Сертифицированная ложь: обнаружение атак перехвата SSL, осуществляемых властями, и защита от них
Авторы разрешают использование данной статьи в соответствии с лицензией США: Creative Commons Attribution 3.0. Оба автора написали данную статью на основе своих персональных возможностей как научных исследователей. Все заявления, мнения и возможные ошибки принадлежат лично им и не отражают официальной позиции их работодателей.
Кристофер Согоян[link1] и Сид Стэмм[link2] © 2010.
Перевод © 2010 unknown[link3]
"Криптографию обычно обходят, а не атакуют в лоб"
— Ади Шамир [1]
"Только потому что вы используете шифрование, это не даёт вам талисман против преследующей стороны. Они могут заставить сотрудничать сервис-провайдера"
— Фил Циммерман [2]
Аннотация
Данная работа показывает новую атаку, атаку создания сертификатов по принуждению, в которой правительственные агентства принуждают удостоверяюшие центры (центры выдачи сертификатов) к выпуску фальшивых SSL-сертификатов, которые затем используются разведывательными агентствами для скрытного перехвата и перенаправления личных защищённых коммуникаций, основанных на Web-технологиях. Мы нашли тревожные улики, показывающие, что эта атака активно используется. В конце мы представим легкое приложение к браузеру, способное обнаруживать эти атаки и противодействовать им.
Содержание
1. Введение[link4]
2. Удостоверяющие центры и поставщики браузеров[link5]
3. Большой Брат в браузере[link6]
4. Сотрудничество по принуждению[link7]
5. Свидетельства[link8]
6. Некоторые УЦ уже участвовали в слежке[link9]
7. Защита пользователей[link10]
8. Анализ[link11]
9. Схожие работы[link12]
10. Выводы и будущие исследования[link13]
11. Благодарности[link14]
Ссылки на использованные материалы[link15]
Дальше...[link4]
[link2] http://sidstamm.com/
[link3] http://www.pgpru.com/proekt/poljzovateli?profile=unknown
[link4] http://www.pgpru.com/biblioteka/statji/certifiedlies/introduction
[link5] http://www.pgpru.com/biblioteka/statji/certifiedlies/certificateauthoritiesandthebrowservendors
[link6] http://www.pgpru.com/biblioteka/statji/certifiedlies/bigbrotherinthebrowser
[link7] http://www.pgpru.com/biblioteka/statji/certifiedlies/compelledassitance
[link8] http://www.pgpru.com/biblioteka/statji/certifiedlies/evidence
[link9] http://www.pgpru.com/biblioteka/statji/certifiedlies/somecasalreadyparticipateinsurveillance
[link10] http://www.pgpru.com/biblioteka/statji/certifiedlies/protectingusers
[link11] http://www.pgpru.com/biblioteka/statji/certifiedlies/analysis
[link12] http://www.pgpru.com/biblioteka/statji/certifiedlies/relatedwork
[link13] http://www.pgpru.com/biblioteka/statji/certifiedlies/conclusionandfuturework
[link14] http://www.pgpru.com/biblioteka/statji/certifiedlies/acknowledgements
[link15] http://www.pgpru.com/biblioteka/statji/certifiedlies/references