imap pres ssl

[Pavel Kankovsky]

On Fri, 23 Jan 2004, Kateřina Bubeníčková wrote:

> mame Suse SLES 8, na kterem chci vyzvedavat postu pres ssl bez autentizace
> (tj. abych nemusela na vsechny stanice rozesilat klice)

Rad, jak to resit, tady uz bylo dost. Ja bych jen poznamenal, ze "SSL bez
autentizace" je uzitecne zhruba jako vypnute poplasne zarizeni. Nahodneho
kolemjdouciho mozna odradi, ale proti cilevedomejsimu utocnikovi je to na
dve veci.

Utocnik totiz muze sifrovane spojeni misto prosteho odposlouchavani
aktivne odchytit a predstirat klientovi, ze je server (coz klient nepozna,
kdyz neoveri serverovy certifikat). Klient pak posila data v dobre vire,
ze je bude schopen desifrovat server, ale ve skutecnosti provedl vymenu
sifrovacich klicu s utocnikem, ktery tedy bude moci data desifrovat sam
(a pak, podle toho, o co se utocnik snazi, je treba dal poslat na skutecny
server)

Vytvoreni certifikatu pro nejmene jednu stranu komunikace (mam dojem, ze
SSL/TLS vyzaduje, aby certifikat na strane serveru, ale principialne by
mohl byt treba i jen na strane klienta) a instalace certifikatu pro
odpovidajici certifikacni autoritu na druhou stranu komunikace (*) a
pouceni uzivatelu, ze nemaji bezhlave odsouhlasit spojeni, pokud jsou
varovani, ze nelze overit certifikat protistrany (**), jsou nezbytne
podminky smyspluplneho pouziti SSL/TLS. A nezalezi na tom, jestli je
pouzity stunnel, nebo podpora vestavena primo v nejakem demonovi, nebo
neco uplne jineho.

(*) Pripadne pouziti CA, ktera je tam instalovana a priori, coz je ovsem
nezridka spojeno s neadekvatnimi naklady.

(**) Pripadne nucena instalace softwaru, ktery uzivateli proste neumoznuje
vytvaret neduveryhodna spojeni.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."