id: Гость   вход   регистрация
текущее время 18:57 27/09/2021
создать
просмотр
редакции
ссылки

3. Большой брат в браузере


Microsoft, Apple и Mozilla включают некоторое число УЦ государственных властей в соответствующие базы данных своих УЦ.


Например программа корневых сертификатов Microsoft включает властей Австрии, Бразилии, Финляндии, Франции, Гонконга, Индии, Японии, Кореи, Латвии, Макао, Мексики, Португалии, Сербии, Словении, Испании, Швейцарии, Тайваня, Нидерландов, Туниса, Турции, США и Уругвая [16].


Эти государственные УЦ часто включаются по законным причинам: многие власти встраивают криптографические открытые ключи в свои национальные ID-карты или не хотят доверять внешнее обслуживание в возможности выпуска своих внутренних сертификатов внешним компаниям.


Хотя это может быть достаточно приемлемо для эстонских пользователей браузера Internet Explorer — доверять по умолчанию УЦ своего государства (так как это даёт им более широкие возможности в сети, связанные с их национальными ID-картами), рядовому жителю Ливана или Перу меньше выгоды в доверии к эстонским властям в неограниченной возможности выдавать сертификат к любому вэбсайту. Таким образом люди со всего света оказываются в положении, что когда им приходится доверять приватные данные своему браузеру, то также косвенным образом им придётся доверять некоторому числу зарубежных правительств, которым эти люди в обычном случае никогда бы не стали доверять.


Возможен такой пример: Корейское агентство информационной безопасности создаёт действительный сертификат для промышленного и коммерческого банка Китая (текущий сертификат которого выпушен VeriSign, США), чтобы затем иметь возможность осуществлять эффективную атаку человека-посредине против пользователей Internet Explorer.


Хотя на первый взгляд это кажется чрезмерно мощной атакой, есть множество причин, из-за которых маловероятно, что власти будут использовать свои УЦ для проведения атак человека-посредине.


Во-первых, хотя некоторые власти и склоняют поставщиков браузеров к включению сертификатов своих УЦ, не все власти способны на это. Так, например, власти Сингапура, Англии и Израиля (среди многих других) недоверяемы ни одним из ведущих браузеров, поэтому эти власти не могут легко создавать свои собственные фальшивые сертификаты для использования в разведцелях и других расследованиях сил правопорядка, в которых прослушивание SSL-сессий было бы полезно.


Во-вторых, из-за того, что цепочки доверия SSL неотрицаемы, любые власти, пытающиеся использовать свои собственные УЦ в целях шпионажа за чьими-либо коммуникациями, будут оставлять абсолютные доказательства своей вовлечённости. Так, если испанское правительство выпустит фальшивый сертификат для Google Mail и факт прослушивания будет кем-нибудь раскрыт, каждый, имеющий копию фальшивого сертификата и вэб-браузер, будет способен независимо отследить эту небрежную операцию, как исходящую от испанского правительства.


Назад | Оглавление | Дальше


 
— spinore (05/04/2010 14:27)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Так например власти Сингапура, Англии и Израиля (среди многих других) недоверяемы ни одним из ведущих браузеров. Поэтому эти власти не могут легко создавать свои собственные фальшивые сертификаты для использования в разведцелях и других расследованиях сил правопорядка, в которых прослушивание SSL-сессий было бы полезно.
К. О. спешит на помощь: некоторые УЦ могут де-факто принадлежать правительству, хотя де юре – нет. Сами подобные сведения могут быть отнесены к категории О. В. или С. С., что позволит государству отрицать факт.
— unknown (05/04/2010 15:03)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Верно замечено. Но отчасти эта тема раскрыта в главе 6.1, где говориться о том, что Verisign занимается аутсорсингом по вопросам CALEA по ордерам (прослушиванием для властей на заказ) — интересное сочетание двух типов бизнеса. Авторы ограничились намёками, что компаниям такого рода просто финансово выгодно получать запросы от властей на мухлёж с сертификатами в обмен на дополнительную прибыль от госзаказов по аутсорсингу слежки. И ордеров они с них требовать не будут, поскольку они с этого всего ещё и прибыль имеют.

Verisign и GoDaddy уже открещивались от намёков в этой работе публично:

Christine Jones, the general counsel for Go Daddy — one of the net’s largest issuers of SSL certificates — says her company has never gotten such a request from a government in her eight years at the company.

“I’ve read studies and heard speeches in academic circles that theorize that concept, but we never would issue a ‘fake’ SSL certificate,” Jones said, arguing that would violate the SSL auditing standards and put them at risk of losing their certification. “Theoretically it would work, but the thing is we get requests from law enforcement every day, and in entire time we have been doing this, we have never had a single instance where law enforcement asked us to do something inappropriate.”

VeriSign, the net’s largest Certiicate Authority, echoes GoDaddy.

“Verisign has never issued a fake SSL certificate, and to do so would be against our policies,” said vice president Tim Callan.

— Гость (05/04/2010 17:35)   <#>
[тролль-режим]
but we never would issue a ‘fake’ SSL certificate
Он клянётся своими яйцами? Нотариально обязуется выплатить ущерб в случае, если такой факт обнаружится? Должны верить на слово? "Никогда не говори никогда": никто ж его не тянет за язык обещания раздавать.
we have never had a single instance where law enforcement asked us to do something inappropriate
А кто сказал, что угостить государство сертиком "inappropriate"? Чем ежедневные запросы властей более appropriate? И опять же, в каком смысле appropriate? Если по закону их можно принудить к, то чем это inappropriate?
to do so would be against our policies
То же самое.

Вместо этих перлов куда бы уместнее смотрелись не голословные заявления о том, что не в их власти (готовы закрыть бизнес если что-то пойдёт не так?), а объяснение народу, что "таков закон/понятия" и "по понятным причинам мы его/их не можем нарушать", но "мы постараемся информировать вас о событиях в этой области, если будем иметь такую возможность". "В свою очередь, вы, как пользователи, должны в первую очередь полагаться не на репутацию компании/властей, но на более фундаментальные законы. Уменьшить риск вовлечения в {} можно с помощью таких-то плагинов к ff, и т.д [ссылки]." Как говорится, денег и славы много, а ума не хватает.
[/тролль-режим]
— Гость (09/06/2010 01:11)   <#>
Verisign занимается аутсорсингом по вопросам CALEA по ордерам (прослушиванием для властей на заказ) — интересное сочетание двух типов бизнеса.
Оказывается, уже обо всём на pgpru уже когда-то писали.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3