Jump to content
Калькуляторы

GGC и сертификаты гугла

Reply to this topic

s.lobanov   

s.lobanov
Posted

GGC отдаёт трафик по https с серверов, которые находятся у провайдеров, при этом эти сервера имеют приватный ключ для гугл-доменов (скорее всего, получают при запуске, вряд ли хранят на HDD), а значит его можно оттуда вытащить (из памяти). Собственно вопрос в том, как проще всего сдампить память сервера, который физически доступен?

 

Даже google.com отдаётся с GGC, а не только абракадабраasdjasidjoaisjdo.fasfsa.google.com

 

Вот пример с подключения с РТ Поволжье:

# dig @8.8.8.8 google.com +short

178.45.249.212

178.45.249.247

178.45.249.242

178.45.249.217

Share this post

Link to post
Share on other sites

Умник   

Умник
Posted

Ну понятно же, что гугл такую дырищу оставлять не стал бы. У проблемы есть решения, например https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/

Возможно гугл использует у себя что-то похожее.

Share this post

Link to post
Share on other sites

Sergey Gilfanov   

Sergey Gilfanov
Posted

Сервера обычные делы.

Даже в обычных серверах сейчас вполне могут криптопроцессоры стоять.

Скажем, вот.

Есть отдельные ускорители, а есть прямо в чипсет встроенные.

Share this post

Link to post
Share on other sites

orlik   

orlik
Posted

гугл софт для своих серверов выдает в виде образа , интересно что будет если этот образ попытаться установить в виртуалку, получить доступ к памяти виртуальной машины намного проще, если конечно оно подхватит и стянет сертификат

Share this post

Link to post
Share on other sites

zurz   

zurz
Posted

самих приватных ключей там нет. там есть preshared secret для секурного канала до гугла, в который форвардятся всякие TLS challenge-response.

т.е. чисто теоретически если стянуть preshared secret и использовать тот же IP, то можно притвориться GGC и по этому секурному каналу получать легитимные SSL-авторизации. до тех пор пока не спалят и не забанят.

собсно китайцы так уже пробовали, из-за чего у них срач с гуглем был, и его там забанили насовсем.

Share this post

Link to post
Share on other sites

rm_   

rm_
Posted
как проще всего сдампить память сервера, который физически доступен?

Это теперь black hat форум?)

 

есть preshared secret для секурного канала до гугла, в который форвардятся всякие TLS challenge-response.

Неубедительно, если от входного TCP-порта аж до самого гугла всё шифрованное, то какой же это кэш.

Share this post

Link to post
Share on other sites

Sergey Gilfanov   

Sergey Gilfanov
Posted
как проще всего сдампить память сервера, который физически доступен?

Это теперь black hat форум?)

Да ладно. Может, поделится тем, что гугл за такие развлечения делает.

 

А так, один из способов - вставить в сервак Firewire IEEE1394 контроллер. А дальше - читаем, какими замечательными свойствами этот дисковый интерфейс обладает.

Share this post

Link to post
Share on other sites

nuclearcat   

nuclearcat
Posted

Неубедительно, если от входного TCP-порта аж до самого гугла всё шифрованное, то какой же это кэш.

Это увеличивает лишь немного время хендшейка, и потом можно делать session reuse и прочие трюки. Да и самое главное сессия уже будет локально, и контент будет отдаваться с локального кеша, а это самое главное (экономия траффика).

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted

самих приватных ключей там нет. там есть preshared secret для секурного канала до гугла, в который форвардятся всякие TLS challenge-response.

т.е. чисто теоретически если стянуть preshared secret и использовать тот же IP, то можно притвориться GGC и по этому секурному каналу получать легитимные SSL-авторизации. до тех пор пока не спалят и не забанят.

собсно китайцы так уже пробовали, из-за чего у них срач с гуглем был, и его там забанили насовсем.

 

Ну вот собственно этого ответа я и ждал. Топик скорее вообще про SSL когда сервер стоит в недоверенном ДЦ без фичи "физической безопасности"

Share this post

Link to post
Share on other sites

Sergey Gilfanov   

Sergey Gilfanov
Posted

Ну вот собственно этого ответа я и ждал. Топик скорее вообще про SSL когда сервер стоит в недоверенном ДЦ без фичи "физической безопасности"

Ага. А теперь вспоминаем, что физических серверов во многих случаях уже как-то не водится. Одни виртуальные. По этому поводу даже какое-то шуршание происходит, стандарты какие-то принимают, то-се. А что делать владельцу сервиса, который хочет свой ключ защитить - все равно непонятно.

Share this post

Link to post
Share on other sites

vodz   

vodz
Posted

Даже в обычных серверах сейчас вполне могут криптопроцессоры стоять.

Скажем, вот.

Есть отдельные ускорители, а есть прямо в чипсет встроенные.

Ускорители ускоряют, а тут, как я понимаю, разговор о как физически спрятать шифроблокнот.

Share this post

Link to post
Share on other sites

Sergey Gilfanov   

Sergey Gilfanov
Posted

Ускорители ускоряют, а тут, как я понимаю, разговор о как физически спрятать шифроблокнот.

У ускорителя ключ/сертификат внутри самого ускорителя, а не в основной памяти сервера. Причем если его делали не совсем криво - то этот ключ из ускорителя достать нельзя.

Share this post

Link to post
Share on other sites

Ivan_83   

Ivan_83
Posted

У гугля для гцц поди какие нибудь домены вида абракадабра.видео.гугле.ком, где абракадабра это уникальный идент девайса-кешера.

Просерание такого ключа вообще не проблема ни разу.

 

Ну и да, TPM есть нынче много где, стоит копейки.

Share this post

Link to post
Share on other sites

nuclearcat   

nuclearcat
Posted

TPM слишком медленный для таких задач (проверял), HSM должен очень быстро подписывать запросы, это очень дорого выйдет, чтобы было еще и защищенное.

А сертификаты там такого порядка: subject: C=US,ST=California,L=Mountain View,O=Google Inc,CN=*.googlevideo.com и т.п., т.е. весьма "вкусные" для злоумышленников.

Share this post

Link to post
Share on other sites

zhenya`   

zhenya`
Posted

гугл софт для своих серверов выдает в виде образа , интересно что будет если этот образ попытаться установить в виртуалку, получить доступ к памяти виртуальной машины намного проще, если конечно оно подхватит и стянет сертификат

Образ в исп портале это совсем другое... продакшен образ они потом заливают

Share this post

Link to post
Share on other sites

Macil   

Macil
Posted

Сомневаюсь что там есть вообще какие-нибудь секретные ключи.

 

Скорее всего, хэндшейк отрабатывается на доверенном сервере, а инстанс GGC получает сессионный ключ. Т.е. можно смотреть/менять содержимое отдельно взятой TLS сессии, но не более того.

Share this post

Link to post
Share on other sites

zurz   

zurz
Posted

Ну и да, TPM есть нынче много где, стоит копейки.

TPM физически вешается на шину LPC (которая в свою очередь является обрезком от ISA).

Напомнить, какие там скорости и разрядности шин? дабы не оставалось иллюзий по поводу производительности, и собственно, применимости для HighAvailable-применений?

Share this post

Link to post
Share on other sites

Ivan_83   

Ivan_83
Posted
TPM физически вешается на шину LPC (которая в свою очередь является обрезком от ISA). Напомнить, какие там скорости и разрядности шин? дабы не оставалось иллюзий по поводу производительности, и собственно, применимости для HighAvailable-применений?

Я знаю что оно медленное, это не криптоакселератор.

Но может использоваться в более сложной схеме.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing У нага