Все слышали про ransomware — «программы-вымогатели», которые проникают компьютерную сеть компании и шифруют файлы. Затем злоумышленники предлагают купить ключ расшифровки.



Жертвами атак становятся и госучреждения, и коммерческие компании. Например, недавно пострадал военный IT-подрядчик NJVC, который разрабатывает специализированный софт для кибербезопасности. Хотя в том случае вымогатели, вероятно, получили ответную атаку, поскольку очень быстро отказались от претензий.



Однако госучреждения и IT-компании — не главная мишень.
Читать дальше →

https://habr.com/ru/post/694800/?utm_source=habrahabr&utm_medium=rss&utm_campaign=694800

Доступ к данным, хранящимся в документах нового поколения — вопрос актуальный. Для его решения применяются CV-сертификаты, не соответствующие стандарту X.509, но сохраняющие идею иерархичности открытых ключей и адаптированные к технологии смарт-карт. Они вполне заслуженно получили широкое распространение. Познакомится с ними можно в этой статье.

Читать далее

https://habr.com/ru/post/691812/?utm_source=habrahabr&utm_medium=rss&utm_campaign=691812

Общепринятой лучшей практикой считается использование отключенных от сети корневых удостоверяющих центров, a.k.a., offline root CA. Кроме того, не рекомендуется хранить закрытый ключ в файле, потому, что файл легко скопировать незаметно. Топовые HSM, типа Thales, стоят дорого: весь проект, включая пару HSM, установку и обучение сотрудников может встать в сотни тысяч долларов, что запретительно дорого для многих компаний. AWS CloudHSM обойдётся в сумму порядка десяти тысяч долларов в год.

Тут я расскажу, как из скриптов и палок собрать на коленке offline root CA с хранением закрытых ключей на YubiHSM. YubiHSM - это недорогой, стоимостью всего несколько сотен долларов, HSM, выполненный в виде USB модуля.

Поехали

https://habr.com/ru/post/686350/?utm_source=habrahabr&utm_medium=rss&utm_campaign=686350

В прошлой статье упоминалось, что у современных производителей устройств IoT система PKI внедряется непосредственно на заводе. То есть прямо на конвейере. Каждое устройство получает уникальный ID и сертификат, по которому выполняется идентификация и аутентификация этого конкретного девайса на протяжении всего жизненного цикла.



Как это происходит, если вкратце?
Читать дальше →

https://habr.com/ru/post/672970/?utm_source=habrahabr&utm_medium=rss&utm_campaign=672970

По статистике, 91% кибератак начинается с фишинга. Жертва получает письмо с поддельным именем и адресом. Это основная уязвимость, которую хакеры эффективно используют уже сорок лет, с момента изобретения email.



S/MIME (Secure/Multipurpose Internet Mail Extensions) — стандарт для шифрования и подписи электронной почты с помощью открытого ключа. Получил распространение после выхода третьей версии S/MIME в 1999 году (RFC 2633). По идее, он должен защищать от такого рода кибератак.
Читать дальше →

https://habr.com/ru/post/667628/?utm_source=habrahabr&utm_medium=rss&utm_campaign=667628

В начале пандемии ’20 появилась задача - распространить корневой сертификат среди домашних персональных компьютеров, так как большое количество сотрудников стали работать по домам.

Сейчас прилетела задача распространить сертификат Минцифры.

В домене все понятно, добавил сертификат в политики GPO и поехали.

А как быть с локальными (домашними) станциями Windows?

Читать далее

https://habr.com/ru/post/663340/?utm_source=habrahabr&utm_medium=rss&utm_campaign=663340