Главная Security, Новое Вебинары по PKI
  • Вебинары по PKI

    logo Как-то общаясь в онлайн-коммунити по Security — которое по адресу https://securityrussia.groups.live.com/ — и отвечая то ли в трёхсотый, то ли в пятисотый раз на вопрос вида "что секурнее — зашифровать закрытым сертификатом или айпишником?" родилась идея, что просто-таки назревает необходимость неуклонно повышать уровень специалистов в этой замечательной теме. Фирма Microsoft, разово выпустив курс с кодом 2821, посвященный реализации PKI в средах с использованием Windows Server 2003, данную тему особо не жаловала, и на данный момент накопилось достаточно много нововведений (курс-то 2003 года).

    Болезненность ситуации состоит в том, что PKI находится на стыке IT-практики "ремесленного подхода" — "нажать тут, а дальше выбрать или то, или то" и царицы наук, знакомство с которой большинство специалистов в своё время, будучи недавними школьниками, променяли на более динамичное времяпровождение. Я, если что, тоже. Поэтому было решено провести цикл вебинаров, в которых рассказать о том, что не присутствует в должном объёме в сертифицированных курсах, но крайне помогает в решении практических задач. При записи вебинаров не ставилась задача подготовки к экзаменам на какой-то статус, реклама продуктов какого-либо вендора и вообще не ставилось никаких целей, кроме рассказа про PKI.  Записи свободно доступны и публикуются здесь.

    Если хочется участвовать "в живую" — нет ничего проще. В местоположении с названием http://www.facebook.com/atraining. Продолжение следует.

    Руслан Карманов

    rkarmanov@atraining.ru

    • Рубрика: Security,Новое
    • Автор: Ruslan V. Karmanov
    • Дата: Среда 01 Июн 2011

Комментарии

  1. Спасибо, Руслан Владимирович!

    Вы энциклопедист.

    Кстати на сайте его учебного центра-10 (!) вебинаров по PKI+4 по IPv6

    я так понял, полная запись курса MS по PKI нахаляву:)

  2. Это не курс MS, это лучше. Последний курс МС, посвященный PKI — это 2821, который вышел в 2002 году и освещает такие «нужные» темы, как, допустим, миграция хранилища ключей Exchange 2000 на CA в WinServer 2003. И то, даже тот курс приходилось дорабатывать напильником — читая его что в АНХ, что в Специалисте, я брал дополнительный день на вводную часть в плане криптографии.

    Этот цикл вебинаров максимально близок разве что к CISSP'шному курсу (топовой сертификации по ИБ), а так ни у одного вендора, кроме обзорных, данных по PKI не даётся по простой причине — мало кто интересуется.

  3. Вы молодец, и не жадный:)

    Кстати, буду нудным:)

    Вы тут пару лет:) назад развернули цикл статей про AD-и свернули по понятной причине отсутствия свободного времени. Может, продолжить в новом формате:)

    Хотя я понимаю-это наглость, так как курс по AD -несколько БОЛЬШИЙ кусок хлеба для УЦ, да и другие тренеры обидятся:)

    C уважением, Иванов Дмитрий

  4. Цикл статей банально не успеть написать, потому что написание статьи — ощутимо более долгий процесс, чем чтение вебинаров. Вебинары просто — пришёл, наушники одел, рассказал, на вопросы ответил. Час вебинаров по информационной плотности — это цикл статей, на каждую из которых надо убить день — скриншоты, всё такое. Поэтому статьи будут навряд ли — разве что BHV опять пристанет с идеей написать книжку. :). Не хочется ж делать материал вида «15 минут чтения статей из microsoft knowledge base вслух с демонстрацией next-next-next-finish», такого в инете и так тьма. Проблема в том, что Сеть забита статьями на 1 страницу, состоящими из пересказа вендорского howto, в которых вообще никак не объясняется суть применяемых технологий, плюс «типовыми рабочими конфигами которые вроде как примерно то что надо как бы делают». Сейчас бум low-end IT — чувак поставил Windows 7 с флэшки, он сразу пишет про это статью в блоге, и падает в крутое пике самолюбия.

    Про тематику вебинаров мы регулярно проводим опросы — что следующим будет. Там же, на www.facebook.com/atraining . И там же уже обсуждали, что при заявленной глубине материала цикл по AD будет нереально огромен, около сотни вебинаров 100%. Это не имеет смысла, потому что будет «про всё». Поэтому выбираются узкие тематики, которые на приемлемом уровне можно охватить за разумное время. Сейчас, кстати, голосование в процессе, потому что цикл по IPv6 рассчитан на занятий 10-12, что будет после — пока не очень понятно. Так что заходите, влияйте, выбирайте.

  5. спасибо

  6. Я так понял, что все раскусили «хитрую» систему нумерации вебинаров и стали их качать напрямую, меняя цифирь в URL. Поэтому спрашивают про 8й. Вот, отвечаю тут — у всех вебинаров URL'ы вида webinar.atraining.ru/pkiX.wmv , а 8й — из двух частей, поэтому там webinar.atraining.ru/pki8-1.wmv и, соответственно, 8-2. После нумерация опять нормальная, и в IPv6 тоже.

  7. О, а я не додумался про 2 части. Качал с youtube, аж заморился. За начинания О Г Р О М Н Ы Й Р Е С П Е К Т. Будем следить смотреть и верить! СПАСИБО ВСЕЛЕНСКОЕ. 🙂

  8. На ютубе невнятные правила для того, чтобы не резать видео по 15 минут. Раньше надо было просто тип аккаунта выбрать «режиссёрский», сейчас — вообще неочевидно. Поэтому каждый раз затрахиваемся выкладывать вебинар, нарезая его по 14:50.

  9. измененная цитата (ролик 2, с 30:00):

    число генерится на два разряда меньше, например если нужно сгенерировать на 512 бит, то генирится на 510, верхний бит будет точно 1, иначе это число не было бы 512 бит(!), нижний для того чтобы не было четным.

    ну с нижним битом понятно... а с верхним что? не аргумент...

    почему не генерируется на 511 + нижний 1?

  10. Просто если у числа длиной N бит верхний бит будет не единица, оно будет длиной менее N бит. И, соответственно, не будет подпадать под стартовое условие — т.е. если заказывали число длиной N бит, а M верхних бит нулевые, то число меньше в 2^(количество нулей в начале) раз. Поэтому можно сказать, что в любом битовом представлении простого числа длиной N бит будет точно известно два бита — первый и последний.

    ЗЫ. Кстати, знаю софт, который это не проверяет и в половине случаев (К.О.) генерит «плохие» числа.

  11. предыдущий вопрос: я так понял 1 бит просто как дополнение до 512... поскольку 511 некрасиво (в терминологии автора:)). стоило бы это пометить, (если это так) или интересно было бы узнать реальную причину...

    вот еще (1:09:00):

    разве у MS есть хитрости генерации ключей на CA-сервере? (я так понял как средство архивации ключей, Key Archival)

    На самом деле действует тот же самый принцип, что и при обычном запросе:

    1) ключи генерируются на клиенте

    2) клиент шифрует свой закрытый ключ открытым ключом ЦС (не вдаваясь в подробности типов сертификатов и т.д.)

    3) формируется некий запрос, в этом запросе есть вся необходимая инфа: зашифрованный приватный ключ, публичный и т.д.

    4) отправляется запрос на сервер, сервер получает: расшифровывает приватный ключ клиента своим приватным ключом, плюс может проверить валидность клиентской пары закрытый-отрытый...

    5) далее приватный ключ шифруется всякими дэсами, а дэсы (ключ) публичными ключами агентов восстановления...

    6) полученные значения сохраняются в базе CA

    как-то так...

  12. Там тоньше. Там есть и:

    — Возможность генерации ключевой пары сразу на сервере

    — Заранее запасенные «кусочки» ключевой информации для генерации «правильных» ключей

    Но в CA (именно во встроенном в Windows Server CA, тут нужно не путать криптографическую подсистему в целом и данный софт) юзается схема принудительной отправки закрытого ключа пользователя, шифрованного на открытом ключе CA из сертификата CA, сгенеренном по мотивам шаблона CA Exchange.

    Механизм этот не универсален (например, он зависит от типа применения ключа — выберешь «только подпись» и всё), плюс от связи с CA (необязательно она будет на этот момент), плюс от таких смешных вещей как выбор симметричного алгоритма для отправки. Например, есть простой хак — если отключить 3DES на уровне криптоядра ОС (в реестре выпилить ключ один), то ключи у тебя генериться будут, а депонироваться — нет; локальная система их не сможет отправить на сервер. Притом если твои локальные логи пасти не будут, то заметить это практически нереально — штатных отчётов таких нет, а админы так внимательно логи не читают. :). Много тонкостей, в общем.

  13. в общем-то, как существование механизма (или возможность существования) я не отрицаю... но если говорить о конкретной реализации (виндовой), то как происходит этот механизм?

    p.s.: я взял описание из technet (может врут)

  14. "

    Но в CA (именно во встроенном в Windows Server CA, тут нужно не путать криптографическую подсистему в целом и данный софт) юзается схема принудительной отправки закрытого ключа пользователя, шифрованного на открытом ключе CA из сертификата CA, сгенеренном по мотивам шаблона CA Exchange.

    " (ц) выше

    + можно добавить, что используется механизм CMC, а не PKCS в «чистом» варианте. Это можно глазом заметить, если через веб-форму запрашивать сертификат, который выпускается по шаблону с включённым архивированием — он внизу тогда CMC навязчиво предложит, а не PKCS #10.

    Где-то в технете про это точно есть подробно, но у меня хватило сил только на сертификацию по поиску по сайту Cisco, технет оказался сильнее.

  15. В принципе, этот видеокурс можно использовать только для изучения архитектуры реализации CA в Windows, но не как руководство к действию. К сожалению доклады содержат достаточно много технических неточностей, не говоря о том, что в практических примерах совершенно не соблюдаются бест-практисы. Это сильно снижает техническую ценность материалов.

  16. Этим он и отличается от пачки зазубриваемых KB — тем, что даются универсальные, «долгоиграющие» и не привязанные к вендорской реализации знания. А бестпрактисы, как и другие «next-next-finish» навыки, являются, скорее, методом дрессировки, а не обучения. Специалистов, выросших на бестпрактисах, нет — эникейщики разве что. Да и в реально серьёзных проектах бестпрактисов нет — они, бестпрактисы, пишутся после таких проектов и по их результам.

    А по части курса — у нас читается курс по подготовке на CISSP (топовая сертификация по IT-безопасности в мире), там PKI даже послабее, чем в данном курсе. А у Microsoft с обучением (и со спецами) по PKI дело, в общем-то, уныло более чем целиком, к сожалению.

  17. Мы уже обсуждали вопрос смертности 2821А. Это действительно труп и ничего лучше не появится по очевидным причинам, тут спору нет. Т.н. «долгоиграющих» знаний было не так и много, только сама криптография и всё. Остальное уже касалось конкретной вендорской реализации и вот именно там было довольно много неточностей, порой принципиальных. Что касается бест-практисов, то здесь нельзя говорить, что в реальных серьёзных проектах их нет. Они как раз там есть, потому что часть из них универсальна. Например, не устанавливать корневые CA в доменной среде. И этому правилу следуют все (или какминимиум 99% проектов). Это всего лишь пример. С другой стороны были опущены достаточно важные моменты касательно реализации PKI в Windows (ведь речь на протяжении 8 из 10 частей шла именно об этом) и долго акцентировалось внимание на менее важных (поверь, необходимость править схему для работы PKI бывает в 1 случае из много тысяч).

    Я не знаю, как ты сам позиционируешь этот видеокурс, но я считаю, что это больше похоже на драфт, пробный вариант. Нельзя же считать серьёзным курс, который составлялся едва ли не на ходу. Поэтому я считаю, что следует ещё раз пересмотреть курс, пометить все огрехи, переставить акценты важности и записать его по новой, тем более, что фундамент уже есть. А текущий вариант сжечь.

    Я надеюсь ты не будешь отрицать, что заявленный пример Enterprise Root CA — не самый хороший пример для веб-каста. Так же с настройкой CDP/AIA там всё совсем плохо получилось и народ будет постоянно городить себе такие грабли, чтобы набивать шишки. Лучше уж объяснить этот (непростой) вопрос слушателям. Да и про генерирование ключей на сервере лучше не упоминать, потому что это умерло вместе с Exchange 5.5 и Windows 2000.

  18. Вопрос глубже. Он не в том, что конкретный курс помер, а что вендору не нужны спецы по технологиям. Ему нужны спецы по продуктам. Потому что спец по технологии — уже не привязан к вендору, а выкармливать тех, кто сможет здраво мысля эффективно реализовать решение на чьём-то чужом — экономически неправильно. МС — коммерческая организация. Dixi.

    Криптография — это как раз и есть знания. Перевод KB'шек — это не знания, а рефлексы. От этого выводятся гугловеды, которые «всё в принципе могут погуглить и найти». Решение разработать они не могут. Взять на себя ответственность они не могут. Им нужно крепкое плечо вендора и опора на «а вот ведь в Интернете написано, что..., вот вам ссылка, сами убедитесь». Такой подход с гарантией даёт то, над чем уже стебутся достаточно давно.

    На тему best practices — тут у МС есть синдром мёртвой петли, я об этом уже говорил, и не раз. Суть в том, что инженеры учатся по best practices, потом идут в интегратор, и любой ценой подгоняют любой проект под эти best practices, просто чтобы не заморачиваться. Ведь если проект не влезет в best practices — его будет сложно суппортить, вендор обидится, что ему вместо шаблонного проекта на эскалацию выдали то, ради чего надо перетрясать весь подход. Поэтому 10 лет и есть уже «трехуровневый PKI, который рулез, потому что рулез». Новым best practices неоткуда взяться, потому что никто банально не возьмёт на себя ответственность за отход от линии партии.

    На тему того, что лучше объяснить — я тебе могу просто сказать, что тут ты ошибаешься, видимо по причине отсутствия у тебя опыта преподавания. Ты, как и положено достаточно узконаправленному специалисту, предполагаешь, что рассказать «именно вот эту штуку реально надо». А цель этих вебинаров (это не курс, для курса там инфы многовато) — дать фундаментальные и разноплановые знания, и показать, что PKI — это не кольцо статей про «next-next-finish», замкнутое по полукольцу операций «letmegoogle». Эти статьи напишут и без меня. «Вот этих нужных штук» будет в каждом сервиспаке 150 штук, и ты их обязательно найдёшь, тщательно куря технет. Только ценности они иметь не будут, равно как и к знаниям относиться. А выпускник ИКСИ их тоже найдёт, только быстрее тебя на порядки, и они у него лягут элементами целостной картины, а у тебя — элементами списка с зелёными галочками «проработано».

    Тут разный подход — мне интереснее так, тебе — так. Ты исходишь из вендорских best practices, я — из опыта работы техническим директором в «российском Verisign» и допуску к гостайне по криптографии. Я не смогу объяснить тебе на понятном языке, почему не всё, что ты считаешь «умершим», является бесполезным :). Frame Relay, IPX и x.25 тоже вроде как умерли, но те, кто их знают, формируют мир телекоммуникационных технологий, не очень фиксируясь на данном мнении. 🙂

  19. > Криптография — это как раз и есть знания

    не сомневаюсь. Только давай посчитаем сколько здесь знаний, сколько всего остального. 2 части знаний, остального — 8 частей. И это ещё раз про вендоронезависимость.

    С бест-практисами вопрос немного другой. О том, что вы можете сделать используюя конкретную технологию исписано половина технетов. Т.е. у тебя есть технология ABC и с ней можно сделать XYZ. А вот как это сделать — вот тут и начинаются все проблемы. Используя подобный подход нельзя сделать из эникейщика инженера. Настоящий видеокурс эту проблему не решает. Слушатели получают знания о том, что каждая галочка и кнопочка делает, но как их правильно применить — не получают. Отсюда и получаются кривые и неподдерживаемые решения.

    С неподдерживаемыми решениями тоже всё просто. Если заказчику сделаешь решение, которое технически работать будет, но поддерживаться не будет — заказчик тебя по голове не погладит, потому что это сразу удорожает проект. В этом и заключается отличие инженера от эникейщика, что первый может не только сделать проект, но и сделать его так, чтобы он выполнял поставленные задачи и поддерживался вендором.

    > дать фундаментальные и разноплановые знания, и показать, что PKI — это не кольцо статей про «next-next-finish», замкнутое по полукольцу операций «letmegoogle»

    Ок, тогда стоило бы дать больше материала по рфц, а не по кнопочкам и галочкам интерфейса Windows. Вот это будут реальные фундаментальные знания.

    Даже не имея опыта преподавания можно увидеть какие проекты внедряют т.н. «инженеры» и в чём их фундаментальные проблемы. Отчасти это происходит от избытка информации. Им показали, как править схему, они и полезут, даже если в этом нет необходимости. Чем это обычно заканчивается — все прекрасно знают.

  20. Идеальный мир, в котором можно начитать «чистое знание» по RFC и, в данном случае, PKCS, будет тупо:

    1. Не интересен никому, кроме одного-другого десятка человек (реальные цифры)

    2. Крайне сложен для понимания и поэтому забросан какашками по причине «я чёта ничево не понял и кореш мой тоже, а мы айтишники нормальные, следовательно — говно»

    Нужен гибрид — рассказ про фундаментальные технологии с демонстрацией на примере чего-то понятного. Я например не показывал, как CA поднять на цисковском роутере, потому что это не наглядно и не все поймут, а не потому что на роутере нельзя поднять CA. Идеал для меня — это популярные лекции на мехмате МГУ, которые были в 90х годах, когда _очень_ сложные вещи рассказывались так, что ребята из 7-8 классов начинали ими интересоваться.

    Поэтому задача — сделать что-то на стыке «визуально знакомого применения» и фундаментальных задач. И не слайды MOC'овские начитать, и не PKCS вслух. В этом плане задача нетривиальная — она на стыке андрагогики, популяризации фундаментальной науки и прикладных знаний. Её нужно решать, потому что сертифицированные курсы упрощаются и параллельно удорожаются, а в инете тьма контента околонулевого уровня. Коммунити с одной стороны знает, что «всё в принципе можно нагуглить», с другой — мало кто реально умеет заниматься самообразованием так, чтобы за разумное время «раскурить» реальную проблему. Поэтому наглядный контент не-азбучного уровня — то, что надо. Моё имхо, конечно.

    Поэтому я очень разделяю то, что надо бы дать побольше по RFC, но увы и ах — предполагаю, что при росте сложности материала на 10-25% аудитория упадёт на порядок.

    Возможно, это можно «залечить» такой схемой — делать адресные касты по конкретной задаче, базируясь на том, что прослушан «фундамент» из предыдущих. Это надо думать. Не хватает, как всегда, времени...

  21. Мысль, по сути, можно свести к следующему:

    Надо открыть IT-академию наук, где толковые люди будут «пережевывать» сложные технологии и популярно их объяснять. При этом — без внесения личного отношения, без привязки к вендору, без оценочных суждений (это задача IT-обозревателей, которых в стране столько же, сколько диванных футболистов).

    Сделать такое можно, но непонятно, на чьё бабло будет банкет. И, как понятно, такую организацию будут ненавидеть все вендоры разом. Потому что она будет способствовать появлению кросс-платформенных специалистов, которые вендорам не нужны совсем, а рынку, наоборот — очень.

  22. и тебе Руслан (за вебинар) и Вадим (за блог) большое человеческое спасибо за ваши труды. Для меня это было полезно. А в вашей дискуссии я придерживаюсь точки зрения Руслана.

  23. Кстати, поправьте ссылки на вебинар.

  24. Да огромное Вам спасибо за Ваши труды !

  25. Здравствуйте. Ссылки на скачивание вебинара не рабочие, очень хотелось бы посмотреть про PKI от Руслана.

  26. Евгений,

    www.atraining.ru/knowledge-assurance/

    Бесплатные курсы базового уровня

    Тут должны быть.

Опубликовать

Я не робот.