Władze mogą podsłuchiwać szyfrowaną komunikację SSL!
Okazuje się, że w wyniku ataku ochrzczonego przez swych pomysłodawców mianem compelled certificate creation attack, służby są w stanie przechwycić dowolną komunikacją zabezpieczoną za pomocą SSL. Powstały już pierwsze urządzenia pomocne w tego typu działalności.
malovvitcz z- #
- #
- #
- #
- #
- #
- #
- 26
Komentarze (26)
najlepsze
ten kto ma zrozumieć to zrozumie bez dopisywania tego w znaczniku
za niedługo zaczniecie pisać... Lech Kaczyński wielkim prezydentem był
Tak więc o ile sfałszowany cert. nie jest wystawiony przez identycznego CA co oryginał to przynajmniej dost. powiadomienie, że coś może być nie tak... oczywiście rozszerzenie nie poda nam przyczyn dla których certyfikat ulega zmianie więc pozostaje to w gesti użytkownika.
A przynajmniej tyle mówi mi teoria w praktyce nie miałem okazji zweryfikować jeszcze nigdy...
Inna sprawa, że atak jest trudny do wykrycia, bo jeżeli współpracują z konkretnym ISP danej ofiary to mogą tylko pod nią przygotowywać atak. Ale na komputerze takiej
Czyżbyśmy byli skazani na sieci TOR chcąc uzyskać anonimowość i/lub bezpieczeństwo?
Komentarz usunięty przez moderatora
;]
Teoretycznie możesz się spotkać twarzą w twarz i przekazać klucz, tylko jakie to ma znaczenie praktyczne?
*klucz= klucz, opis algorytmu szyfrowania, kilka giga losowych bajtów - cokolwiek
Przecież nie mówimy o masowej komunikacji między 10000 węzłów, nie mówimy też o prezydencie, a o zwykłym człowieku, który nie jest śledzony 24h/d.
Przykład 1: masz koleżankę w USA, chcecie do siebie wysyłać poufnie swoje zdjęcia nago. Dla uproszczenia wybieracie szyfrowanie symetryczne, generujesz klucz i robisz z nim najgłupszą rzecz, jaką tylko można: wrzucasz na Rapidshara, aby sobie go ściągnęła, w dodatku potem go nie usuwasz. Czy taka sytuacja będzie jakimś
Oczywiście, dane na drodze klient-MITM są szyfrowane jednym kluczem, a na drodze MITM-serwer drugim. MITM musi komunikację deszyfrować i szyfrować z powrotem - w obu kierunkach.
Cała sztuczka polega na tym że DNS-y pozostają nie zmienione a jedynie komunikacja pomiędzy użytkownikiem a "oryginalnym" serwerem zostaje podsłuchana - mimo szyfrowania.
Urządzenia FortiGate również potrafią podmieniać certyfikaty (co już doświadczyłem na własnej skórze).