как вас расшифровывают (пример России)

[juan_gandhi]

https://quip.com/N07UAXChSjRR

Comments

[svk (from livejournal.com)]

man in the middle, где man - ваш провайдер о чём собственно браузер и предупреждает
т.е. если раньше провайдер просто передавал поток, то сейчас он его читает

не web приложениям это не грозит

p.s.
"Но делать нечего, устанавливаем сертификат на компьютер, в хранилище “доверенных корневых сертификатов”" - совсем не обязательно, в ie можно просто игнорировать предупреждение %)) - влияет только на визуальность (что является предупредительной мерой)

[sergey_cheban]

Достаточным доказательством возможности существования Северной Кореи является сама Северная Корея, и другие доказательства этого тезиса излишни и избыточны. При таком раскладе даже спутниковая тарелка не поможет, потому что придёт Товарищ Сержант и прикажет развернуть её на правильный спутник. И фиг откажешься.
Но параллельно с попытками превратить РФ в Северную Корею есть и попытки превратить её в Южную Корею. И тут уж кто первый успеет.

[juan-gandhi.livejournal.com]

Так ведь ни то, ни то не выйдет. Корейцы - особый народ. Они все считают друг друга родственниками. В России же прямо противоположное явление. Человек человеку быдло.

[dluciv.livejournal.com]

В Питере некоторые провайдеры года два назад уже баловались перешифровкой: http://dours.livejournal.com/109171.html (и вообще http://dours.livejournal.com/tag/man-in-the-middle). Так что не факт, что именно это — кровавая гэбня.

Но в Казахстане корневой сертификат или уже, или скоро будет государственный. Так что скорее всего и в России кончится тем же. А ещё через пару лет почешут репу и для всеобщего блага запретят вложенное шифрование, как нецелесообразное.



Родина слышит, Родина знает,
Сертификат TLS подменяет.

[yatur.livejournal.com]

Вся эта криптография как-то слишком заумна для обычного человека. Сообщение должно быть четкое и понятное - мол, сертификат поддельный, считайте, что все, что вы пишете уходит на стол товарищу майору.

У меня не далее как вчера случай был: присылает чел е-мейл. Мол, не может зарегистрировать сертификат в системе. Система пишет, что ошибка. Он уже и заголовок в файле поменял с "----BEGIN RSA CERTIFICATE REQUEST----" на "----BEGIN RSA CERTIFICATE----", а система, свинья, все равно пишет, что ошибка. Ну, вы поняли...

Чего нашей системе только не подсовывали в качестве "сертификата". И приватные ключи, и публичные ключи и, вот, как сейчас, запросы на сертификат. И каждый раз полная незамутенность - а чаво это оно на наш файл ругается, исправьте пожалуйста.

[snowps.livejournal.com]

Это всего лишь говорит о том, что https - это весьма условно секьюрный протокол, нормальные защищённые продукты нужно писать на базе самописных протоколов, хэндшейк которых нельзя эмулировать. :)

[juan-gandhi.livejournal.com]

Самописные обычно дырявы.

[jahr2.livejournal.com]

Странная какая-то статья. Чего этот человек хочет после установки какого-то левого сертификата в качестве доверенного? После этого шага понятно уже,что шифрования нет и куда-то там лазить и в чем-то удостоверяться дополнительно уже смысла нет. Надо было впн ставить, хотя бы в виде Fri-gate, и не было бы никаких проблем.

А так-то в России провайдеры уже давно балуются MITM и подменой сертификатов: требования по блокировкам выполнять нужно, а если заблокирован какой-то урл с https, то единственной альтернативой подмене сертификата будет блокировка всего сайта целиком. Мой провайдер начал подмену сертификатов использовать года два назад, если память не изменяет, я сначала онемел от такой наглости, но потом забил, сам я впн использую, исключений безопасности не добавляю на автомате не читая сообщений, а остальным все равно не смогу доходчиво объяснить, почему проблема серьезна, так что остается дождаться, пока роскомпозор заблокирует наконец что типа блога Тиньков-банка или чего-то подобного, и сообразительные кардеры толпой побегут устраиваться на работу в разные интернет-провайдеры, может, большой скандал без лишних слов проиллюстрирует суть проблемы.)

[dennisgorelik]

> Мол, не может зарегистрировать сертификат в системе.

Зачем он хочет зарегистрировать сертификат в системе?

[jahr2.livejournal.com]

Ну, скорее, нужно использовать протоколы без участия третьей доверенной стороны типа центра выдачи сертификатов.) А при соблюдении этого условия пусть уже эмулируют хендшейк сколько угодно.)

[juan-gandhi.livejournal.com]

Ну да, конечно.
Тот же SAML годился бы, если бы...

[yatur.livejournal.com]

Надо. Проблема в том, что люди не знают толком, что такое сертификат. Для них вся эта дребедень - одинаковый двоичный мусор.

[yatur.livejournal.com]

Не совсем понимаю, как SAML можно приспособить для общения с Гуглом или Амазоном. Он же для связи Service Providers и Identity Providers. Кто из нас с Гуглом будет identity provider?

Кроме того, для безопасного SAMLя все равно нужно знать сертификат партнера. Если я получаю амазоновский сертификат на дискетке флешке в офисе Амазона, то это одно. А если по Интернету - откуда я знаю, Амазон мне его прислал или товарищ майор? Т.е., задача сводится к предыдущей.

[yatur.livejournal.com]

> Защищённые продукты нужно писать на базе самописных протоколов

Судя по смайлику, это все-таки шутка. Я надеюсь.

> хэндшейк которых нельзя эмулировать. :)

Родина прикажет - сами все заэмулируете как миленькие.

[brumka.livejournal.com]

Ага, особенно про самописные протоколы, которые не открывают кода / деталей для независимой проверки.

[sassa-nf.livejournal.com]

а толку? все равно ведь соединение будет шифровано ФСБшным ключом

[yatur.livejournal.com]

Вы плохо знаете Родину. Я серьезно.

Если это отечественные протоколы - придется открыть код. Если зарубежные - придется переписать на отечественные или лишиться лицензии/заплатить штраф/сесть в тюрьму. Впрочем, американская Родина при необходимости поступает точно так же.

[sassa-nf.livejournal.com]

вообще-то существуют другие решения, хотя SAML тут, действительно, ни при чем.

X.509 является одной из, но не единственно возможной, масштабируемой системой установления доверия - от рута к листьям. PGP использует другую схему - web of trust, где аутентичность ключа сертифицируют твои личные знакомые. Правда, что там с серверами делать - не очень понятно.

[sassa-nf.livejournal.com]

у впн точно та же уязвимость: либо ставите сертификат, либо нет доступа.

[juan-gandhi.livejournal.com]

Да то-то и оно, что для аутентикации годится, а дальше все.

[dennisgorelik]

Как он решил, что ему надо регистрировать сертификат в системе?

[yatur.livejournal.com]

Я не знаю. Думаю, прочитал документ о порядке регистрации приложений партнеров в нашей системе. Сертификат нужен для пресловутого SAMLя. Партнеры вместо собственно сертификата прислали ему certificate request. И присылающие, и принимающие плохо понимали, что делают.

[huzhepidarasa.livejournal.com]

Так и в https никакой такой третьей доверенной стороны не предусмотрено. Что производитель браузера решил, то у вас в корневых сертификатах и лежит, для вашего удобства. Но если хотите, можете все предустановленные сертификаты повыкидывать и вставить свой собственный, вот вам и будет протокол без третьей стороны.

[sergey_cheban]

Это уже детали, принципиально дело не меняющие. Я про то, что в России параллельно развиваются несколько конкурирующих процессов, и "закручивание гаек" - только один из них.

[huzhepidarasa.livejournal.com]

Американская родина ограничивает экспорт криптографии, а русская — импорт.

Источник: работал в фирме, поставлявшей криптографию.