Государственный провайдер Казахтелеком, в связи с нововведениями закона Республики Казахстан «О связи», намерен с 1 января 2016 года прослушивать весь зашифрованный TLS-трафик, подменяя сертификаты сайтов национальным сертификатом безопасности, выпущенным Комитетом связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан.Пруф: http://telecom.kz/news/view/18729Копипаста из этого треда: https://2ch.hk/b/res/108821323.html https://arhivach.org/thread/126858/
Чтобы пользователи не пугались сообщений о подмене сертификата, АО «Казахтелеком» намерен чуть позже в декабре выпустить подробную пошаговую инструкцию по добавлению его в ключницы в мобильные телефоны и планшеты на базе iOS и Android, персональные компьютеры и ноутбуки на базе Windows и MacOS, на сайте www.telecom.kz
Согласно Закону операторы связи обязаны осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан.Национальный сертификат безопасности обеспечит защиту казахстанских пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет.По словам Управляющего директора по инновациям АО «Казахтелеком» Нурлана Мейрманова, пользователям сети Интернет необходимо установить национальный сертификат безопасности, который будет доступен через Интернет-ресурсы АО «Казахтелеком». «Пользователю необходимо зайти на сайт www.telecom.kz и установить на своих устройствах выхода в сеть Интернет данный сертификат, следуя пошаговой инструкции по установке» — подчеркнул Н. Мейрманов.
Пост на Geektimes: http://habrahabr.ru/post/272207/
Что, даже тут всем похуй?
>>12962Тут 3.5 анона. Чего ты хочешь? Ещё и в ночь перед четвергом.
>>12963> Ещё и в ночь перед четвергомВ ночи перед четвергом есть что-то особенное?
>>12964Для меня есть, в среду хлыст начальства бьёт слишком сильно.
>>12962Тут насрали не меньше чем на хабре http://www.opennet.ru/opennews/art.shtml?num=43442
>>12966Интересный у тебя хабр
>>12958 (OP)Охуеть. Это ведь, получается, VPN тоже уязвимым становится?
>>12969бамп
>>12969Ну не факт, смотря насколько крутой у них DPI. Я думаю не настолько
>>12958 (OP)Каким образом они собираются заставлять устанавливать сертификат то?
>>12974Уголовной ответственностью и показательной охотой на ведьм, например?Юридические лица точно прижмут на раз плюнуть.
>>12974Никак. Можешь не ставить и наслаждаться предупреждением браузера на каждой странице.
>>12980>и наслаждаться предупреждением браузера на каждой страницеИ нажимать «Я принимаю» и всё равно отдавать свой трафик. Элементарщина же, вот так и заставят.Меня вот эта часть больше интересует:>осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан>>пропуск трафика с использованием протоколов, поддерживающих шифрование>за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан
А вы ещё спрашиваете, почему на ксакепе, хабре и рутрекере не было/нет https. Вот именно поэтому, чтобы спецслужбам было удьбнее. На ксакепе в комментах даже были шуточки про паяльник в жопе админа за https.
https://2ch.hk/po/res/12244157.html
>>12995Я думал, просто потому что у них руки из жопы.
Были бы меш-сети, была бы швабодка и романтика. прятать роутеры, бегать от властей, дергать Наташку за косичку..
https://twitter.com/torproject/status/672247798054690817
>>13058Вот это поворот.Спустя 2 года, авторы TOR узнали о блокировке на территории РК, вангую они про существование Казахстана узнали только на этой неделе.
>>12962Нам похуй на чурок.
>>13008> у денискина может и из жопы, но там достаточно других умных голов чтоб это сделать, но не делают, и не собираються, а плюс еще и прогибаються раком под систему и удаляю топики и комментарии затрагивающие темы где прямо или косвенно переплитаеться политика и технология, т.е. темы не оффтоповые но трут их быстро, а часто и дают бан тому кто их публикует
Ну бля, vps в мурике и шифрование на уровне локального прокси, которое обычный пакет упаковывает в простейший http с зашифрованным base64 на борту. Очём они там блять думают?
>>13749Как ты впс поднимешь, если весь шифрованный траффик будет прослушиваться?
>>13808http://www.youtube.com/watch?v=vFjq9pID4-E
>>13836лол. Dh уязвим перед mitm. учи крипту.
>>13808Того времени, пока он пассивно слушается, мне хватит, чтобы настроить шифрование с PFS и проверкой подписи.
>>13958> Dh уязвим перед mitmНу раз такой питух то пруфай!На видео как раз и показан mitm!
>>13808>>13958MQVhttp://habrahabr.ru/post/100950/
> Согласно Закону операторы связи обязаны > осуществлять пропуск трафика с> использованием протоколов,> поддерживающих шифрование, с> применением сертификата безопасности,> за исключением трафика, шифрованного> средствами криптографической защиты> информации на территории Республики> Казахстан.Вообще-то выглядит так, что они собираются не пропускать зашифрованный в Казахстане трафик. Из и в Казахстан...(?) Подписанный с использованием того самого сертификата (?).То есть по тексту новости похоже, что они собираются применять этот сертификат для защиты каких-то внутренних ресурсов. То есть внутренние ресурсы будут подписываться их сертификатом.Новость кстати что-то удалили.
>>13973Если подменяют сертификат, то это уже активное прослушивание.
>>13977Спасибо, не знал. Но тут не поможет.1 > Разумеется, Бобу известен открытый ключ Алисы, а той в свою очередь известен открытый ключ Боба.2 "не нравится mitm - будешь вообще без доступа к серверам по шифрованным протоколам сидеть"
>>13977http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.45.2228