Ну что, аноны и анончики. Таки шифрование в сраной ВСЁhttp://www.kommersant.ru/doc/2916742Администрация президента обсуждает, как дополнительно обезопасить передачу данных в интернете в случае конфликта с иностранными партнерами. Как стало известно "Ъ", в России может быть создан государственный удостоверяющий центр (УЦ) для выдачи SSL-сертификатов, которые используют интернет-магазины, платежные системы и такие государственные порталы, как сайт Федеральной налоговой службы (ФНС) и gosuslugi.ru. Чтобы сделать использование SSL-сертификатов этого УЦ массовым, основных производителей операционных систем и браузеров — Microsoft, Google, "Яндекс" и других — могут обязать предустановить в свои продукты специальный корневой сертификат.Подробнее: http://www.kommersant.ru/doc/2916742
Они хотят на свои сайты вешать свои сертификаты. Ничего плохого в этом не вижу.
SSL сборище костылей и подпорок.
>>17925Какая разница смотреть напрямую на серверах или через сертификат?
>>17921 (OP)Не статья, а один лулз.>и компаний--разработчиков отечественных браузеров — "Яндекс.Браузер" и "Спутник">Для обеспечения безопасности и защиты от сбора информации>защиты от сбора информации>необходимо создать российский УЦ>пропагандирует компания "Крипто-Про", которую называют "тесно связанной с ФСБ">около трети штата сотрудников "Крипто-Про" действительно являются бывшими сотрудниками ФСБ>стоимость <...> составит 200-300 млн руб. и на это потребуется четыре-пять лет>предустановка российского сертификата будет решаться <...> если они не пойдут навстречу, "мерами законодательного регулирования">в среднем объем продажи SSL-сертификатов в России ежегодно составляет около 6,2 млрд руб.Можно было и этой одной строкой всю статью заменить.Было>Стоимость SSL-сертификата в зависимости от его типа и выдавшего УЦ на сайте Ru-Center варьируется от 4,6 тыс. до 95,5 тыс. руб. в год.Станет>Стоимость SSL-сертификата зависит от наших аппетитов.С другой стороны, это очевидный шаг. Зато сразу будет видно, кого хотят послушать. Только подозреваю, что на этом не закончится. Могут сделать сертификат основным для ВСЕХ сайтов: шифрованный трафик, зашифрованный российским сертификатом российскими алгоритмами шифрования (за использование которых ещё могут и обязать платить) идёт до провайдера, расшифровывается, анализируется, зашифровывается сертификатом запрошенного сайта - классическая mitm-атака, узнать о которой будет невозможно, ведь сертификат будет установлен как доверенный.
Ну и што? Перенесли с магистральных каналов на конечные узлы. Шило на мыло.
>>17921 (OP)>>17923>>17925>>17926>>17932>>17936>>17938>>17941>>17945Ну для начала: >На государственном портале gosuslugi.ru используется SSL-сертификат, выданный УЦ американской компании Comodo, а на портале ФНС nalog.ru — SSL-сертификат от компании Thawte, принадлежащей Symantec. Если они по какой-то причине отзовут эти сертификаты, это может поставить под угрозу защищенную передачу данных в рунете",— объясняет собеседник "Ъ", близкий к администрации президента (АП).Судя по всему о mitm речи не идёт. Сертификаты могут вставить, но привязать к белому списку госдоменов, как сделали (сделали ли???) с cnnic.
>>17959Почему бы и нет? Они же пишут в открытую "хотим запретить криптовалюту", "хотим запретить нал", "хотим запретить все валюты кроме рубля", "хотим знать перемещения каждого гражданина", "хотим бекдоры в шифровании", "хотим запрещать информацию" и "хотим чтобы вы покупале в рунете, так больше доход государству и следить удобнее".
https://www.youtube.com/watch?v=9BrWaKVSXv0
Накатываем прокси и ссым в ебало всему быдлу из госдуры. Через прокси они не смогут подменить сертификат.
Один вопрос. Связка "openvpn-VM-vps(vpn)-dedick-ssh" делает меня не волноватьсязабить хуй на эти новости?
>>17921 (OP)Не паникуй. Пока насильно на госсертификаты никого не пересаживают. Но в Казахстане ситуация интереснее: https://roem.ru/02-12-2015/214136/kz/
Вся система сертификатов SSL изначально порочная, и сделано это специально для того, чтобы государство могло при необходимости расшифровывать трафик.Если хочешь надежно обмениваться с кем-то информацией, обменяйся в оффлайне ключами (например, ВМ-адресами). Можно, например, написать на бумажке и показать по скайпу на видео - это невозможно подделать в реалтайме на сегодняшний день. Через какое-то время останется только один вариант: личная встреча.
https://2ch.hk/po/res/14049694.html
>>17962после просмотра ведущего захотелось станцевать 7 40
http://arhivach.org/thread/148087/
>>17980Де-факто видеосвязь можно считать надежной в том смысле, что подменить ключ, написанный на бумажке, либо изображение говорящего с тобой человека, на данный момент невозможно.>предложи альтернативу PKIНевозможно имхо. В условиях тотального MITM ты не можешь доверять ничему, что пришло к тебе по формализованным протоколам. Единственный вариант - заранее согласованный по безопасному каналу ключ.
>>17992тока майор тоже увидит твой видос и по id ключей будет знать кто с кем калякает... Остаётся дело за горячим малым на 40вт
>>17993Кто с кем, но не кто о чем. Я это привел только в качестве одного из онлайн-вариантов. Иначе только "случайная" встреча во вьетнамских джунглях, передача кода на бумажке, после прочтения съесть (и тут другой вопрос - как об этой встрече договориться?).Т.е. от интернета как первичной среды придется отказаться. В интернете можно установить связь в каком-нибудь обскурном даркнете уже после того, как ты познакомился ИРЛ с нужным человеком и обменялся с ним ключами.
>>17994Ещё как вариант: при личной встрече меняетесь ключами, а общаетесь уже шифрованными месагами через QR коды, наклеенные на остановках
>>17995Это отследить проще, чем сообщения по незасвеченным адресам в ВМ+Тор.
>>17996это как крайний вариант
>>17997Ну да. Тор и ВМ тоже могут запретить. Мне вообще не очень понятно, почему они мнутся: оставить один голый HTTP безо всяких шифров, за шифрование и стег прописать уголовку, и всего делов. Быдло даже не заметит ничего, борцуны покукарекают и с окейфейсами будут дальше сидеть вкудахте и на харкаче без шифрования.
>>17998если закрыть аварийный спускной клапан, то котёл может бахнуть и мало не покажется. Ибо обратной связи то уже не будет хотя её и сейчас уже нет
>>17972Хватит фригейта.
>>17972пока есть внешка - да
http://www.leonidvolkov.ru/p/117/
на-на-на-на-на-наПрокатись на нашей карусели
Есть же mesh-сети. В качестве публичного ключа юзаем штуку от хеша ipv6-адреса(ненаучно сказал) и нет никакого mitm.
>>18014?
>>18016Главное публичный бИзАпасно передать.
>>18016>пользуйся и радуйся, что хоть такая естьСтранный подход. Пользоваться заведомо дырявой системой, потому что лучше нет.Я понимаю, что свои задачи ССЛ имеет (защититься от васяна666, снифающего пароли от кудахта), но нужно четко понимать, что господин полицейский при желании сможет все увидеть.
Александр Жаров: Предпринять действия по блокировке анонимайзеров и криптографических средств, применяемых для обхода блокировок, технически возможно, но, по моему мнению, абсолютно бессмысленно. С чем это связано? Анонимайзеры, которые используются для защиты информации при оказании коммерческой услуги, - это вполне легальные программы. И таких десятки. Мы сейчас хотим установить контакт с их создателями. И вместе с правоохранительными органами хотим сделать им предложение. Если они работают в легальном секторе экономики, зарабатывают деньги, шифруют и защищают таким образом коммерческую информацию (например, для банков) - почему бы им самим не фильтровать свой трафик, удаляя из него запрещенную информацию?
>>18023Я подразумеваю, что государства крепко держат центры сертификации за законы, и имеют свободный доступ к корневым сертификатам, что позволяет им генерировать налету поддельные сертификаты для любого сайта, неотличимые от настоящих. А это значит, что система не защищает от МИТМ с их стороны, а защищает только от васянов.
https://slon.ru/posts/64090
>>18053Это дыра в безопасности, т.к. тебе внушают мысль, что ты можешь доверять центрам сертификации, при том что никаких предпосылок к этому нет.>Безпруфный кукарек.Бгг, каких пруфов ты ждешь? Видео на ютабе, где Путин показывает, как он подделывает сертификат харкача и смотрит, какие вебмки смотрит/постит Сычев? Головой подумай. Прочитай вдумчиво эту статью: https://en.wikipedia.org/wiki/LavabitПроверочный вопрос: за что закрыт сервис?Теперь зайди на гугл и посмотри, кем выдан его сертификат (GeoTrust).Теперь посмотри, в какой стране зарегистрирована компания GeoTrust (USA).Вопрос на усвоение материала: почему GeoTrust еще не закрыт?
>>18074анон всё верно говорит. Не спорь,сукаДопустим, корневой сертификат зареген в США. Им подписаны сертификаты от гугля и прочих твиттеров. Правительство вдруг захотело прослушать соединение от васяна до gmail'а, тк у них есть ордер на прослушку, тк васян является подозреваемым по пиздец криминальному делу. Владелец корневого сертификата не может ничего возразить и создает левый сертифкат для гмэйла, подписанный своим корневым. ФБР устраивает MITM между васяном и гмэйлов и слушает траф.Теоретически возможно? возможно... Значит это уязвимость...Тк надо исходить из той мысли, что если возможно, то оно используется
>>18075Технология шифрования должна быть такой, чтобы не было никаких если. Чтобы шифровалось одинаково для всех, иначе это не шифрование, а хуита
>>17980анон вышел писал, что можно сверять отпечаток через видеоконференцию или что-то подобное
>>17992 этот прав
>>18074>Никаких. От этого беспруфный кукарек не становится менее безпруфным. Чувак, ты можешь воображать, что живешь в эквестрии, пока не доказано обратное, и я тебя никак разубедить в этом не смогу. Дело твое. Самое близкое к пруфу, что только может быть, я тебе предоставил. Лично я на 100% уверен, что все это используется.
новое соглашение самсунгhttp://conspiracytheory.mybb.ru/viewtopic.php?id=3478
>>18096Вот это тоже жопа полная. Технологии распознавания речи достигли невероятных успехов в последние годы. 1984 с микрофонами в каждом доме и даже в лесу все ближе. Причем с микрофонами постоянно активными и записывающими ВСЕ в виде текста, по которому можно делать поиск, триггеры и т.д.
Т.е. это еще хуже 1984, в том посте отрывок релевантный приведен. В 1984 полиция мысли рандомно подключалась, а тут будет всегда в онлайне.
>>18056Весомые доводы. Однако это уже вопрос доверия CA, а не ssl, который работает вполне сносно, а именно защищает от Васянов, решивших поиграть в хакеров.
>>17968+15>>17979Интересно, а если Жарову предложить в качестве резервной использовать namecoin, неподконтрольный ООН и американцам и дающий ту самую независимость от центра, про которую они твердят?
>>17992>Де-факто видеосвязь можно считать надежной в том смысле, что подменить ключ, написанный на бумажке, либо изображение говорящего с тобой человека, на данный момент невозможно.Возможно. Причём даже возможно автоматизированно, было бы желание. Глубокие свёрточные нейросети творят чудеса.>>17998>за шифрование и стег прописать уголовкуза шифрование возможноа за стег - хуй докажешь, что есть стег, да и не нужно им это: через стегоканал торрент не скачаешь, даже книгу электронную хуй, так что копирастам на стег похуй.>>17999Хуита. Каково оно в 2003м?>>18014ну скажи мне, какой из адресов blahblahxyi.onion и blahblahpizda.onion настоящий.А ещё пользователей меша можно пеленговать и сажать.>>18042>Мы сейчас хотим установить контакт с их создателями. И вместе с правоохранительными органами хотим сделать им предложение. Если они работают в легальном секторе экономики, зарабатывают деньги, шифруют и защищают таким образом коммерческую информацию (например, для банков) - почему бы им самим не фильтровать свой трафик, удаляя из него запрещенную информацию? Имитация диалога. Пошлют их на хуй, после чего анонимайзеры будут запрещены.>>18049>государства крепко держат центры сертификации за законыпокажи мне эти законы>>18053>со стороны имеющего доступ к управлению CA... и к каналу>>18084Начнём с того, что не ssl, а tls...ssl дыряв давно>>18076Ну изобрети такую, которая не будет опираться на всякие предположения. Даже information-theoretic cryptography опирается на decisional diffie-hellman assumption.>>18096Поэтому у меня телевизор без микрофона.>>18098Да сейчас все с телефонами ходят, а будут - со смерт-очками. Даже не нужно тратить деньги на микрофоны, достаточно договориться (или заставить) с производителями.
>>18109>покажи мне эти законыЯ же не юрист. См. выше по треду, как прижали лавабит в США. Просто пришли и сказали: давай ключ, или плати 5000 штрафа в сутки, пока не отдашь.В рашке это, наверное, будет: сиди на бутылке, пока не вспомнишь пароль.
>>18118лавабит - это имейл-провайдер. CA - это CA. CA может быть обязанным выдать данные о своих клиентах, но обязывать CA предоставить главный ингридиент для MiTM - преступлению против неустановленного круга лиц - это слишком.
>>17925Гугл использует CA ОС, плюс дополнительно проверяет сертификаты своих гуглодоменов.Спермачи соснули.
>>18124А Вася - это Вася.>обязывать CA предоставить главный ингридиент для MiTM - преступлению против неустановленного круга лиц - это слишкомУ СА тоже клиенты - вебсайты. Если какой-то из этих клиентов не выдает данные о своих пользователях, значит он сам подозрителен и уже можно обратиться к СА за его сертификатом. Спецслужбам нужен полный контроль, и они его получают, раскручивая цепочку до логического конца. То, что тебе кажется "слишком", их не волнует.
>>17925> беспалевно проводить на них всех MITM> HPKP> беспалевно
>>18134https://scotthelme.co.uk/how-widely-used-are-security-based-http-response-headers/
>>18136в 2х словах опиши
>>18167>The public key pinning header, only found on 148 out of 1,000,000 sites, is the most underutilised security based HTTP response header. There is also the report only version of the header, found on 21 sites bringing the total number of domains showing usage of PKP to 0.0183%!Из миллиона самых популярных вебсайтов НРКР используют 148.