Это копия, сохраненная 10 октября 2016 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
http://www.kommersant.ru/doc/2916742
Администрация президента обсуждает, как дополнительно обезопасить передачу данных в интернете в случае конфликта с иностранными партнерами. Как стало известно "Ъ", в России может быть создан государственный удостоверяющий центр (УЦ) для выдачи SSL-сертификатов, которые используют интернет-магазины, платежные системы и такие государственные порталы, как сайт Федеральной налоговой службы (ФНС) и gosuslugi.ru. Чтобы сделать использование SSL-сертификатов этого УЦ массовым, основных производителей операционных систем и браузеров — Microsoft, Google, "Яндекс" и других — могут обязать предустановить в свои продукты специальный корневой сертификат.
Подробнее: http://www.kommersant.ru/doc/2916742
Не статья, а один лулз.
>и компаний--разработчиков отечественных браузеров — "Яндекс.Браузер" и "Спутник"
>Для обеспечения безопасности и защиты от сбора информации
>защиты от сбора информации
>необходимо создать российский УЦ
>пропагандирует компания "Крипто-Про", которую называют "тесно связанной с ФСБ"
>около трети штата сотрудников "Крипто-Про" действительно являются бывшими сотрудниками ФСБ
>стоимость <...> составит 200-300 млн руб. и на это потребуется четыре-пять лет
>предустановка российского сертификата будет решаться <...> если они не пойдут навстречу, "мерами законодательного регулирования"
>в среднем объем продажи SSL-сертификатов в России ежегодно составляет около 6,2 млрд руб.
Можно было и этой одной строкой всю статью заменить.
Было
>Стоимость SSL-сертификата в зависимости от его типа и выдавшего УЦ на сайте Ru-Center варьируется от 4,6 тыс. до 95,5 тыс. руб. в год.
Станет
>Стоимость SSL-сертификата зависит от наших аппетитов.
С другой стороны, это очевидный шаг. Зато сразу будет видно, кого хотят послушать. Только подозреваю, что на этом не закончится. Могут сделать сертификат основным для ВСЕХ сайтов: шифрованный трафик, зашифрованный российским сертификатом российскими алгоритмами шифрования (за использование которых ещё могут и обязать платить) идёт до провайдера, расшифровывается, анализируется, зашифровывается сертификатом запрошенного сайта - классическая mitm-атака, узнать о которой будет невозможно, ведь сертификат будет установлен как доверенный.
>>17923
>>17925
>>17926
>>17932
>>17936
>>17938
>>17941
>>17945
Ну для начала:
>На государственном портале gosuslugi.ru используется SSL-сертификат, выданный УЦ американской компании Comodo, а на портале ФНС nalog.ru — SSL-сертификат от компании Thawte, принадлежащей Symantec. Если они по какой-то причине отзовут эти сертификаты, это может поставить под угрозу защищенную передачу данных в рунете",— объясняет собеседник "Ъ", близкий к администрации президента (АП).
Судя по всему о mitm речи не идёт. Сертификаты могут вставить, но привязать к белому списку госдоменов, как сделали (сделали ли???) с cnnic.
Почему бы и нет? Они же пишут в открытую "хотим запретить криптовалюту", "хотим запретить нал", "хотим запретить все валюты кроме рубля", "хотим знать перемещения каждого гражданина", "хотим бекдоры в шифровании", "хотим запрещать информацию" и "хотим чтобы вы покупале в рунете, так больше доход государству и следить удобнее".
Не паникуй. Пока насильно на госсертификаты никого не пересаживают. Но в Казахстане ситуация интереснее: https://roem.ru/02-12-2015/214136/kz/
Если хочешь надежно обмениваться с кем-то информацией, обменяйся в оффлайне ключами (например, ВМ-адресами). Можно, например, написать на бумажке и показать по скайпу на видео - это невозможно подделать в реалтайме на сегодняшний день. Через какое-то время останется только один вариант: личная встреча.
после просмотра ведущего захотелось станцевать 7 40
Де-факто видеосвязь можно считать надежной в том смысле, что подменить ключ, написанный на бумажке, либо изображение говорящего с тобой человека, на данный момент невозможно.
>предложи альтернативу PKI
Невозможно имхо. В условиях тотального MITM ты не можешь доверять ничему, что пришло к тебе по формализованным протоколам. Единственный вариант - заранее согласованный по безопасному каналу ключ.
тока майор тоже увидит твой видос и по id ключей будет знать кто с кем калякает... Остаётся дело за горячим малым на 40вт
Кто с кем, но не кто о чем. Я это привел только в качестве одного из онлайн-вариантов. Иначе только "случайная" встреча во вьетнамских джунглях, передача кода на бумажке, после прочтения съесть (и тут другой вопрос - как об этой встрече договориться?).
Т.е. от интернета как первичной среды придется отказаться. В интернете можно установить связь в каком-нибудь обскурном даркнете уже после того, как ты познакомился ИРЛ с нужным человеком и обменялся с ним ключами.
Ещё как вариант: при личной встрече меняетесь ключами, а общаетесь уже шифрованными месагами через QR коды, наклеенные на остановках
Ну да. Тор и ВМ тоже могут запретить. Мне вообще не очень понятно, почему они мнутся: оставить один голый HTTP безо всяких шифров, за шифрование и стег прописать уголовку, и всего делов. Быдло даже не заметит ничего, борцуны покукарекают и с окейфейсами будут дальше сидеть вкудахте и на харкаче без шифрования.
если закрыть аварийный спускной клапан, то котёл может бахнуть и мало не покажется. Ибо обратной связи то уже не будет хотя её и сейчас уже нет
Хватит фригейта.
пока есть внешка - да
Прокатись на нашей карусели
Главное публичный бИзАпасно передать.
>пользуйся и радуйся, что хоть такая есть
Странный подход. Пользоваться заведомо дырявой системой, потому что лучше нет.
Я понимаю, что свои задачи ССЛ имеет (защититься от васяна666, снифающего пароли от кудахта), но нужно четко понимать, что господин полицейский при желании сможет все увидеть.
Предпринять действия по блокировке анонимайзеров и криптографических средств, применяемых для обхода блокировок, технически возможно, но, по моему мнению, абсолютно бессмысленно. С чем это связано? Анонимайзеры, которые используются для защиты информации при оказании коммерческой услуги, - это вполне легальные программы. И таких десятки. Мы сейчас хотим установить контакт с их создателями. И вместе с правоохранительными органами хотим сделать им предложение. Если они работают в легальном секторе экономики, зарабатывают деньги, шифруют и защищают таким образом коммерческую информацию (например, для банков) - почему бы им самим не фильтровать свой трафик, удаляя из него запрещенную информацию?
Я подразумеваю, что государства крепко держат центры сертификации за законы, и имеют свободный доступ к корневым сертификатам, что позволяет им генерировать налету поддельные сертификаты для любого сайта, неотличимые от настоящих. А это значит, что система не защищает от МИТМ с их стороны, а защищает только от васянов.
Это дыра в безопасности, т.к. тебе внушают мысль, что ты можешь доверять центрам сертификации, при том что никаких предпосылок к этому нет.
>Безпруфный кукарек.
Бгг, каких пруфов ты ждешь? Видео на ютабе, где Путин показывает, как он подделывает сертификат харкача и смотрит, какие вебмки смотрит/постит Сычев? Головой подумай. Прочитай вдумчиво эту статью: https://en.wikipedia.org/wiki/Lavabit
Проверочный вопрос: за что закрыт сервис?
Теперь зайди на гугл и посмотри, кем выдан его сертификат (GeoTrust).
Теперь посмотри, в какой стране зарегистрирована компания GeoTrust (USA).
Вопрос на усвоение материала: почему GeoTrust еще не закрыт?
анон всё верно говорит. Не спорь,сука
Допустим, корневой сертификат зареген в США. Им подписаны сертификаты от гугля и прочих твиттеров. Правительство вдруг захотело прослушать соединение от васяна до gmail'а, тк у них есть ордер на прослушку, тк васян является подозреваемым по пиздец криминальному делу. Владелец корневого сертификата не может ничего возразить и создает левый сертифкат для гмэйла, подписанный своим корневым. ФБР устраивает MITM между васяном и гмэйлов и слушает траф.
Теоретически возможно? возможно... Значит это уязвимость...
Тк надо исходить из той мысли, что если возможно, то оно используется
Технология шифрования должна быть такой, чтобы не было никаких если. Чтобы шифровалось одинаково для всех, иначе это не шифрование, а хуита
анон вышел писал, что можно сверять отпечаток через видеоконференцию или что-то подобное
>Никаких. От этого беспруфный кукарек не становится менее безпруфным.
Чувак, ты можешь воображать, что живешь в эквестрии, пока не доказано обратное, и я тебя никак разубедить в этом не смогу. Дело твое. Самое близкое к пруфу, что только может быть, я тебе предоставил. Лично я на 100% уверен, что все это используется.
http://conspiracytheory.mybb.ru/viewtopic.php?id=3478
Вот это тоже жопа полная. Технологии распознавания речи достигли невероятных успехов в последние годы. 1984 с микрофонами в каждом доме и даже в лесу все ближе. Причем с микрофонами постоянно активными и записывающими ВСЕ в виде текста, по которому можно делать поиск, триггеры и т.д.
Весомые доводы. Однако это уже вопрос доверия CA, а не ssl, который работает вполне сносно, а именно защищает от Васянов, решивших поиграть в хакеров.
>Де-факто видеосвязь можно считать надежной в том смысле, что подменить ключ, написанный на бумажке, либо изображение говорящего с тобой человека, на данный момент невозможно.
Возможно. Причём даже возможно автоматизированно, было бы желание. Глубокие свёрточные нейросети творят чудеса.
>>17998
>за шифрование и стег прописать уголовку
за шифрование возможно
а за стег - хуй докажешь, что есть стег, да и не нужно им это: через стегоканал торрент не скачаешь, даже книгу электронную хуй, так что копирастам на стег похуй.
>>17999
Хуита. Каково оно в 2003м?
>>18014
ну скажи мне, какой из адресов blahblahxyi.onion и blahblahpizda.onion настоящий.
А ещё пользователей меша можно пеленговать и сажать.
>>18042
>Мы сейчас хотим установить контакт с их создателями. И вместе с правоохранительными органами хотим сделать им предложение. Если они работают в легальном секторе экономики, зарабатывают деньги, шифруют и защищают таким образом коммерческую информацию (например, для банков) - почему бы им самим не фильтровать свой трафик, удаляя из него запрещенную информацию?
Имитация диалога. Пошлют их на хуй, после чего анонимайзеры будут запрещены.
>>18049
>государства крепко держат центры сертификации за законы
покажи мне эти законы
>>18053
>со стороны имеющего доступ к управлению CA
... и к каналу
>>18084
Начнём с того, что не ssl, а tls...
ssl дыряв давно
>>18076
Ну изобрети такую, которая не будет опираться на всякие предположения. Даже information-theoretic cryptography опирается на decisional diffie-hellman assumption.
>>18096
Поэтому у меня телевизор без микрофона.
>>18098
Да сейчас все с телефонами ходят, а будут - со смерт-очками. Даже не нужно тратить деньги на микрофоны, достаточно договориться (или заставить) с производителями.
>Де-факто видеосвязь можно считать надежной в том смысле, что подменить ключ, написанный на бумажке, либо изображение говорящего с тобой человека, на данный момент невозможно.
Возможно. Причём даже возможно автоматизированно, было бы желание. Глубокие свёрточные нейросети творят чудеса.
>>17998
>за шифрование и стег прописать уголовку
за шифрование возможно
а за стег - хуй докажешь, что есть стег, да и не нужно им это: через стегоканал торрент не скачаешь, даже книгу электронную хуй, так что копирастам на стег похуй.
>>17999
Хуита. Каково оно в 2003м?
>>18014
ну скажи мне, какой из адресов blahblahxyi.onion и blahblahpizda.onion настоящий.
А ещё пользователей меша можно пеленговать и сажать.
>>18042
>Мы сейчас хотим установить контакт с их создателями. И вместе с правоохранительными органами хотим сделать им предложение. Если они работают в легальном секторе экономики, зарабатывают деньги, шифруют и защищают таким образом коммерческую информацию (например, для банков) - почему бы им самим не фильтровать свой трафик, удаляя из него запрещенную информацию?
Имитация диалога. Пошлют их на хуй, после чего анонимайзеры будут запрещены.
>>18049
>государства крепко держат центры сертификации за законы
покажи мне эти законы
>>18053
>со стороны имеющего доступ к управлению CA
... и к каналу
>>18084
Начнём с того, что не ssl, а tls...
ssl дыряв давно
>>18076
Ну изобрети такую, которая не будет опираться на всякие предположения. Даже information-theoretic cryptography опирается на decisional diffie-hellman assumption.
>>18096
Поэтому у меня телевизор без микрофона.
>>18098
Да сейчас все с телефонами ходят, а будут - со смерт-очками. Даже не нужно тратить деньги на микрофоны, достаточно договориться (или заставить) с производителями.
>покажи мне эти законы
Я же не юрист. См. выше по треду, как прижали лавабит в США. Просто пришли и сказали: давай ключ, или плати 5000 штрафа в сутки, пока не отдашь.
В рашке это, наверное, будет: сиди на бутылке, пока не вспомнишь пароль.
лавабит - это имейл-провайдер. CA - это CA. CA может быть обязанным выдать данные о своих клиентах, но обязывать CA предоставить главный ингридиент для MiTM - преступлению против неустановленного круга лиц - это слишком.
Гугл использует CA ОС, плюс дополнительно проверяет сертификаты своих гуглодоменов.
Спермачи соснули.
А Вася - это Вася.
>обязывать CA предоставить главный ингридиент для MiTM - преступлению против неустановленного круга лиц - это слишком
У СА тоже клиенты - вебсайты. Если какой-то из этих клиентов не выдает данные о своих пользователях, значит он сам подозрителен и уже можно обратиться к СА за его сертификатом. Спецслужбам нужен полный контроль, и они его получают, раскручивая цепочку до логического конца. То, что тебе кажется "слишком", их не волнует.
>The public key pinning header, only found on 148 out of 1,000,000 sites, is the most underutilised security based HTTP response header. There is also the report only version of the header, found on 21 sites bringing the total number of domains showing usage of PKP to 0.0183%!
Из миллиона самых популярных вебсайтов НРКР используют 148.
Это копия, сохраненная 10 октября 2016 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.