым до размера, равному объёму буфера, выделяемого операционной системой для конвейера), или неограниченно увеличиваться до тех пор, пока он не займёт всё доступное пространство на диске, или не достигнет ограничения на размер файла, заданного операционной системой или квотой, и т.д.
Что же делать?
Total votes 74: ↑70 and ↓4 +66
Comments 19

Частые ошибки программирования на Bash

Reading time 9 min
Views 94K
Качество скриптов, используемых для автоматизации и оптимизации работы системы, является залогом ее стабильности и долголетия, а также сохраняет время и нервы администратора этой системы. Несмотря на кажущуюся примитивность bash как языка программирования, он полон подводных камней и хитрых течений, способных значительно подпортить настроение как разработчику, так и администратору.

Большинство имеющихся руководств посвящено тому, как надо писать. Я же расскажу о том, как писать НЕ надо :-)

Данный текст является вольным переводом вики-страницы «Bash pitfalls» по состоянию на 13 декабря 2008 года. В силу викиобразности исходника, этот перевод может отличаться от оригинала. Поскольку объем текста слишком велик для публикации целиком, он будет публиковаться частями.

Поехали!
Total votes 79: ↑76 and ↓3 +73
Comments 25

Комбинированная балансировка нагрузки интернет-каналов

Reading time 3 min
Views 42K

Предистория



Рано или поздно системный администратор сталкивается с необходимостью распределить трафик по нескольким каналам, при этом естественно желание чтобы каждый канал использовался по максимуму. Столкнувшись с подобной необходимостью, и решив не изобретать велосипед, обратился к помощи поисковиков. Так как сервер у меня на Ubuntu, то обратил свое внимание на статью http://help.ubuntu.ru/wiki/ip_balancing. Реализовал «Способ 1», но при тесте были замечены следующие критичные проблемы: при использовании ссылок на некоторых сайтах они не открывались (например при попытке включить музыку на ресурсе «ВКонтакте»). Причина очевидна — запрос шел через другой канал. Обдумав ситуацию, решил скомбинировать подход к балансировке. Логика проста — больше всего съедает трафика торренты и им подобные программы, поэтому разделяем трафик. В итоге трафик с портами до 11000 распределяем приблизительно равномерно по количеству абонентов — подсетями, трафиком с портами 11000-60000 выравниваем загрузку каналов.
Читать дальше →
Total votes 62: ↑56 and ↓6 +50
Comments 24

Как отбить DDoS-атаку и обезопасить сеть от аномалий своими силами? – 14 мая на семинаре

Reading time 3 min
Views 17K
Приглашаем всех желающих на семинар-тренинг «DDoS-атаки и защита от них». Участники получат набор эффективных контрмер от социального DDoS (в том числе от различных вариаций LOIC) + список основных причин сетевых аномалий.

Семинар-тренинг «DDoS-атаки и защита от них» пройдет 14 мая 2012 года в Экспоцентре на Красной Пресне в павильоне № 7 в рамках выставки «Связь-Экспокомм-2012» в интерактивной части Третьего российского форума по управлению интернетом RIGF-2012. Форум проводится «Координационным центром национального домена сети Интернет» при поддержке Министерства связи и массовых коммуникаций РФ. Проблематика форума в этом году – информационная безопасность сети. Регистрацию можно пройти на сайте rigf.ru/reg/reg.php до 10 мая включительно.

Читать дальше →
Total votes 28: ↑20 and ↓8 +12
Comments 8

Учимся писать модуль ядра (Netfilter) или Прозрачный прокси для HTTPS

Reading time 19 min
Views 33K
Эта статья нацелена на читателей, которые начинают или только хотят начать заниматься программированием модулей ядра Linux и сетевых приложений. А также может помочь разобраться с прозрачным проксированием HTTPS трафика.

Небольшое оглавление, чтобы Вы могли оценить, стоит ли читать дальше:
  1. Как работает прокси сервер. Постановка задачи.
  2. Клиент – серверное приложение с использованием неблокирующих сокетов.
  3. Написание модуля ядра с использованием библиотеки Netfilter.
  4. Взаимодействие с модулем ядра из пользовательского пространства (Netlink)

P.S. Для тех, кому только хочется посмотреть на прозрачный прокси-сервер для HTTP и HTTPS, достаточно настроить прозрачный прокси-сервер для HTTP, например, Squid с transparent портом 3128, и скачать архив с исходниками Shifter. Скомпилировать (make) и, после удачной компиляции, выполнить ./Start с правами root. При необходимости можно поправить настройки в shifter.h до компиляции.
Читать дальше →
Total votes 56: ↑55 and ↓1 +54
Comments 20

Отказ мастера в PostgreSQL-кластере: как быть?

Reading time 3 min
Views 8.8K
Приветствую. Сегодня я хотел бы поговорить о такой неприятной ситуации, как отказ мастера в случае применения нативной репликации в PostgreSQL 9.x. Итак, предположим, что у вас есть кластер из двух и более PostgreSQL-серверов и на мастер внезапно упал метеорит. Логично предположить, что вам придётся сделать мастером одну из реплик. Сделать это можно двумя способами.
Читать дальше →
Total votes 28: ↑25 and ↓3 +22
Comments 9

Проброс видеокарты в виртуальную машину

Reading time 6 min
Views 180K
Говорят, что современные аппаратные технологии поддержки виртуализации (VT-d у Intel, IOMMU у AMD) позволяют отдавать физическое устройство на шине PCI в непосредственное управление виртуальной машине. В том числе видеокарту.
Воображение рисует такую конфигурацию: настольный сервер с гипервизором, на нем запускается гостевая пользовательская операционная система, имеющая доступ к необходимым устройствам ввода-вывода, один-два неприхотливых сервера по мере надобности, ну и сколько надо виртуалок для бесчеловечных экспериментов. Управляем гипервизором через консоль в гостевой ОС либо удаленно, с ноутбука, скажем.
Вдохновленный этой картиной, я решил попробовать, но оказалось, что проброс (passthrough) видеоадаптера — задача не совсем тривиальная. Только месяца через три боданий с железом и чтения форумов удалось получить положительный результат. В качестве гипервизора пробовал VMware и Xen. Получилось только с Xen.
Читать дальше →
Total votes 65: ↑62 and ↓3 +59
Comments 71
1

Information

Rating
Does not participate
Registered
Activity