Skype, Gmail и Hotmail передали коды шифрования ФСБ
Skype, Gmail и Hotmail передали коды шифрования российской госбезопасности. Об этом сообщает ИнтерКавказ. Как заявляет эксперт издания по информационным технологиям Алексея Пустельги, в первую очередь, «новое лицо» этих сервисов будет «стеснять» тех, к кому «ФСБ и ранее было неравнодушно».
«Произошло ожидаемое — ФСБ вынудило Skype, Gmail и Hotmail сдать им коды шифрования сигналов. Что изменится? Да почти ничего — эту гонку информационных вооружений спецслужбы уже давно проиграли. Они знают кого и где слушать — сервисы дали им подарок — шифры, им станет легче теперь слушать и направленно, и в поиске — по кодовым словам. Все это сделано, естественно, в рамках борьбы с экстремизмом и терроризмом. Хотя именно те, против кого направлены эти меры, под них не попадут.
Они пользуются уже другими сервисами. А вынуждать тот же yahoo сдать шифры ФСБ — это еще год-полтора переговоров, А там появится новый сервис. Это просто бесполезно. С точки зрения логики безопасности. Но с нашей, родной российской точки зрения — все будут при деле и чем-то заняты. Можно будет послушать банкиров, политиков, жену, ребенка и прочих. Работа в отделе борьбы с экстремизмом и терроризмом с приминением высоких технологий всегда приносила свои плюсы ее сотрудникам» – заявил Алексей Пустельга корреспонденту Интеркавказ.
http://www.apsny.ge/2010/mil/1317676448.php
Что такое шифры?
Вообще-то Skype с недавних пор это Microsoft – куплено.
Конечно, Yahoo, сдававшее властям китайских диссидентов, — это принципиально другое дело... Вообще, довольно забавны все эти дискуссии, исходящие из того, что пользователь полностью полагается на оператора сервиса, чтобы тот его не выдал. При этом применение оконечного шифрования игнорируется как класс.
Сдача RSA ключей означает не только контроль трафика в пределах третьей страны, но и контроль всего что проснифают разведчики и разведчицы из третьей страны. Гугл не сдаст всех своих пользователей секретным службам третьих стран, его просто не поймут свои секретные службы.
Письмо в вашингтонский обком можно зашифровать, но вот как шифровать адресатов для гугло юзеров?
Вот для Skype есть переводчик ClownFish[link1], который в качестве побочной фичи имеет функцию шифрования текстовых сообщений.
типа политкорректно "he or she" ? :)
А вы уверены, что у них ключи шифрования не зависят от стран?
Согласно стандартам и используемому шифронабору(RSA_RC4_SHA), единственный приватный RSA ключ, который использует гугл для SSL сеансов (в настоящее время), соответствует содержащемуся публичному ключу в сертификате. Именно этим публичным ключем клиент зашифровывает пре-мастер ключевой материал, который служит источником для выработки ключей шифрования сторонами сеанса. Заметить использование разных сертификатов для разных стран, как показывает практика с дырявыми УЦ, можно.
Это приватный ключ аутентификации. Подмена на этапе аутентификации позволяет не расшифровывать ранее записанное, а проводить MITM.
А шифруется вроде как через RC4 по Диффи-Хеллману на эллиптических кривых, так что ключ шифрования сеанса каждый раз согласовывается заново:
Но из того, что сказал "эксперт издания по информационным технологиям", ссылаясь на "коды шифрования сигналов" никакой конкретики неясно. Возможно будут давать доступ к каналу пользователя (группы пользователей, но не ко всему гуглу) по ордеру или по ещё какой-то упрощённой процедуре.
Для RSA_RC4_SHA (древнее как мамонт), RSA и подписывает и шифрует. Но сервер гугла в состоянии работать и с такими клиентами.
Верно, при условии что клиент заявил такое в приветствии (современный браузер). Тогда всё ещё сложней, RSA (сертификат) лишь аутентифицирует сервер.
Митм в массы?!
странно, но пока других публикаций по данной теме в Рунете не возникло. Может это утка?
А если нет, означает ли состоявшаяся "выдача кодов" что, в частности, все переговоры по скайпу которые велись до выдачи могут быть теперь прослушаны ФСБ? В предположении что трафик был записан "до лучших времен" конечно.
Вполне вероятно, это политический или юридический ход для "легализации" какой-то доказательной базы. Не верю, что эти ребята раньше не умели его слушать :)
А вообще, как насчёт юридической обоснованности прослушки "задним числом"? (Вопрос имеет что-то общее с бывшей здесь дискуссии о смене лицензии)
Это даже не смешно, ребята. Полагать, что корпорации хоть как-то могут сопротивляться государственной карательной машине — удел полных идиотов. Силу можно побороть только силой, хотя бы сильной криптографией.
это все хорошо, но все-таки: какие именно "коды" могли быть выданы и приводит ли это к возможности восстановления сеансовых ключей шифрования и т.д.?
я не вникал в имеющиеся материалы по Скайпу, но на сколько понимаю, два пользователя находящихся в онлайне имеют возможность согласовать одноразовые ключи непосредственно перед сессией "общения". Глобальные "коды" которые м.б. "выданы" – это скорее всего ключи для аутентификации узлов (ноды/суперноды кажется). Если это так, то "выдача" позволяет в будущем делать МИТМы, а для расшифровки трафика "из прошлого" эти "коды" не помогут. я правильно рассуждаю?
Похоже на вброс дезы со стороны того же ФСБ.
Навскидку 3 возможных варианта:
1) Возможно вброс ФСБ, при этом причина какая-нибудь сиюминутная и стратегически малозначимая.
Возможно приурочена к конкретной сиюминутной операции, в расчёте на срыв канала связи конкретных людей хотя бы в краткосрочной перспективе.
2) Возможно цель – скомпрометировать именно наиболее защищённые ср-ва связи. Канал Skype взломать практически неерально. Gmail также прославился ревностным отношением к privacy. Не исключено что (некоторые) горе-стратеги в ФСБ могут представить себе такую ситуацию: прочтёт какой-нибудь незаконопослушный гражданин такую статью, да и соскочит с джимэйла на мэйл.ру прямиком "под колпак" ))
3) (самое вероятное) Как и 90% всех статей на средних неспециализированных сайтах – обычная журналажа от журналажника, которому недосуг разбираться в теме, на которую он пишет. Главное громкий заголовок.
Какие ваши доказательства? ©
В свое время кажется на сайте ДПНИ выкладывали скан документа в котором была детализация перехвата https gmail-а
Корпорации бывают транснациональные, как инструменты глобализации. А "удел полных идиотов" – считать, что надгосударственного управления не существует.
В любом случае, de facto существует некое мировое "соглашение" "всемирных путинистов", согласно которому они совместными усилиями осуществляют управление "непокорными массами" с тем, чтобы обеспечить их повиновение.
И в рамках него Гугл и Микрософт вполне могут сотрудничать с ФСБ, тем более что г-н Обама почему-то очень благоволить нашим свинокозлам, даже больше, чем бывший их презик Кустик :)
Некоторые ещё по прежнему думают, что заграница нам поможет. Да с какой стати она будет поддерживать национально-освободительное движение в собственной колонии?!
как интересно, а не сохранился ли у кого-нибудь этот документ?
http://www.dpni.org/articles/publikacii/21938/
На основе чего такое утверждение? В 2009 году https не был обязателен для сеанса веб почты гмайла, его включили по умолчанию позже[link2].
ага, то что на сайте "негосударственного и неподконтрольного фсб" дпни тихенько так выложили "перехват реезы" – однозначно подтверждает, что весь этот вброс ни к криптографии ни вообще к айти отношения не имеет.
А вашей "однозначности" не мешает, что по вашему "государственное" ДПНИ государством же объявлено экстремистским?
И какая, оказывается, у нас скромная ФСБ – всего один подконтрольный сайт нашёлся! :)
Да ребята, пользуйтесь Гуглом! Ихняя АНБ не допустит, что-бы подконтрольная ей информация[link3] (в том числе в виде ваших писем) стала доступна разведкам других государств! :)
Может есть почтовый сервис к которому не подпускают всяких ?
К примеру в датском государстве email.fo какие мнения ?
Если не подпускают "всяких этих", то значит будут подпускать "всяких тех".
Ключи они передали? Или исходники кода шифрования?
Не надо там ничего "передавать". Надо учить матчасть[link4] и не писать херь на pgpru.
А с каких пор протокол скайпа открыт? Или у тебя есть какая-то другая информация? Может поделишься?
Вы тред почитайте, там речь про
письмаgmail идёт. Что касается скайпа, то есть поверье, что там одноразовые ключи на каждую сессю.Из настроек гуглопочты:
Browser connection:
Don't always use https
Пользователь сам выбирает использовать ему хттпс или нет. Если нет, то он сам себе злой буратина, поскольку перехватив куки можно украсть сессию. Об этом писали много раз.
Насчет скайпа помню пробегала новость из Италии, что де мафиози стали поголовно перходить на скайп и полиция стонет, поскольку не может их слушать. Вряд ли у ФСБ есть какие-то особые способы перехвата, которых нет у их итальянских коллег. Если траффик шифруется от точки до точки, то я не могу вообразить надежно работающий способ перехвата. И вообще сообщение очень похоже на обычную дезу, что совсем неудивительно для этого источника.
Это давно было, несколько лет назад. Сейчас, пишут, что даже любители отреверсили[link5]. Правда, как там с шифрованием, я не разбирался. Было бы интересно, если б кто нарыл и раскрыл эту тему.