Виктор "Витус" Вагнер (vitus_wagner) wrote,
Виктор "Витус" Вагнер
vitus_wagner

Categories:

Зачем вам подорожная, хамы? Вы же неграмотны!

Спросил дон Румата Эсторский у остановивших его на дороге серых штурмовиков.

И правда, зачем неграмотному проверяющему письменный документ? Он же не сможет ни сопоставить список особых примет со стоящим перед ним человеком, ни убедиться что подписан документ тем, кто имеет право такие документы подписывать. Конечно, требуется чтобы у проверямого был хоть какой казеный документ. Герой "Золоченых лбов" Шергина в этой ситуации "квитанцию старую показыват, а они неграмотны, думают диплом".

Так вот распространившиеся нынче по интернету вопли насчет некриптованного траффика во внутренней сети гугля и прочие попытки совать SSL куда ни попадя, вызывают у меня аналогичное ощущение. "Зачем вам SSL, ламеры, если вы неграмотны в области PKI?"

Для того чтобы читать ваш SSL-траффик АНБ совершенно не нужен доступ во внутреннюю сеть Гугля. Конечно, иметь доступ туда им удобно. Но непринципиально. Достаточно иметь контроль над Verisign.

Приходит агент АНБ в Verisign и приносит постановление секретного суда с требованием с целью прослушки электронной почты страшного-террориста Будь-Он-Не-Ладен выдать АНБ сертификат X.509 на домен google.com (на публичный ключ, секретную часть которого само АНБ и сгенерировало). Что не выдадут? Выдадут, куда денутся. Я подозреваю, что и без судебного постановления выдадут, но это уже конспирология.

Главное, установив этот сертификат на любом подконтрольном роутере между вами и гуглем, АНБ может успешно выдать себя за гугль, расшифровывать ваш запрос, а потом передавать его в настоящий гугль уже от своего имени. Получать ответ, расшифровывать его и после этого передавать вам зашифровав на ключах "поддельной" сессии.

И ваш браузер этому сертификату поверит. Ведь сертификат выдан удостоверяющим центром, который у браузера в доверенные прописан.
Ну и что, что сертификаты гугль покупает у GeoTrust, а не у Verisign. Если ваш траффик почему-либо решит почитать китайская разведка, и у них есть контроль над каким-то роутером между вами и гуглем, они запросто подсунут вам сертифмкат, выданный China Network Information Center. И браузер его молча проглотит.

Я видел только один браузер, который при установлении SSL-соединения сообщает пользователю, каким именно удостоверяющим центром удостоверена подлинность сервера. Это Microb в Maemo 5.

Эта технология давным давно используется во всяких корпоративных файрволлах. В корпоративном домене адмнистратор запросто может при помощи доменных политик включить в список доверенных свой собственный сертификат УЦ. И пропускать весь ваш https-траффик через DLP систему, антивирус или что угодно, генерируя свои сертификаты на любое доменное имя на лету. Конечно, корпоративная система скорее всего обломается на сайте, использующем клиентский сертификат. Потому что сервер-то которому вы предъявляете клиентский сертификат не под контролем вашего корпоративного сисадмина. Но от АНБ не спасет даже это.

Вообще в современном интернете самоподписанные сертификаты обеспечивают большую безопасность, чем честно купленные у коммерческих CA. Потому что браузер предупредит о ЛЮБОМ изменении самоподписанного сертификата, но молча сожрет смену сертификата с подписью доверенного УЦ, и даже замену сертификата с подписью одного УЦ на сертификат с подписью другого УЦ, потому что валидные сертификаты он не кэширует.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/913732.html. Please comment there using OpenID. Now there are comment count unavailable comments
Tags: компьютерная безопасность
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 47 comments