Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!
Zadejte Vaši e-mailovou adresu:
Kamarád fotí rád?
Přihlas ho k odběru fotomagazínu!
Zadejte e-mailovou adresu kamaráda:
Počítače
Jeden na neděli, jeden na všední den...
7. listopadu 2006, 00.00 | V současnosti se v našem volném seriálu článků, věnovaných bezpečnosti v operačním systému Mac OS X, zabýváme vhodnými a nevhodnými konfiguracemi keychainů. Řešení je jednoduché: vytvoříme si ještě jeden keychain.
V současnosti se v našem volném seriálu článků, věnovaných bezpečnosti v operačním systému Mac OS X, zabýváme vhodnými a nevhodnými konfiguracemi keychainů:
- předminule jsme si ukázali, že standardní konfigurace s jediným keychainem je sice neobyčejně pohodlná, avšak má několik poměrně zásadních nevýhod z hlediska bezpečnosti (i tak je ale na místě zdůraznit, že Mac OS X nabízí i v této "ne-bezpečné" konfiguraci mnohonásobně lepší zabezpečení důvěrných uživatelských dat, nežli jakýkoli jiný operační systém bez doplňkových 3rd party programů);
- v minulém dílu jsme si ukázali, kterak nevýhody standardní konfigurace odstranit.
Přitom jsme však narazili na nevýhodu novou: ochráníme-li keychain heslem odlišným od našeho hesla pro přihlášení k počítači, a vyžádáme-li si jeho časté automatické zamykání (což jsme se obojí naučili minule, a což je v zásadě obojí rozumné), budou nás aplikace, jež keychain používají často – kupříkladu Mail – nutit vkládat heslo každou chvilku. To není dobře, neboť je to důvod užívat hesla nevhodného, a nadto to zvyšuje risiko jeho "odkoukání".
Dva keychainy
Jak již naznačuje titulek článku, řešení je jednoduché: vytvoříme si ještě jeden keychain (přímo z aplikace Keychain Access, příkazem "File / New Keychain..."). Do něj ze standardního keychainu login přeneseme všechna skutečně důvěrná data, do něj uložíme "Secure Notes", v něm budeme mít hesla k účtům, samozřejmě že v něm budeme mít všechny vlastní certifikáty a jim odpovídající privátní klíče, a podobně. Pro tento nový keychain nastavíme velmi kvalitní heslo, a vyžádáme si jeho automatické zamykání po několika málo minutách nečinnosti. Pro původní keychain login naproti tomu nastavíme automatické uzamčení po několika hodinách.
Keychain login si ponecháme na záznamy, jejichž zabezpečení není zvlášť důležité: certifikáty známých a kolegů (zde jde o veřejné certifikáty, jež obsahují pouze veřejnou část klíče – chránit je tedy nemá valný smysl), vstupní hesla pro nevýznamné weby, kde ochrana hesla není vůbec důležitá, a keychain používáme jen kvůli pohodlí, a podobně.
Přemístit do nového keychainu všechny položky, jež nechceme ponechat v původním keychainu login je velmi snadné – v aplikaci Keychain Access to lze provést jednoduchým tažením myší:
Po vhození položek do cílového keychainu si aplikace vyžádá vložení odpovídajících hesel, a záznamy přemístí.
Standardní keychain
Samozřejmě, že kdykoli nějaká aplikace chce uložit nějaké údaje do keychainu, musí mít k dispozici způsob, jak vybrat, který z keychainů zvolit.
V Mac OS X je to velmi prosté: jeden z keychainů je vždy označen jako standardní ("default"); právě do něj se všechny údaje ukládají. "Default" keychain opět nastavíme v aplikaci Keychain Access: požadovaný keychain označíme, a zvolíme příkaz "File / Make Keychain XXX Default".
To, který keychain zvolit jako standardní, závisí především na způsobu práce. Pro většinu lidí bude zřejmě výhodnější ponechat jako "default" náš méně bezpečný a "nezamykaný" keychain login, vytvořený při instalaci; to proto, že aplikace Mail či Safari každou chvíli ukládají do standardního keychainu nepříliš důležité údaje, jež pak často opět hledají. Při tomto přístupu tedy pouze po uložení něčeho důležitého – např. po vložení hesla pro důvěrné stránky v Safari – je třeba spustit Keychain Access a novou položku přenést do "bezpečnějšího" nového keychainu.
Ještě více keychainů...
Čím více máme v počítači důvěrných údajů, čím více dat máme uložených na šifrovaných diskových image, tím více keychainů můžeme použít.
V podstatě bude vždy platit, že jeden z keychainů bude zabezpečen poněkud hůře, speciálně, bude zůstávat víceméně stále odemčený (rozhodně se však vyplatí i tento keychain uzamykat ve chvíli, kdy počítač uspíme, a také po několika hodinách nečinnosti) – typicky, ale ne nutně, to bude keychain login a obvykle bude zároveň keychainem standardním.
Všechny ostatní keychainy budou bezpečné zhruba stejně, a budeme je zamykat nanejvýš po několika minutách. Proč tedy rozkládat údaje na více míst? Inu, proto, abychom se lépe chránili proti případnému kompromitování důvěrných dat v případě, že se někomu podaří uhádnout (či odpozorovat) naše heslo: máme-li všechny důvěrné údaje v jediném keychainu jehož heslo se někomu nějak podaří zjistit, jsou kompletně všechna naše tajemství tak veřejná, jako kdybychom o nich mluvili v České Republice do telefonu. Naproti tomu, čím více keychainů užíváme, tím menší množství údajů bude kompromitováno v případě, že se někomu podaří jedno z našich hesel nějak získat...
Speciální keychain pro jediné heslo
Na první pohled to vypadá jako nesmysl; v některých případech se však může hodit dokonce i speciální keychain pro jedno jediné heslo.
Je tomu tak v případě, kdy se jedná o heslo, zajišťující přístup do nějakého vysoce důvěrného a velmi důležitého prostoru (ponechme stranou to, že taková hesla by měla být důsledně jednorázová – to je sice hezké, avšak nemusí být v naší moci to zajistit). V takovémto případě, kdy systém jednorázových hesel není k dispozici, je alespoň žádoucí
- užívat hesel extrémně neodhadnutelných (tedy velmi dlouhých, zcela náhodně generovaných, a obsahujících interpuknční znaky stejně jako číslice a malá i velká písmena);
- hesla poměrně často měnit.
Problém ovšem je, že v takovém případě obvykle není v naší moci si heslo zapamatovat – dobrá paměť a pomocné heuristiky zajisté pomohou, avšak patrně žádná heuristika neumožní spolehlivě si pamatovat hesla typu "b*&lk]^#}q`-lUY...\]p#@59/*%^~k'k", obzvláště mění-li se každým týdnem.
Keychain zde pomůže: heslo výše uvedeného typu uložíme do něj, a v něm je také můžeme kdykoli snadno změnit (užíváme-li hesla kupříkladu v Safari pro přístup na chráněné stránky, postará se o přístup do keychainu sama aplikace). Nám pak stačí si pamatovat neměnné heslo keychainu: je samozřejmě důležité, aby šlo o heslo dobré, dlouhé, a neuhádnutelné, ale přec jen není třeba takové "šílenosti", jako hesla výše uvedeného.
Celková bezpečnost pak je mnohem vyšší, než kdybychom "snazšího" a neměnného hesla používali přímo pro přístup k veřejné službě, díky tomu, že keychain je uložen lokálně na našem počítači, a těžko se k němu někdo dostane, aniž bychom o tom věděli.
Obsah seriálu (více o seriálu):
- Je to bezpečné?
- Základy zabezpečení Mac OS X
- Identifikace a autorizace
- Jak je to s administrátory
- Šifrování
- Co jsou to ty šifry?
- Černý vzadu, podpisy, a vůbec...
- Certifikáty
- Kde vzít certifikát?
- Certifikát Thawte
- Keychain
- Keychain Access
- Kolik keychainů máš, tolikrát jsi paranoikem
- Lepší konfigurace keychainů
- Jeden na neděli, jeden na všední den...
- WEP or weep
- AirPort a nastavení bezdrátové sítě
- WEP and weep...
- Externí router
- Slušný člověk nešifruje!
- Je ve vězení bezpečno