id: Гость   вход   регистрация
текущее время 03:19 18/10/2019
создать
просмотр
редакции
ссылки

3. Большой брат в браузере


Microsoft, Apple и Mozilla включают некоторое число УЦ государственных властей в соответствующие базы данных своих УЦ.


Например программа корневых сертификатов Microsoft включает властей Австрии, Бразилии, Финляндии, Франции, Гонконга, Индии, Японии, Кореи, Латвии, Макао, Мексики, Португалии, Сербии, Словении, Испании, Швейцарии, Тайваня, Нидерландов, Туниса, Турции, США и Уругвая [16].


Эти государственные УЦ часто включаются по законным причинам: многие власти встраивают криптографические открытые ключи в свои национальные ID-карты или не хотят доверять внешнее обслуживание в возможности выпуска своих внутренних сертификатов внешним компаниям.


Хотя это может быть достаточно приемлемо для эстонских пользователей браузера Internet Explorer — доверять по умолчанию УЦ своего государства (так как это даёт им более широкие возможности в сети, связанные с их национальными ID-картами), рядовому жителю Ливана или Перу меньше выгоды в доверии к эстонским властям в неограниченной возможности выдавать сертификат к любому вэбсайту. Таким образом люди со всего света оказываются в положении, что когда им приходится доверять приватные данные своему браузеру, то также косвенным образом им придётся доверять некоторому числу зарубежных правительств, которым эти люди в обычном случае никогда бы не стали доверять.


Возможен такой пример: Корейское агентство информационной безопасности создаёт действительный сертификат для промышленного и коммерческого банка Китая (текущий сертификат которого выпушен VeriSign, США), чтобы затем иметь возможность осуществлять эффективную атаку человека-посредине против пользователей Internet Explorer.


Хотя на первый взгляд это кажется чрезмерно мощной атакой, есть множество причин, из-за которых маловероятно, что власти будут использовать свои УЦ для проведения атак человека-посредине.


Во-первых, хотя некоторые власти и склоняют поставщиков браузеров к включению сертификатов своих УЦ, не все власти способны на это. Так, например, власти Сингапура, Англии и Израиля (среди многих других) недоверяемы ни одним из ведущих браузеров, поэтому эти власти не могут легко создавать свои собственные фальшивые сертификаты для использования в разведцелях и других расследованиях сил правопорядка, в которых прослушивание SSL-сессий было бы полезно.


Во-вторых, из-за того, что цепочки доверия SSL неотрицаемы, любые власти, пытающиеся использовать свои собственные УЦ в целях шпионажа за чьими-либо коммуникациями, будут оставлять абсолютные доказательства своей вовлечённости. Так, если испанское правительство выпустит фальшивый сертификат для Google Mail и факт прослушивания будет кем-нибудь раскрыт, каждый, имеющий копию фальшивого сертификата и вэб-браузер, будет способен независимо отследить эту небрежную операцию, как исходящую от испанского правительства.


Назад | Оглавление | Дальше


 
Несколько комментариев (4) [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3