?

Log in

No account? Create an account
HTTPS и Man-in-the-middle - Sitting on the top of the mushroom.
October 24th, 2013
02:01 am
[User Picture]

[Link]

Previous Entry Share Next Entry
HTTPS и Man-in-the-middle
Про СОРМ-3 и желание наших бдительных стражей знать про нас все не написал только очень ленивый.
И почти все коллеги хором вспомнили про великий и могучий https, который нас всех спасет.
Но меня терзают смутные сомнения.
Предположим завтра наши бдительные придут в Microsoft и прочий Canonical и намекнут, что для сохранения рынка и для соблюдения законов суверенной демократии архиважно добавить в дистрибутивы всех осей корневой сертификат от FSB Unlimited. А для уже установленных копий надо выпустить security update.
После этого, вообще говоря, оборудование на провайдере можно научить перехватывать SSL-трафик и осуществлять простую атаку с генерацией сертификата, который система клиента полагает верным - ведь корневой сертификат ей известен. В результате пользователь может и не узнать о своих проблемах, а весь зашифрованный трафик будет расшифрован и проанализирован на оборудовании у провайдера.
Конечно, процент криптоанархистов в нашей встающей с колен державе еще слишком мал, чтобы подобные проблемы вообще кого-то беспокоили. И, безусловно, бдительных волнует исключительно размеры собственных чуланов с шубами и бриллиантами. Также потенциальному параноику никто не мешает обнаружить кривой сертификат и запретить его использование.
Но меня интересует сугубо технический аспект проблемы.

Current Mood: скептическое
Tags:

(7 comments | Leave a comment)

Comments
 
[User Picture]
From:hcube
Date:October 24th, 2013 05:55 am (UTC)
(Link)
Шифрованный VPN тоннель до сервака где-то в Нидерландах спасет отца русского анархизма ;-)
[User Picture]
From:randir_spb
Date:October 24th, 2013 06:19 am (UTC)
(Link)
Это понятно, но я бы не назвал это решение пригодным для массового использования.
[User Picture]
From:myx_ostankin
Date:October 24th, 2013 09:22 pm (UTC)
(Link)
А решение, пригодное для массового использования, вообще невозможно по определению. Даже I2P, сделанная по принципу "никто не доверяет никому" не является панацеей, поскольку при достаточной настойчивости хвосты можно отследить (хотя и очень проблематично). А с массовостью растет общий уровень раздолбайства, которое, как известно, с безопасностью несовместимо.
[User Picture]
From:cybercat
Date:October 24th, 2013 08:22 am (UTC)
(Link)
Советую добыть где-нибудь в первоисточнике и внимательно перечитать показания Сноудена.

Правда, боюсь, после того, как Россия предоставила ему убежище - фиг кто поделится с FSB Unlimited этим корневым сертификатом )
[User Picture]
From:randir_spb
Date:October 24th, 2013 09:57 am (UTC)
(Link)
Тонкий намек понял. Выходит, только глубокое шифрование и Брюс Шнайер - наш рулевой!
[User Picture]
From:themoriarty
Date:October 25th, 2013 07:40 am (UTC)
(Link)
От MITM да, https не спасает, Шнаер писал об этой проблеме всей системы сертификатов в Practical Cryptography.
Проблема в том, что левый сертификат рано или поздно кто-нибудь заметит. Поэтому Призм, по слухам, MITM не устраивает, а тупо пишет зашифрованный трафик, и проблема сводится к тому, чтобы добыть приватный ключ сайта. Параноики этим объясняют отсутствие наборов шифрования с Forward Secrecy у крупных порталов.
[User Picture]
From:randir_spb
Date:October 25th, 2013 08:50 am (UTC)
(Link)
Прелестно.
Powered by LiveJournal.com