3. Большой брат в браузере
Microsoft, Apple и Mozilla включают некоторое число УЦ государственных властей в соответствующие базы данных своих УЦ.
Например программа корневых сертификатов Microsoft включает властей Австрии, Бразилии, Финляндии, Франции, Гонконга, Индии, Японии, Кореи, Латвии, Макао, Мексики, Португалии, Сербии, Словении, Испании, Швейцарии, Тайваня, Нидерландов, Туниса, Турции, США и Уругвая [16].
Эти государственные УЦ часто включаются по законным причинам: многие власти встраивают криптографические открытые ключи в свои национальные ID-карты или не хотят доверять внешнее обслуживание в возможности выпуска своих внутренних сертификатов внешним компаниям.
Хотя это может быть достаточно приемлемо для эстонских пользователей браузера Internet Explorer — доверять по умолчанию УЦ своего государства (так как это даёт им более широкие возможности в сети, связанные с их национальными ID-картами), рядовому жителю Ливана или Перу меньше выгоды в доверии к эстонским властям в неограниченной возможности выдавать сертификат к любому вэбсайту. Таким образом люди со всего света оказываются в положении, что когда им приходится доверять приватные данные своему браузеру, то также косвенным образом им придётся доверять некоторому числу зарубежных правительств, которым эти люди в обычном случае никогда бы не стали доверять.
Возможен такой пример: Корейское агентство информационной безопасности создаёт действительный сертификат для промышленного и коммерческого банка Китая (текущий сертификат которого выпушен VeriSign, США), чтобы затем иметь возможность осуществлять эффективную атаку человека-посредине против пользователей Internet Explorer.
Хотя на первый взгляд это кажется чрезмерно мощной атакой, есть множество причин, из-за которых маловероятно, что власти будут использовать свои УЦ для проведения атак человека-посредине.
Во-первых, хотя некоторые власти и склоняют поставщиков браузеров к включению сертификатов своих УЦ, не все власти способны на это. Так, например, власти Сингапура, Англии и Израиля (среди многих других) недоверяемы ни одним из ведущих браузеров, поэтому эти власти не могут легко создавать свои собственные фальшивые сертификаты для использования в разведцелях и других расследованиях сил правопорядка, в которых прослушивание SSL-сессий было бы полезно.
Во-вторых, из-за того, что цепочки доверия SSL неотрицаемы, любые власти, пытающиеся использовать свои собственные УЦ в целях шпионажа за чьими-либо коммуникациями, будут оставлять абсолютные доказательства своей вовлечённости. Так, если испанское правительство выпустит фальшивый сертификат для Google Mail и факт прослушивания будет кем-нибудь раскрыт, каждый, имеющий копию фальшивого сертификата и вэб-браузер, будет способен независимо отследить эту небрежную операцию, как исходящую от испанского правительства.
Назад | Оглавление | Дальше
комментариев: 1515 документов: 44 редакций: 5786
комментариев: 9796 документов: 488 редакций: 5664
Verisign и GoDaddy уже открещивались от намёков в этой работе публично:
Он клянётся своими яйцами? Нотариально обязуется выплатить ущерб в случае, если такой факт обнаружится? Должны верить на слово? "Никогда не говори никогда": никто ж его не тянет за язык обещания раздавать.
А кто сказал, что угостить государство сертиком "inappropriate"? Чем ежедневные запросы властей более appropriate? И опять же, в каком смысле appropriate? Если по закону их можно принудить к, то чем это inappropriate?
То же самое.
Вместо этих перлов куда бы уместнее смотрелись не голословные заявления о том, что не в их власти (готовы закрыть бизнес если что-то пойдёт не так?), а объяснение народу, что "таков закон/понятия" и "по понятным причинам мы его/их не можем нарушать", но "мы постараемся информировать вас о событиях в этой области, если будем иметь такую возможность". "В свою очередь, вы, как пользователи, должны в первую очередь полагаться не на репутацию компании/властей, но на более фундаментальные законы. Уменьшить риск вовлечения в {} можно с помощью таких-то плагинов к ff, и т.д [ссылки]." Как говорится, денег и славы много, а ума не хватает.
[/тролль-режим]