Сертифицированная ложь: обнаружение атак перехвата SSL, осуществляемых властями, и защита от них
Авторы разрешают использование данной статьи в соответствии с лицензией США: Creative Commons Attribution 3.0. Оба автора написали данную статью на основе своих персональных возможностей как научных исследователей. Все заявления, мнения и возможные ошибки принадлежат лично им и не отражают официальной позиции их работодателей.
Кристофер Согоян и Сид Стэмм © 2010.
Перевод © 2010 unknown
"Криптографию обычно обходят, а не атакуют в лоб"
— Ади Шамир [1]
"Только потому что вы используете шифрование, это не даёт вам талисман против преследующей стороны. Они могут заставить сотрудничать сервис-провайдера"
— Фил Циммерман [2]
Аннотация
Данная работа показывает новую атаку, атаку создания сертификатов по принуждению, в которой правительственные агентства принуждают удостоверяюшие центры (центры выдачи сертификатов) к выпуску фальшивых SSL-сертификатов, которые затем используются разведывательными агентствами для скрытного перехвата и перенаправления личных защищённых коммуникаций, основанных на Web-технологиях. Мы нашли тревожные улики, показывающие, что эта атака активно используется. В конце мы представим легкое приложение к браузеру, способное обнаруживать эти атаки и противодействовать им.
Содержание
2. Удостоверяющие центры и поставщики браузеров
4. Сотрудничество по принуждению
6. Некоторые УЦ уже участвовали в слежке
10. Выводы и будущие исследования
Ссылки на использованные материалы
комментариев: 11558 документов: 1036 редакций: 4118
А разве это не так?
комментариев: 21 документов: 5 редакций: 5
Честно говоря не изучал API Firefox, какие там возможности предоставляются расширениям и есть ли какой-либо контроль за безопасностью кода. А у вас, что ни одного дополнения разве не установлено в Firefox. Так усиленно заботитесь о безопасности? :)
Думаю это риторический вопрос и можно дойти до того, что идеальным решением было бы вообще не пользоваться компьютером. :)
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Там случайно не отображается дополнительная информация, что заработав денег на продаже этой компании, её создатель немного полетал в космосе и придумал Linux-Ubuntu? ;-)
Допустим, unknown доверяет sattva, и наоборот. они ходят вместе по сайтам примерно одинакового содержания (иб, крипто и пр.). при заходе на сайт складируют у себя информацию о сертификатах. время от времени синхронизируют её друг с другом.
Таким образом, "модель доверия после первого использования" расширяется до "модель доверия после первого использования, если до этого твой товарищ не заходил ранее".
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664
Там утверждают, что сертификат использовался только во внутренней сети по аналогии с тем, как некоторые фирмы выпускают свой сертификат, импортируют его в браузеры своих клиентов и прослушивают весь их HTTPS. Тут они «немножко упростили себе жизнь» с импортом нового сертификата в браузеры клиентов, просто подписав его карманным CA.
[offtop]
По ссылкам попопал на это:
Интересно, это во всех странах криптография полностью «regulated»? И что они подразумевают под этим? Мне казалось, что, например, в США никакой специальной «регулировки» криптографии нет, или я чего-то не знаю?
Вообще, у Франции широкий послужной список, поэтому я ничуть не удивлён. Среди европейских стран она (наряду со Швецией) переплюнула всех:
• Активно участвовали в прослушке, в том числе зарубежной [2007]
• Чем-то очень напоминает РФ [2009]:
• Французы ничем не хуже АНБ в плане забэкдоривания оборудования [2013]: Там это, насколько помню, поставлено на широкую ногу. Приводился конкретный список французских фирм, которые этим занимаются (скупка эксплоитов, взлом и установка в оборудование, поддержка правительственных клиентов, эксплуатирующих это оборудование, и т.д.).
[/offtop]
комментариев: 11558 документов: 1036 редакций: 4118
У Франции трудные отношения с криптографией. Экспорт и импорт лицензируются (в некоторых случаях требуется особая санкция компетентных служб), даже на применение распространяются какие-то требования (деталей не помню). В общем, примерно как в РФ или даже жёстче.
Экспорт, например. Уведомление в BIS подаётся коммерческими организациями в любом случае, а в ряде случаев требуется и экспортная лицензия.
комментариев: 9796 документов: 488 редакций: 5664
IBM 4764 PCI-X Cryptographic Coprocessor:
комментариев: 11558 документов: 1036 редакций: 4118
А разве ввоз единичного экземпляра для личного пользования не отменяет необходимость проходить сертификацию?
Или криптографического оборудования это послабление не касается?