Why SSL authorities must not be trusted ?

I have recently read this article:

Trustwave admits issuing man-in-the-middle digital certificate; Mozilla debates punishment

Trustware is one of the Certificate Authorities (CA) which has four certificates included in the Mozilla's trust chain. Mozilla's trust chain is used by most web browsers and most of the software using SSL verification and encryption.

What the article says is that Trustwave has issued an intermediate CA certificate to a third party company. Such certificate could be used for on the fly certificate generation, and thus sniffing SSL traffic. Furthermore Trustwave have called this common industry practice.

For the end user this means that the green bar in the browsers' address bars does not guarantee that they are actually speaking to the website which URL is written there. This also makes the used encryption useless.

147 CA certificates are included in the Mozilla trust chain. This is how they are distributed by country:

 56 C=US,
  7 C=HU,
  6 C=ES,
  6 C=DE,
  5 C=TR,
  5 C=JP,
  5 C=GB,
  4 C=SE,
  4 C=FR,
  4 C=EU,
  4 C=CH,
  3 C=TW,
  3 C=IL,
  3 C=BM,
  2 C=ZA,
  2 C=PL,
  2 C=NO,
  2 C=NL,
  2 C=FI,
  2 C=DK,
  1 C=SK,
  1 C=RO,
  1 C=IE,
  1 C=HK,
  1 C=GR,
  1 C=EE,
  1 C=CO,
  1 C=CN,
  1 C=ch,
  1 C=BE,
  1 C=AT,

Some of them do not have a country specified:

O=Cybertrust, Inc, CN=Cybertrust Global Root
O=Digital Signature Trust Co., CN=DST Root CA X3
O=Entrust.net, OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.), OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Certification Authority (2048)
OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSign
OU=GlobalSign Root CA - R3, O=GlobalSign, CN=GlobalSign
L=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 3 Policy Validation Authority, CN=http://www.valicert.com//emailAddress=info@valicert.com
O=RSA Security Inc, OU=RSA Security 2048 V3
L=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 1 Policy Validation Authority, CN=http://www.valicert.com//emailAddress=info@valicert.com
L=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 2 Policy Validation Authority, CN=http://www.valicert.com//emailAddress=info@valicert.com

If we look at the Organization tag, we will see that these certificates have been issued by 83 different organizations:

 12 O=VeriSign, Inc.
  7 O=GeoTrust Inc.
  4 O=TC TrustCenter GmbH
  4 O=NetLock Halozatbiztonsagi Kft.
  4 O=AffirmTrust
  4 O=AddTrust AB
  3 O=ValiCert, Inc.
  3 O=The USERTRUST Network
  3 O=thawte, Inc.
  3 O=SwissSign AG
  3 O=Starfield Technologies, Inc.
  3 O=QuoVadis Limited
  3 O=Digital Signature Trust Co.
  3 O=DigiCert Inc
  3 O=Comodo CA Limited
  2 O=Thawte Consulting cc
  2 O=Staat der Nederlanden
  2 O=Sonera
  2 O=SecureTrust Corporation
  2 O=SECOM Trust Systems CO.,LTD.
  2 O=Microsec Ltd.
  2 O=GlobalSign
  2 O=Equifax Secure Inc.
  2 O=Entrust.net
  2 O=ComSign
  2 O=COMODO CA Limited
  2 O=Buypass AS-983163327
  2 O=America Online Inc.
  2 O=AC Camerfirma SA CIF A82743287
  2 O=AC Camerfirma S.A.
  1 O=XRamp Security Services Inc
  1 O=WISeKey
  1 O=Wells Fargo WellsSecure
  1 O=Wells Fargo
  1 O=VISA
  1 O=Unizeto Technologies S.A.
  1 O=Unizeto Sp. z o.o.
  1 O=T\xC3\xBCrkiye Bilimsel ve Teknolojik Ara\xC5\x9Ft\xC4\xB1rma Kurumu - T\xC3\x9CB\xC4\xB0TAK
  1 O=T\xC3\x9CRKTRUST Bilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9Fim G\xC3\xBCvenli\xC4\x9Fi Hizmetleri A.\xC5\x9E. (c) Kas\xC4\xB1m 2005
  1 O=The Go Daddy Group, Inc.
  1 O=TDC Internet
  1 O=TDC
  1 O=TAIWAN-CA
  1 O=Swisscom
  1 O=StartCom Ltd.
  1 O=Sociedad Cameral de Certificaci\xC3\xB3n Digital - Certic\xC3\xA1mara S.A.
  1 O=SECOM Trust.net
  1 O=RSA Security Inc
  1 O=PM/SGDN
  1 O=Network Solutions L.L.C.
  1 O=NetLock Kft.
  1 O=Japanese Government
  1 O=Japan Certification Services, Inc.
  1 O=IZENPE S.A.
  1 O=Hongkong Post
  1 O=Hellenic Academic and Research Institutions Cert. Authority
  1 O=GTE Corporation
  1 O=Government Root Certification Authority
  1 O=GoDaddy.com, Inc.
  1 O=GlobalSign nv-sa
  1 O=Generalitat Valenciana
  1 O=Equifax Secure
  1 O=Equifax
  1 O=Entrust, Inc.
  1 O=Elektronik Bilgi Guvenligi A.S.
  1 O=EDICOM
  1 O=EBG Bili\xC5\x9Fim Teknolojileri ve Hizmetleri A.\xC5\x9E.
  1 O=Disig a.s.
  1 O=Digital Signature Trust
  1 O=Dhimyotis
  1 O=Deutsche Telekom AG
  1 O=Deutscher Sparkassen Verlag GmbH
  1 O=Cybertrust, Inc
  1 O=CNNIC
  1 O=Chunghwa Telecom Co., Ltd.
  1 O=certSIGN
  1 O=Certplus
  1 O=Certinomis
  1 O=(c) 2005 T\xC3\x9CRKTRUST Bilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9Fim G\xC3\xBCvenli\xC4\x9Fi Hizmetleri A.\xC5\x9E.
  1 O=Baltimore
  1 O=A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH
  1 O=AS Sertifitseerimiskeskus
  1 O=Agencia Catalana de Certificacio (NIF Q-0801176-I)

By using the Mozilla trust chain we trust all these organizations. All of them have the power to sniff SSL traffic. All of them have the power to delegate the sniffing power to anyone else. This is not news to anyone who was paying attention. What is news, at least to me, is that they have admitted to actually do this bad practice.

All this shows how the most common trust model in the web is broken.

What can be done if we want to use encryption or URL verification ?

One option is to carefully choose the trust chain that we use. However this is not doable on global/Internet scale.

Another option has been provided by Dan Bernstein. He invented and proposed new encryption functions and protocols for the web:

• http://curvecp.org/
• http://dnscurve.org/
• http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=441401395 (CurveCP/DNSCurve description in Bulgarian)

Hopefully it will be widely accepted.

P.S. Here's an example command I've used to get certificate statistics:

cat /usr/share/ca-certificates/mozilla/* | \
  perl -we 'my $F; while(<>) { m/BEGIN / and open($F, "|openssl x509 -text"); print $F $_ }' | \
  egrep 'Subject:' | \
  perl -wne 'my @a = m/(\w+\=.+?)(?=(?:, \w+\=|$))/g; print "$_\n" foreach grep(/^O=/, @a);' | \
  sort | \
  uniq -c | \
  sort -rn

Options:
======================================================= <-- (-) page 1/2 (+) --> =
 Window length for average (s):          300
 Max Incoming deflection (kBit/s):       100000
 Max Outgoing deflection (kBit/s):       100000
 Unit for data numbers:                  Human Readable (Byte)

Device eth0 [85.11.178.49] (1/1):
==================================================================================
Incoming:


...     ... ..|.....      .
####||##############|.. .|#...            ...  . ..|||
###############################|||.....|##############  Curr: 63.80 MBit/s
######################################################  Avg: 57.86 MBit/s
######################################################  Min: 46.76 MBit/s
######################################################  Max: 73.52 MBit/s
######################################################  Ttl: 3.92 GByte
Outgoing:




                                                        Curr: 2.80 MBit/s
                                                        Avg: 2.43 MBit/s
                                                        Min: 1.99 MBit/s
                                                        Max: 2.92 MBit/s
                                                        Ttl: 221.43 MByte

Downloading 2 torrent files. Avg download speed about 60 Mbits.

Internet service provider: TV Net (former Sofia Cable Company).
Paying 33 BGL(about USD 20) monthly for a package - internet + analog TV(80 channels).

***

Не стой на гроба ми потънала в печал,
Аз не съм там.
Аз не съм заспал.
Аз съм лекия свеж ветрец,
аз съм елмазеният снежец.
Аз съм слънчевият лъч в цъфналата ръж,
аз съм и есенният дъжд.
Когато се събуждаш в утрините знойни,
аз съм песента на птичките пойни,
кръжащи в своя полет над полето.
Аз съм и звездите, които греят на небето.
Не стой на гроба ми потънала в печал,
Аз не съм там.
Аз не съм заспал.

--
Неизвестен автор

Ignorantia legis non excusat - Непознаването на закона не е извинение.

Горното е едно от първите неща, които чуват студентите по право. Валидно от римското право .. чак до утре. Като "утре" е денят, следващ този в който четете това. Когато и да го четете.

Всеки ден чуваме по медиите за нови закони и за промени в съществуващите. "Системата" става все по-сложна от ден на ден. Всеки ден обема на текста записан под формата на закон нараства. Законодателят не спи. Той уж не си върши работата, но продалжава да бълва текст в опит да запуши дупки за този и онзи специфичен казус. Бълва текст и под натиска на лобистки интереси. И за всеки, бил той свръх-интелигентен или чобанин е валиден принципа:

Ignorantia legis non excusat - Непознаването на закона не е извинение.

Скромно мога да формулирам следния принцип:

Количеството на текста записан под формата на закони е обратно пропорционално на това колко добре функционира една държава.

Римляните са го казали правилно. Грешката е в сегашната система.

В момента системата иска всички да наизустяват новото издание на държавен вестник и да знаят всички предишни броеве.

Законодатеслството в текущата му форма върви към тотално смачкване на човека. То се променя така че да бъде угодно за сложни машини, които могат да го познават в достатъчни детаили. И които имат ресурс за лобизъм. Големи фирми, корпорации .. такива с куп юристи, счетоводители .. Нормалният човек не може да бъде креативен. Трудно е да създаде фирма, още по трудно е тази фирма да заработи в основни поминъци. Земеделие и селско стопанство например.

П.П.

Така както си пиша, вероятно мога да пиша няколко дни без да спра по темата. Едва ли е толкова необходимо. Всички виждаме недоизказаното всеки ден.

Днес чух за план да вкарат ЗАДЪЛЖИТЕЛНО децата ни в образователната система след 4 годишна възраст. В тази система, в която поставят всички деца под общ знаменател. От 4 годишна възраст.

Тази образователна система е крайно сбъркана. Не бива да допускаме някой друг да решава съдбата на децата ни. Да ги изкарва от семействата и да ги вкарва в система, която им промива мозъците по еднакъв начин.

Решенията накратко:

• В държавата трябва да има написани само минимално количество закони. Трябва да има арбитраж(съд), който трябва да се води предимно от морала. Трябва да има работеща изпълнителна власт.
• Посещаването на детски градини и училища не трябва да бъде задължително. Родителите трябва да определят съдбата на децата си.

П.П.П. Да спомена, че би било добре да видим глобален крах на текущата система в световен мащаб. И да видим алтернативните, които биха произлезли ..

Играем си с едно знаме на килима ..

- Акси, знаеш ли на кого е това знаме ?
- Не, на кого ?!
- На Америка.
- И тя ни е го подарила ли ?!

:-)

Рецепти за торта

2011

През 2011 правихме тортите за рожденните дни на Акси и Ани по следната рецепта:

http://az-jenata.bg/article/10062/Detska-torta-s-konfityur/

Копирам рецептата(с модификации):

Продукти

За блата:

• 5 яйца
• 3/4 ч. ч. олио
• 1 ч. ч. пр. мляко
• 2 ванилии
• 1 бакпулвер
• 3/4 ч. ч. захар
• 1 и 1/2 ч. ч. брашно

За плънката: полуготови кремове за торта

За сиропиране: компот.

Приготвяне:

Разбъркайте в купа 1 яйце, 4 жълтъка и захарта. Добавете олиото и брашното, а след него и бакпулвера. Бъркайки добавете и ванилията. Разбийте белтъците и поставете с леко бъркане в сместа. Поставете всичко в намазана с масло и обрашнена форма за торта и печете около 60 минути на 180 градусова фурна. Извадете и оставете да се охлади.

Ето първата торта:

Заготовката за втората торта:

И в завършен вид:

2012

През 2012 рецептата(с модификации) беше от тук:

http://forum.kulinar.bg/viewtopic.php?f=8&t=2879

Продукти за блата

за един блат:

• 2 яйца
• 1 ч.ч. захар
• 1 ч.ч. + 1 с.л. брашно
• 7 с.л. вода
• 1 равна ч.л. бакпулвер
• ароматизатор по усмотрение (ванилия, настъргана лимонова/портокалова кора, или някаква есенция)

Отделят се белтъците от жълтъците. Белтъците се разбиват на сняг с щипка сол (добавих солта от себе си, в оригиналната рецепта я няма). Жълтъците се разбиват отделно със захарта и водата. Към тях се прибавя брашното, пресято заедно с бакпулвера. Накрая внимателно се прибавят белтъците.

Сместа се изсипва в намаслена и поръсена с брашно форма / тава.

Блатът се пече, докато леко порозовее и клечка, забодена в средата не излезне суха, без полепнало по нея тесто.

Готовият блат е висок 3,5 - 4 см с диаметър 22 см. Ако се пече в микровълнова (5 мин под капак на 750 W и още 4 на 400 W (без капак) става поне 6 - 6,5 см.)

Забележка: едната с.л. брашно може да се замени с 1 с.л. какао или някакви ситносмлени ядки.

За средноголяма торта (с диаметър около 26 см) е достатъчно да се изпекат два такива блата и да се разделят на половинки.

Сиропирането отново беше с сок от компот.

Маслен крем

Правих маслен крем по тази рецепта:

http://recepti.gotvach.bg/r-4384-Маслен_крем

• масло - 200 г
• захар - 1/2 ч.ч. пудра + 1 ч.ч. кристална
• яйца - 4 броя
• ванилия - 1 ч.л. есенция

Разбийте яйцата с кристалната захар и сложете сместа на слаб огън. Разбърквайте, докато получите гъст крем, който пада на ленти. Отнемете крема от котлона и го бийте, докато се охлади.

Отделно разбийте мекото масло с пудрата захар и прибавете постепенно яйчения крем към масления, отново при непрекъснато бъркане. Ароматизирайте крема с ванилова есенция, разсипете в купички или използвайте за сладки, торти и т.н.

Тортите отново бяха две. Едната беше за детската градина с миналогодишната визия:

А втората торта беше пате:

Акси наближава да стане на 4 и все се каня да си запиша какви скилове имаше преди да направи 3.

Та преди да съм забравил:

Малко преди да навърши три се оправяше с YouTube и си пускаше клипчета, които я кефят. Можеше да си пуска програмка за рисуване от десктопа, да си сменя цветовете и инструментите и да си прави сладки детски драсканици :-)

Можеше разбира се да мести, крие и показва всякакви иконки, прозорци, плазмоиди, тоолбарове и др наляво надясно, така че на мама десктопа да се вижда в чудо.

Напоследък не цъка много на компа. Мама и дърпа юздите. Иначе може да прекарва доста време в сайтчета с флаш игрички.

Учим буквите от известно време, и наскоро ми прочете от една синя табела на улицата буква по буква "НОТАРИУС" :-)

Днес имаме време почти като истиснкото :-)

date -d '@1324567890'
Thu Dec 22 17:31:30 EET 2011

date -d '@1234567890'
Sat Feb 14 01:31:30 EET 2009

Специален поздрав за любителите на числата и съвпаденията :-)

Едно от най-тъпите неща в Java-та е, че не поддържа multiline stings !