id: Гость   вход   регистрация
текущее время 19:23 19/11/2019
создать
просмотр
редакции
ссылки

Сертифицированная ложь: обнаружение атак перехвата SSL, осуществляемых властями, и защита от них



Авторы разрешают использование данной статьи в соответствии с лицензией США: Creative Commons Attribution 3.0. Оба автора написали данную статью на основе своих персональных возможностей как научных исследователей. Все заявления, мнения и возможные ошибки принадлежат лично им и не отражают официальной позиции их работодателей.
Кристофер Согоян и Сид Стэмм © 2010.
Перевод © 2010 unknown


"Криптографию обычно обходят, а не атакуют в лоб"
— Ади Шамир [1]
"Только потому что вы используете шифрование, это не даёт вам талисман против преследующей стороны. Они могут заставить сотрудничать сервис-провайдера"
— Фил Циммерман [2]

Аннотация


Данная работа показывает новую атаку, атаку создания сертификатов по принуждению, в которой правительственные агентства принуждают удостоверяюшие центры (центры выдачи сертификатов) к выпуску фальшивых SSL-сертификатов, которые затем используются разведывательными агентствами для скрытного перехвата и перенаправления личных защищённых коммуникаций, основанных на Web-технологиях. Мы нашли тревожные улики, показывающие, что эта атака активно используется. В конце мы представим легкое приложение к браузеру, способное обнаруживать эти атаки и противодействовать им.

Содержание


1. Введение


2. Удостоверяющие центры и поставщики браузеров


3. Большой Брат в браузере


4. Сотрудничество по принуждению


5. Свидетельства


6. Некоторые УЦ уже участвовали в слежке


7. Защита пользователей


8. Анализ


9. Схожие работы


10. Выводы и будущие исследования


11. Благодарности


Ссылки на использованные материалы




Дальше...


 
На страницу: 1, 2, 3, 4 След.
Комментарии [скрыть комментарии/форму]
— Гость (05/04/2010 08:02)   <#>
[offtop]
Главный враг гражданина – его собственное государство
Вот, распечатайте, повесьте у себя на видном месте, и читайте три раза в день, перед едой:
"Политическая свобода есть идея, а не факт. Эту идею надо уметь применять, когда является нужным идейной приманкой привлечь народные массы к своей партии, если таковая задумала сломить другую, у власти находящуюся. Задача эта облегчается, если противник сам заразится идеей свободы, так называемым либерализмом и ради идеи поступится своей мощью: распущенные бразды правления тут же по закону бытия подхватываются и подбираются новой
рукой, потому что слепая сила народа дня не может прожить без руководителя, и новая власть лишь заступает место старой, ослабевшей от либерализма.
Идея свободы неосуществима, потому что никто не умеет пользоваться ею в меру. Стоит только народ на некоторое время предоставить самоуправлению, как оно превращается в распущенность. С этого момента возникают междуусобицы, скоро переходящие в социальные битвы, в которых государства горят и значение их превращается в пепел.
Истощается ли государство в собственных конвульсиях, или же внутренние распри отдают его во власть внешним врагам, во всяком случае, оно может считаться безвозвратно погибшим."
[/offtop]
— unknown (05/04/2010 10:03, исправлен 05/04/2010 10:05)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

[offtop]
Гость то, что вы пишете — просто замечательно (если убрать негативный тон про врагов и конвульсии), но несколько однобоко, и кажется вы это уже у нас где-то писали, причём неоднократно.


Ну а распри, смены властей, гражданские войны и революции возникают по другим вообще причинам и к сожалению, пока люди, как вы говорите (цитируете) неразумны, мирным способом решить проблемы своего исторического развития не могут — империи, народы, цивилизации всё равно будут исчезать и появляться.


Это неизбежный исторический процесс и ещё вопрос как его сделать более мирным и безболезненным (подавляя чьё-то недовольство или давая выпустить пар и реализовать задачи бесконфликтно, может быть манипулируя идеями свободы/несвободы как газом и тормозом, кнутом/пряником, и т.д. — не было никогда и нигде в политике никакого либерализма — везде циничный прагматизм), но всё-это не для нашего сугубо технического ресурса.
[/offtop]

— Гость (05/04/2010 10:29)   <#>
[offtop]
вы это уже у нас где-то писали, причём неоднократно.

А это был ответ на также неоднократно высказывавшуюся тут мысль о собственном государстве как главном враге.
всё-это не для нашего сугубо технического ресурса.
Вот когда он действительно будет сугубо техническим, я перестану писать тут подобные цитаты.
[/offtop]
— unknown (05/04/2010 11:18)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Если один человек считает, что государство — это его главный враг и считает нужным регулярно постить это, то это его личное мнение. Какой смысл пытаться переубеждать его с помощью пафосных цитат? Это только поддерживает флейм и троллинг.
— unknown (05/04/2010 12:37)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Возвращаясь к обсуждению работы:

Неясно, почему центры сертификации должны выдавать правительству поддельные сертификаты, вместо того чтобы просто взять у удостоверяющего центра их приватный ключ?

Кстати вот ещё по этому, с точки зрения авторов в четвёртой главе они пишут:

В случаях принуждения УЦ к сотрудничеству, правительственное агентство может каждый раз требовать от УЦ выпустить сертификат, специфичный для подмены каждого из определённых вэбсайтов, или более вероятно, УЦ может быть принуждён к выпуску промежуточного сертификата, который затем может быть многократно использован правительственным агентством без знания и дальнейшей помоши со стороны УЦ.

Т.е. в случае чего — УЦ выдаст им не свой сертификат, а левый, но включённый в цепочку доверия, а дальше власти могут подписывать и сами. Если это раскроется, то для самого УЦ будет меньше ущерба и скандал замять проще.
— Гость (05/04/2010 12:52)   <#>
Какой смысл пытаться переубеждать его с помощью пафосных цитат? Это только поддерживает флейм и троллинг.
+1. Несмотря на то, что цитаты замечательные, хочу заметить, что заинтересованная публика уже давно и сама ознакомилась с содержанием протоколов сионских мудрецов, хотя бы даже общего интереса ради, раз уж они наделали так много шума. Но обсуждение здесь протоколов – это оффтоп.
— unknown (05/04/2010 14:40)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Кстати, глава 8.1 "Выигрышные позиции в слежке для Америки". Упоминание, что американским разведслужбам выгодно контролировать информацию в транзакциях с банками Пакистана, Ливана и Саудовской Аравии, наверное авторы не просто так написали. Как раз намёки на примеры угрозы от несвоего государства.

[настоящий offtopic, который сто раз обсуждали]
А есть ещё сертификаты корневых директорий сети Tor. Правда там система защищена консенсусом, MITM провести незаметно не так легко, нужно сочетать MITM с виртуализацией, но ведь похоже?
[/настоящий offtopic, который сто раз обсуждали]
— Гость (05/04/2010 16:53)   <#>
[настоящий offtopic, который сто раз обсуждали]
Я бы не сказал, что похоже. Сети типа VPN/Tor/SSH в принципе слабо похожи на безоговорочное доверие каким-то совсем внешним сторонам. В новой версии идею с сертификатами прикрутили и к ssh. В Tor доверие строится на оном к ключу Роджера, к лицам, администрирующим DA, и к невзламываемости серверов DA. Достаточно хотя бы того, что левому человеку/компании будет трудно самим стать DA, и тем более набрать критическую массу среди числа всех DA.
[/настоящий offtopic, который сто раз обсуждали]
— Гость (08/04/2010 06:48)   <#>
А это был ответ на также неоднократно высказывавшуюся тут мысль о собственном государстве как главном враге.

А сажает за решетку вас обычно чужое, а не свое, государство?!
— sentaus (08/04/2010 08:28, исправлен 08/04/2010 08:29)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
А сажает за решетку вас обычно чужое, а не свое, государство?!

А вас какое государство чаще всего за решётку сажало? :)

— Гость (13/04/2010 20:13)   <#>
Вот текущий список новостей
(05.04) Вышел релиз DiskCryptor 0.9 // ntldr
(02.04) Сертифицированная ложь: обнаружение атак перехвата SSL, осуществляемых властями, и защита от них // unknown
(16.03) Власти США хотят уничтожить сайт с компроматом на них // Гость
(09.03) Белорусские спецслужбы получили законное право на онлайн-слежку // DDRTL2009
(09.03) Microsoft предлагает изолировать зараженные компьютеры от Сети // Вий
(03.03) Сбор сетевых данных для профилактики преступлений признан незаконным в Германии // unknown
(25.02) Компания Майкрософт добилась временного закрытия сайта Cryptome.org // unknown
(09.02) Взлом криптопроцессоров Infineon и модулей TPM // unknown
(08.02) Криптоанализ на основе "вращений" — новая атака против Threefish // unknown
(01.02) Янки сунули свой длинный нос в банковские тайны Европы // Гость

Такой вот "сугбо" технический ресурс... ;)
— unknown (13/04/2010 21:39, исправлен 13/04/2010 21:55)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

"Криптография бывает двух видов: та, которая способна защитить ваши файлы от младшей сестры или та, которая защитит их от правительств ведущих мировых держав" © Брюс Шнайер.


Включение государства и крупных корпораций в модель угрозы является естественным для построения любой серьёзной модели информационной защиты в реальном мире.


Это широко распространённый среди специалистов сугубо технический подход (хотя авторы этой статьи упоминают, что столь явное его применение является достаточно новым), также как и многие идеи свободного и открытого программного обеспечения. Идеи свободного, анонимного и неподконтрольного распространения информации также традиционно популярны в академической среде.


Эти понятия слишком мало распространены в умах простых людей, поэтому не могут составлять политической идеи, или вам уже мерещится партия криптографов и опенсорсников?

— vlcryptor (30/04/2010 08:33)   профиль/связь   <#>
комментариев: 21   документов: 5   редакций: 5
Где скачать Certlock? На addons.mozilla.org его нет.
— unknown (30/04/2010 10:06, исправлен 30/04/2010 10:07)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Спрашивали уже, авторы его только разрекламировали, но ещё ничего не выпустили. Остерегайтесь подделок (если он вообще когда-нибудь появится).

— vlcryptor (01/05/2010 11:52, исправлен 01/05/2010 11:53)   профиль/связь   <#>
комментариев: 21   документов: 5   редакций: 5

Ясно, спасибо. Так я и думал. Зато есть Conspiracy, прикольная штучка, может быть даже и будет когда-то полезной. Я вот с удивленим узнал, что Thawte – это компания из Южной Африки. :)


Остерегайтесь подделок (если он вообще когда-нибудь появится).

Ну этот модуль нес бы только информативную нагрузку, поэтому не так уж и страшно.
С таким же успехом можно считать любое дополнение Firefox потенциально опасным :)

На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3