РегистрацияVeriSign и NetDiscovery: лисица сторожит курятник?
И в прежние времена было трудно кого-нибудь удивить тем фактом, что любая CA (удостоверяющий центр Х.509) потенциально, в силу злого умысла или по неосторожности, может выпустить поддельный цифровой сертификат. Так, например, было некоторое время назад (год?), когда VeriSign издала ошибочный сертификат Microsoft для заверения кода на совершенно постороннее лицо. В тот раз скандал довольно быстро замяли.
(По этим причинам знающие люди отдают предпочтение OpenPGP и его распределённой системе доверия Web of Trust, аккумулирующей доверие из многих источников, что снижает вероятность негативных последствий от одной единственной ошибки.)
И вот недавно Иан Григг в блоге Financial Cryptography вынес на рассмотрение этот вопрос с несколько другого угла зрения: с позиции правовой и экономической. В США и Канаде идёт дискуссия о том, кто должен нести расходы за санкционированное прослушивание сетевого трафика правоохранительными органами. Правоохранители, как им и положено, хотят, чтобы платили провайдеры.
И вот VeriSign, выпускающая почти половину всех SSL-сертификатов для е-коммерции и защищённых сайтов, а также для шифрования почты с помощью S/MIME, предлагает провайдерам свою систему NetDiscovery для осуществления легальных прослушиваний (для соответствия нормам CALEA).
Возникает вопрос: а не является ли подобная деятельность на два фронта конфликтом интересов и, если да, в чью пользу он будет решён? В пользу администратора сервера (допустим, почтовой службы), заплатившего $500 за SSL-сертификат от VeriSign, или в пользу провайдеров, с которыми у VeriSign многомиллионные контракты на сервис NetDiscovery и в дверь к которым стучатся представители спецслужб с судебным ордером на прослушку того же SSL-канала? Вопрос чисто экономический... "Технически, VeriSign обладает и должными навыками, и корневым сертификатом, а теперь ещё и удачной позицией. Атаки по методу "человек в середине" ещё никогда не были проще".
комментариев: 9796 документов: 488 редакций: 5664
Хакеры могут взломать сайт и украсть все данные оттуда, а не прослушивать линию.
Пользователям важно, чтобы их деньги дошли куда-надо и услуги(товары) были получены.
Это похоже на проблему антивирусных компаний – что если ФБР создаст своего "трояна" для служебных целей? Как его затем отличить от подделок, которые могут маскироваться под него? Самые откровенные комментарии со стороны антивирусных компаний содились к тому, что они встанут на сторону того, "кто сильнее" или будут лавировать. Но им такая ситуация неприятна и они постараются ее избежать.
комментариев: 11558 документов: 1036 редакций: 4118
Я неспроста привёл в качестве примера сервер почтовой службы. Многие коммерческие системы приводят SSL в качестве одной из наиболее значительных своих фич: "Наш сервер использует шифрование SSL. Зарегистрировавшись у нас вы можете быть спокойны: никто не прочитает ваши письма в процессе передачи". Не стоит сбрасывать со счетов и корпоративные серверы (хотя я не склонен полагать, что для внутренней системы станут приобретать сертификат у VeriSign).
Действительно, если говорить о публичных почтовых службах, то хранящуюся у них корреспонденцию ФБР может затребовать и по судебному ордеру без всякого проведения MITM.
Наиболее вероятной мне видится возможность подделки сертификатов конкретных пользователей, использующих их для сквозного шифрования почты с помощью S/MIME. Согласитесь, мало кто проверяет отпечаток сертификата Х.509 — все полагаются на подпись удостоверяющего центра, который и есть основа всей X.509 PKI.
Сертификат Х.509 получает доверие от одного единственного источника — CA — либо не получает никакого доверия — промежуточных степеней и нескольких источников доверия не предусмотрено. Таким образом, достаточно издать поддельный сертификат с идентичными реквизитами (не удастся подделать только отпечаток — хэш сертификата и открытого ключа), заверить его корневым сертификатом СА и подсунуть отправителю. Даже технически организовать MITM почтового трафика несравнимо проще, чем SSL вследствие того, что последний — протокол реального времени. Письмо же можно подменить на любом из узлов передачи от отправителя к получателю. При обычном прослушивании вообще не возникнет задержки; если же атака будет активной — MITM — задержка появится, но вероятнее, что останется незамеченной или просто будет проигнорирована. Всё это далеко не новость. Новостью является то, что теперь VeriSign вероятнее и охотнее пойдёт на подделку Х.509 для обеспечения действия NetDiscovery и своих контректов с провайдерами.
Кстати, исходя из сказанного, возникает ещё один интересный сценарий. Обычно, никто не проверяет отпечаток сертификата Х.509. А проверяет ли кто-нибудь название поставщика? Люди смотрят на одно: достоверен ли сертификат, т.е. подписан ли он доверенным СА, или нет? Корневой сертификат VeriSign находится в системном хранилище каждого браузера. Таким образом, ФБР и VeriSign (если, конечно, последняя пойдёт на подлог) могут подделать сертификат любого пользователя, если его корреспонденты не будут достаточно внимательны. Решение этой проблемы есть: лишить доверия корневой сертификат VeriSign для заверения персональных сертификатов для email.
Проблема, в целом, не нова. Она касается любой централизованной системы: слишком легко и заманчиво давлением на одну критическую точку вывести её из строя, даже если усилий для этого придётся приложить на порядки больше, чем на любой из узлов децентрализованной системы.
В мобильной телефонии (конкретно, в GSM) вообще нет надёжного шифрования. Как сказал, если мне память не изменяет, Ади Шамир (или Эли Бихам?), не доверяйте мобильному телефону то, что вы не доверите постороннему человеку. Но это уже тема отдельной дискуссии...