Skype, Gmail и Hotmail передали коды шифрования ФСБ
Skype, Gmail и Hotmail передали коды шифрования российской госбезопасности. Об этом сообщает ИнтерКавказ. Как заявляет эксперт издания по информационным технологиям Алексея Пустельги, в первую очередь, «новое лицо» этих сервисов будет «стеснять» тех, к кому «ФСБ и ранее было неравнодушно».
«Произошло ожидаемое — ФСБ вынудило Skype, Gmail и Hotmail сдать им коды шифрования сигналов. Что изменится? Да почти ничего — эту гонку информационных вооружений спецслужбы уже давно проиграли. Они знают кого и где слушать — сервисы дали им подарок — шифры, им станет легче теперь слушать и направленно, и в поиске — по кодовым словам. Все это сделано, естественно, в рамках борьбы с экстремизмом и терроризмом. Хотя именно те, против кого направлены эти меры, под них не попадут.
Они пользуются уже другими сервисами. А вынуждать тот же yahoo сдать шифры ФСБ — это еще год-полтора переговоров, А там появится новый сервис. Это просто бесполезно. С точки зрения логики безопасности. Но с нашей, родной российской точки зрения — все будут при деле и чем-то заняты. Можно будет послушать банкиров, политиков, жену, ребенка и прочих. Работа в отделе борьбы с экстремизмом и терроризмом с приминением высоких технологий всегда приносила свои плюсы ее сотрудникам» – заявил Алексей Пустельга корреспонденту Интеркавказ.
http://www.apsny.ge/2010/mil/1317676448.php
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Это приватный ключ аутентификации. Подмена на этапе аутентификации позволяет не расшифровывать ранее записанное, а проводить MITM.
А шифруется вроде как через RC4 по Диффи-Хеллману на эллиптических кривых, так что ключ шифрования сеанса каждый раз согласовывается заново:
Но из того, что сказал "эксперт издания по информационным технологиям", ссылаясь на "коды шифрования сигналов" никакой конкретики неясно. Возможно будут давать доступ к каналу пользователя (группы пользователей, но не ко всему гуглу) по ордеру или по ещё какой-то упрощённой процедуре.
Для RSA_RC4_SHA (древнее как мамонт), RSA и подписывает и шифрует. Но сервер гугла в состоянии работать и с такими клиентами.
Верно, при условии что клиент заявил такое в приветствии (современный браузер). Тогда всё ещё сложней, RSA (сертификат) лишь аутентифицирует сервер.
Митм в массы?!
А если нет, означает ли состоявшаяся "выдача кодов" что, в частности, все переговоры по скайпу которые велись до выдачи могут быть теперь прослушаны ФСБ? В предположении что трафик был записан "до лучших времен" конечно.