Terry Wang (@terrywang)

Sydney, Australia

The below is an off-site archive of all tweets posted by @terrywang ever

March 11th, 2016

Off-The-Record (OTR) Forward Secrecy 的实现方式:每一条消息只用 Diffie-Hellman 密钥交换协议生成的临时 AES 密钥(只用于该条消息)来加密。所以即便 permanent 密钥丢失,过去的对话也不会受到影响。

via Hotot for Chrome

Off-The-Record (OTR) 确切说是一种保护即时通讯消息的加密协议,之所以安全是因为用了128比特密钥的 AES 加密 1536 bits group DH 密钥交换及 SHA-1 消息完整性验证的强大组合。且实现了 Forward Secrecy 多重要大家懂的。

via Hotot for Chrome

Adium 也已更新至 1.5.10.2 包含了打过补丁的 libotr 所以也没问题了,尽快更新。带 OTR 插件的 Pidgin 和 Adium 聊敏感话题,涉及隐私信息,必须用 Pidgin Adium 或 IM+ Pro 启用 OTR 保证即时通讯安全 NSA 最恨,囧

via Hotot for Chrome

Off-The-Record 也出事了 CVE-2016-2851 libotr 4.1.0 及更早的版本存在安全漏洞,攻击者可利用来导致堆缓冲溢出随后在用户机器上执行任意代码。尽快升级 Pidgin 用户尽快升级 libotr 到最新版本,滚动更新发行版此时已经到位 ;-D

via Hotot for Chrome

Fedora 23 上不信任证书的方法类似,有意思的是 N54L 上装的服务器版找不到单个证书文件,只能从其它系统上复制放到 /etc/pki/ca-trust/source/blacklist 后 update-ca-trust 搞定,实测 openssl / curl 有效。

via Hotot for Chrome

@archlinux 上不信任 CNNIC WoSign 根证书的正确方法是把 PEM 格式证书拷贝(不能用创建软链接!)放到 /etc/ca-certificates/trust-source/blacklist 下然后 update-ca-trust 对系统全局生效!

via Hotot for Chrome

继续研究发现 Arch 上 curl 用 /etc/ssl/certs/ca-certificates.crt 也就是 tls-ca-bundle.pem 的软链接,黑名单掉的 CA 证书还在里面!手动编辑 bundle PEM 移除后对 openssl 也有效。

via Hotot for Chrome

用 trust 命令确认不信任的证书已经被黑名单了,用 trust anchor --remove 移除被告知不能移除只读(给已知文件加了写权限也无用),还不是很明白 trust 的用法,扶着墙 RTFM 去了...

via Hotot for Chrome

Arch 的新 CA 证书和信任策略管理,按用途用把证书合并成单个 PEM 文件,比如 TLS CA 证书是 tls-ca-bundle.pem 也就是 ca-certificates.crt 软连接的目标。为向后兼容还提取出单文件在 /etc/ssl/certs 下创建软链接。

via Hotot for Chrome

看 Fedora 23 时发现更奇葩的事,虽然也用上了 update-ca-trust 和 trust 但 /etc/ssl/certs 目录是到 /etc/pki/tls/certs 的软链接,穿梭在不同发行版本间真够分裂的。

via Hotot for Chrome

1. Ubuntu 编辑传统 /etc/ca-certificates.conf 配合 update-ca-certificates 2. OS X 用 Keychain access 不信任那几个证书 之后用 openssl s_client / curl 测试是有效的,醉了。

via Hotot for Chrome

@archlinux 上用昨天提到的方法不信任 CNNIC WoSign 的证书后(看似有用),实际上 openssl s_client -connect / curl 测试无效。前者验证返回结果应该说证书链中有自签的,而后者会直接报无效证书链拒绝连接 Arch 上到底要怎么搞?

via Hotot for Chrome