Импортозамещённый SSL

[rpy3uH]

https://geektimes.ru/post/292519/

Начнём с того, что в тексте статьи в первом абзаце уже бред пошёл:

Цитата:

Российские власти предпринимают меры, чтобы вылечить «сертификатозависимость» от западных стран — и внедряют собственную систему шифрования трафика HTTPS.

А потом уже идёт речь про "российский удостоверяющий центр (УЦ) для выдачи SSL-сертификатов". Никакого собственного шифрования нет, есть только российский корневой сертификат.

Далее, все орут, что всё конец и мы все умрём. Но на самом деле формально ничего не меняется. Архитектурно защита не страдает. HTTPS-траффик всё также будет защищён и злоумышленник всё равно не сможет вмешаться в шифрованный траффик. Архитектурно это также НЕ означает, что ФСБ смогут расшифровывать любой SSL-траффик, ибо чтобы расшифровать SSL-траффик надо владеть приватным ключом сертификата целевого сайта. Владение приватным ключом корневого серта ничего не даёт и никак не помогает в расшифровывании траффика. Головой думайте, а не тем местом которыми думают авторы статей на хабре.

С другой стороны, владея нужными инструментами на уровне провайдера, можно реализовать вмешательство НА ЛЕТУ: прямо во время защищённого коннекта сгенерить поддельный серт для сайта. Он будет зелёный в браузере, так как импортозамещённый серт есть в списке доверенных. Но это маловероятно, ибо какой дурак будет распространять приватный ключ корневого сертификата по провайдерам?

Вдобавок можно реализовать административными методами так, чтобы те, кто получают подпись от импортозамещённого SSL-провайдера, были обязаны предоставить свой приватный ключ в ФСБ. Такой способ представляется мне наиболее вероятным: в этом случае архитектурно и в плане безопасности ничего не меняется. Всё реализуется чисто административно.

[Alar]

Я отмечу что не читаю подобные статьи по двум причинам, либо я ничего не понимаю в этой теме, и, потому мне не интересно, либо я что-то понимаю в теме и каждая статья оказывается бредом повышенной глупости, потому сайты типа хабра и вот подобного я избегаю.

Читать можно мануалы от разработчиков технологий, всё остальное вредно для мировосприятия ))

Про безопасность и сертификаты - какой разговор может быть о безопасности на виндовс?
используете виндовс - всё разговор закончен, безопасности нет никакой ) хоть обшифруйтесь до затертых в нули секторов на жёстком диске.

Цитата:

реализуется чисто административно.

т.е. обычные методы шпионажа реализованные в виде подслушивавания подсматривания за объектом слежки )))

[rpy3uH]

Цитата:

Сообщение от Alar

Про безопасность и сертификаты - какой разговор может быть о безопасности на виндовс?

Да нормально там всё.

На линуксе в файрфоксе и хроме у тебя тоже будет стоять импортозамещённый серт

Цитата:

Сообщение от Alar

потому сайты типа хабра и вот подобного я избегаю.

Вот ссылка не на хабр: http://www.securitylab.ru/news/488158.php

[Alar]

rpy3uH, ну создадут сертификат и что дальше? обяжут его использовать бюджетников, как буд-то что-то в их жизни изменится.

Шифрование надо реализовывать не так. нужны не сертификаты, а шифровальщики ))
сам зашифровал сам зашифровал.

Всем понятно что надо начинать с корпоративного, если хотите, отечественного браузера.

А как говорили деды - клиент-серверной технологии.
свой сервер, свой клиент, и привет.
и без всяких сертификатов, никогда не расшифруешь что там за данные прошли.
естественно, ставить на виндовс этот клиент сервер - опять свести к бесполезности все работы, несмотря на то что ты считаешь

Цитата:

Да нормально там всё.

Так советник президента и около того команда, которые генерируют весь этот бред свои коины хочет запустить, что еще можно говорить о их сознании? там мысли только про бабки и попил бюджета, других не рождается. Бюрократия порождает бюрократию.

[Pavia]

Цитата:

Сообщение от rpy3uH

Никакого собственного шифрования нет, есть только российский корневой сертификат.

Вроде как недавно GOST одобрили как один из методов шифрования в RFC.
Но к сертификатам это не имеет отношение.

Цитата:

Сообщение от rpy3uH

что ФСБ смогут расшифровывать любой SSL-траффик, ибо чтобы расшифровать SSL-траффик надо владеть приватным ключом сертификата целевого сайта

Не надо. SSL расшифровывается полным перехватом трафика. Там же раз в ~ 10 минут предпосылка ключей. Но вы верно заметили так замораживаться некто не будет. Разве что АНБ что-бы перехватить иностранный трафик.
Но вы верно заметили, что гораздо проще административно.

Цитата:

Сообщение от Alar

Читать можно мануалы от разработчиков технологий, всё остальное вредно для мировосприятия ))

Согласен. Так как статья бред. Лучше бы они написали когда они планируют встроить свои сертификаты в ОС и в баузеры.

Цитата:

Сообщение от Alar

обяжут его использовать бюджетников, как буд-то что-то в их жизни изменится.

Если бы вы читали Хабр. То могли бы видеть одно качественное исследование SSL. Проблема с отзывом сертификатов. Сейчас оно очень медленно и должно происходить оперативно раз в час. А у нас как это происходит? В лучшем случае будут ждать пока выходные закончатся и Иванов выйдет на работу.

Цитата:

Сообщение от Alar

ставить на виндовс этот клиент сервер - опять свести к бесполезности все работы, несмотря на то что ты считаешь

Я бы на Линукс поставил, там вроде нет уязвимостей у хранилища ключей. А в виндах были. Но правда они низкие не опасные.
Так что на виндах можно жить.

[rpy3uH]

Цитата:

Сообщение от Alar

А как говорили деды - клиент-серверной технологии.
свой сервер, свой клиент, и привет.
и без всяких сертификатов, никогда не расшифруешь что там за данные прошли.
естественно, ставить на виндовс этот клиент сервер - опять свести к бесполезности все работы, несмотря на то что ты считаешь

Неприемлемое и неюзабельное решение. Это работать не будет.

Цитата:

Сообщение от Alar

Так советник президента и около того команда, которые генерируют весь этот бред свои коины хочет запустить, что еще можно говорить о их сознании? там мысли только про бабки и попил бюджета, других не рождается. Бюрократия порождает бюрократию.

Ещё неизвестно, что они там собираются на самом деле

Цитата:

Сообщение от Pavia

Не надо. SSL расшифровывается полным перехватом трафика. Там же раз в ~ 10 минут предпосылка ключей. .

Без приватного ключа серта ты ничего не увидишь.

Цитата:

Сообщение от Pavia

Проблема с отзывом сертификатов. .

Я кстати, так и не понял, как чекаются подписи драйверов, если у системы нет доступа в интернет. Получается, что чекается только валидность подписи и принадлежность к корневому. А если серт отозвали система так и не узнает и будет загружать драйвер как ни в чём не бывало

[Alar]

Цитата:

Сообщение от rpy3uH

Неприемлемое и неюзабельное решение. Это работать не будет.

а потому и не работает, так как слишком сложно, а значит дорого, а цель не безопасность, а попил бюджета.
Тут же еще вопросы к уязвимостям железа начнуться, и опять изобретать свои чипы, на что денег нет, а даже если есть, всё попилят ничего не изобретя.

И есть другой вопрос? зачем чиновникам какой-то сертификат, если они и так могут договориться, что вот этот сервер - он проверенный, туда ходить можно и больше никуда, например на уровне фаервола настроить доступы.
Чтобы исходящий и входящий траффик по одному ip например ходил.

а смотреть видео контент и фото котиков - только на личных ноутбуках в отдельном помещении ))

Смысл именно сертификатов, это в том что подсматривать могут только профессиональные инфраструктуро образующие игроки рынка, вот и всё. тут не нужна абсолютная безопасность, потому оно так и работает дыряво.

А если все что происходит внутри страны будет закрыто от подсматривания, нам правительство развалят вплоть до военного вмешательства, только для того чтобы подсмотреть, так что пусть подглядывают и спят спокойно ))

Хотя военка должна разрабатываться на другом уровне безопасности от чипов до шифрованных протоколов обмена информацией, хотя и это подсмотрят, что не страшно, лишь бы не внедрили ничего )

[rpy3uH]

Цитата:

Сообщение от Alar

И есть другой вопрос? зачем чиновникам какой-то сертификат, если они и так могут договориться, что вот этот сервер - он проверенный, туда ходить можно и больше никуда, например на уровне фаервола настроить доступы.
Чтобы исходящий и входящий траффик по одному ip например ходил.

Не масштабируемо, не надёжно и не юзабельно

Цитата:

Сообщение от Alar

потому оно так и работает дыряво.

SSL/TLS самое надёжное из всего, что было придумано для протоколов транспортного уровня и было принятно как мировой стандарт. Обеспечивает необходимый уровень защиты.

[Alar]

Цитата:

Сообщение от rpy3uH

SSL/TLS самое надёжное из всего, что было придумано для протоколов транспортного уровня и было принятно как мировой стандарт. Обеспечивает необходимый уровень защиты.

ну вот, копировать надо лучшее ))

[Arigato]

Цитата:

Сообщение от Alar

Шифрование надо реализовывать не так. нужны не сертификаты, а шифровальщики ))
сам зашифровал сам зашифровал.

Да нам бы на programmersforum для начала реализовать хотя бы обычный SSL
Ладно когда еще из дома выходишь, трафик через провайдера гоняется. Но зачастую приходится выходить из локальных сетей, где трафик через местных админов идет. И что этим админам в голову взбредет - не известно. А трафик совершенно открытый, бери да читай. Хорошо хоть пароль при авторизации движок форума хеширует. Хотя что мешает админу сразу воспользоваться хешем, не зная самого пароля или куками с кодом сессии?