Во-первых, Вы, мягко говоря, преувеличиваете. И сильно. Во-вторых, этот закон тупо противоречит нормам Конституции, что как-бы не принято в правовых государствах. По крайней мере так открыто и нагло. И в-третьих, определитесь уже наконец — запад полная фигня во всём или пример для подражания? Двойные стандарты, однако...
Тем временем, к примеру, Opera реализовала в браузере VPN. Так что и Роскомнадзор со своими запрещенными сайтами, и ФСБ со своими дешифровками — только зря тратят деньги налогоплательщиков. Впрочем, с идиотов станется — могут и VPN запретить)))
Если бы не было террористов, их бы выдумали. Как удобно- доброе и заботливое ФСБ заботится о нас, читая нашу переписку за наши деньги. Скатилась слеза умиления. А так да, что-то все больше на зону похоже.ПЭЖЭ озабочен видать перспективами....
вы не дооцениваете силовиков. Во всём мире силовики не цепляются за терроризм — они его организовывают и направляют. В реальности их интересует одно — пресечь все возможности самоорганизации для противодействия правящим сатанистам.
да ... ещё идеи "дивного нового мира" Хаксли, прозрачный стеклянный мир из замятинского "Мы" с "великой операцией" в конце. ... все видимые "мировые власти" являются лишь куклами единой мировой иудо-масонской сатанинской пирамиды. ... их только одно беспокоит — как бы люди единомоментно не прозрели в результате какой-то непредвиденной флуктуации и ужаснувшись от происходящего не стали вешать властных сатанистов на столбах невзирая на последствия. Это ведь не первая попытка "глобализации" ... незря же ещё Бэкон назвал свою книгу "Новая Атлантида".
1. До ФСБ дошло, наконец, что «пакет Яровой» полностью бессмысленен. Потому что сейчас доля шифрованного трафика в рунете больше 50% и стремительно растет. А «пакет Яровой» предполагает хранение миллионов тонн этого шифрованного трафика, без возможности его расшифровать. И ищет новые пути. Это хорошо.
2. Путь, которые они предлагают, называется «государственный MiTM». MiTM = man-in-the-middle = «человек посередине» — это вид хакерской атаки, который заключается в том, что злоумышленник П встраивается в шифрованный канал между абонентами А и Б, и когда А и Б думают, что шифруют сообщения друг другу, на самом деле они шифруют их все в адрес П, который вскрывает их, а потом перешифровывает и отправляет дальше.
3. Очень наглядно показывает ход их мысли и уровень представлений о жизни. Помните из детства книжки про Владимира Ильича и жандармов и суровую царскую цензуру с перлюстрацией и чернила из молока? Вот это в точности оно и есть. Хотят все письма вскрывать и читать, а потом конверты заклеивать так, чтобы нельзя было догадаться, что письмо читали. Цифровая перлюстрация. Сейчас тотальная перлюстрация положена в отношении писем, которые идут с зоны и на зону. Но для ФСБ, детей вертухаев — вся страна это зона.
4. Проблемка заключается в том, что (см. пункт 2) MiTM — это вид хакерской атаки. Для всего используемого в интернете ПО попытка подмена сертификата для перешифровки контента выглядит именно и только так и реакция (автоматическая) будет соответствующей: как только операционная система или браузер выявят, что предъявлен поддельный сертификат, они его тут же забанят. (Это я конечно очень грубо, не вдаваясь в технические детали. Ну и нельзя исключать, что ФСБ пойдет договариваться, чтобы их сертификат предустанавливался в списки доверенных — это предмет для отдельного разговора). То есть работать все это не будет.
MiM — это не атака. Скорее просто способ, он не только при подмене CA используется. ФСБ — оно большое, то, что это всё хрень многие там вполне себе знают. В "законе Яровой" главное слово "Яровой". Исполнятся он не будет никогда, как и многие наши законы, зато понтов хоть отбавляй, и орденов можно навешать как у Брежнева.
> Для всего используемого в интернете ПО попытка подмена
> сертификата для перешифровки контента выглядит именно и только так
чепуха. берется сертификат ФСБ и устанавливается на компе как Trusted Root CA. Все. ни один браузер не пискнет. При этом ни операционная система ни БОЛЬШИНСТВО программ не смогут определить "поддельный" сертификат или нет — т.к. он был правильно установлен — все дерево сертификатов будет правильным (а оно будет очень коротким, фактически всего из двух сертификатов).
Другое дело что начинает появляться софт, который кроме проверки валидности дерева сертификатов, еще проверяют серийные ключи сертификатов, их хэши и даты истечения сроков сшертификатов — так например делает весь Apple-овский софт. т.е. при выпуске софта, в него "встраиваются" данные текущих сертификатов компании — Apple знает серийные номера своих сертификатов, и включает их в текущие версии своего софта. а сифт проверяет не только валидность цепочки сертификатор (как это делают браузеры) но и хэши сертификатов и серийные номера и даты истечения сроков сертификатов и пр. Но жопа тут в том что такой софт просто откажет работать. Ладно, Apple тут большинство ненавидит, но так начинают делать все больше и больше компаний — т.е. их софт при соединении с ИХ сервисами проверяет детали их сертификатов, а не только валидность цепочек.
> они его тут же забанят
кто его забанит?!?!?!?!
> Ну и нельзя исключать, что ФСБ пойдет договариваться, чтобы их
> сертификат предустанавливался в списки доверенных
зачем им с кем-то договариваться? они тебе скажут — мы твой трафик все равно увидим. вопрос только в том будет-ли твой браузер ругаться с каждой новой сессией, на каждом сайте, или нет — не хочешь чтоб ругался — вот тебе короткая инструкция что надо сделать. не будешь делать — ну тогда геморой с браузером это твоя головная боль.
Ну и нет. Корневой сертификат подтверждает собсно CA, а не другие сертификаты. Надо, чтобы ФСБ-шный сервер подтверждал ВСЕ сертификаты, а это однако черевато. Знаете чем? Взломом собсно ФСБ СА сервера.
Думаете, что взлом сервера сертификатов верисайна, твэйта или комодо — намного сложнее, чем ФСБ-шного? И зачем подтверждать ВСЕ сертификаты? Достаточно выдать провайдерам по одному и подтверждать только их.
Я 25 лет этим занимаюсь — у меня студенты это понимали с первого раза... Вы же придумали себе каке-то вещи и пытаетесь всем рассказать, что они работать не будут. Да. Потому, что всё работает на совсем другом принципе. Шифрованный траффик о гугла (условно) приходит на бордер, расшифровывается "правильным" сертификатом, потом зашифровывается провайдерским, который получили вы на этапе установления соединения. И этот провайдерский подтверждается ФСБ-шным. Вы вправе ему не доверять... Тогда у вас не будет соединения. Вот и всё.
Вы не поняли? Да, мне лень каждый раз писать "трафик, шифрованный закрытым ключом, парный к которому открытый — передаётся в сертификате, который подписан провайдерским, который в свою очередь подписан ФСБ-шным, который в свою очередь должен быть добавлен в список доверенных".
Ключ не передаётся в сертификате. Тот, который в сертификате служит для проверки сертификата. "Подписан" — это метафора. Нельзя "подписать" любой сертификат любым корневым. Или промежуточным.
мать его... яко-бы гугловский сертификат, подписанный фсб-шным, генерируется на лету, при создании сессии. в конце концов, почитай что-ли про mitmproxy, прежде чем упираться.
Комментарии
А то что от сердечных заболеваний погибает больше чем от терактов в 10000 раз)) реформу медицины не провоцирует))
в дтп в год погибает больше чем за всю историю терроризма, тоже, как-то не способствует повышению безопасности на дорогах...
зато силовики цепляются за терроризм, выбивая себе все больше и больше полномочия, превращая страну в концлагерь...
2. Путь, которые они предлагают, называется «государственный MiTM». MiTM = man-in-the-middle = «человек посередине» — это вид хакерской атаки, который заключается в том, что злоумышленник П встраивается в шифрованный канал между абонентами А и Б, и когда А и Б думают, что шифруют сообщения друг другу, на самом деле они шифруют их все в адрес П, который вскрывает их, а потом перешифровывает и отправляет дальше.
3. Очень наглядно показывает ход их мысли и уровень представлений о жизни. Помните из детства книжки про Владимира Ильича и жандармов и суровую царскую цензуру с перлюстрацией и чернила из молока? Вот это в точности оно и есть. Хотят все письма вскрывать и читать, а потом конверты заклеивать так, чтобы нельзя было догадаться, что письмо читали. Цифровая перлюстрация. Сейчас тотальная перлюстрация положена в отношении писем, которые идут с зоны и на зону. Но для ФСБ, детей вертухаев — вся страна это зона.
4. Проблемка заключается в том, что (см. пункт 2) MiTM — это вид хакерской атаки. Для всего используемого в интернете ПО попытка подмена сертификата для перешифровки контента выглядит именно и только так и реакция (автоматическая) будет соответствующей: как только операционная система или браузер выявят, что предъявлен поддельный сертификат, они его тут же забанят. (Это я конечно очень грубо, не вдаваясь в технические детали. Ну и нельзя исключать, что ФСБ пойдет договариваться, чтобы их сертификат предустанавливался в списки доверенных — это предмет для отдельного разговора). То есть работать все это не будет.
Отсюда вот: facebook.com
> сертификата для перешифровки контента выглядит именно и только так
чепуха. берется сертификат ФСБ и устанавливается на компе как Trusted Root CA. Все. ни один браузер не пискнет. При этом ни операционная система ни БОЛЬШИНСТВО программ не смогут определить "поддельный" сертификат или нет — т.к. он был правильно установлен — все дерево сертификатов будет правильным (а оно будет очень коротким, фактически всего из двух сертификатов).
Другое дело что начинает появляться софт, который кроме проверки валидности дерева сертификатов, еще проверяют серийные ключи сертификатов, их хэши и даты истечения сроков сшертификатов — так например делает весь Apple-овский софт. т.е. при выпуске софта, в него "встраиваются" данные текущих сертификатов компании — Apple знает серийные номера своих сертификатов, и включает их в текущие версии своего софта. а сифт проверяет не только валидность цепочки сертификатор (как это делают браузеры) но и хэши сертификатов и серийные номера и даты истечения сроков сертификатов и пр. Но жопа тут в том что такой софт просто откажет работать. Ладно, Apple тут большинство ненавидит, но так начинают делать все больше и больше компаний — т.е. их софт при соединении с ИХ сервисами проверяет детали их сертификатов, а не только валидность цепочек.
> они его тут же забанят
кто его забанит?!?!?!?!
> Ну и нельзя исключать, что ФСБ пойдет договариваться, чтобы их
> сертификат предустанавливался в списки доверенных
зачем им с кем-то договариваться? они тебе скажут — мы твой трафик все равно увидим. вопрос только в том будет-ли твой браузер ругаться с каждой новой сессией, на каждом сайте, или нет — не хочешь чтоб ругался — вот тебе короткая инструкция что надо сделать. не будешь делать — ну тогда геморой с браузером это твоя головная боль.
Я 25 лет этим занимаюсь — у меня студенты это понимали с первого раза... Вы же придумали себе каке-то вещи и пытаетесь всем рассказать, что они работать не будут. Да. Потому, что всё работает на совсем другом принципе. Шифрованный траффик о гугла (условно) приходит на бордер, расшифровывается "правильным" сертификатом, потом зашифровывается провайдерским, который получили вы на этапе установления соединения. И этот провайдерский подтверждается ФСБ-шным. Вы вправе ему не доверять... Тогда у вас не будет соединения. Вот и всё.
Не придирайтесь.
> любым корневым. Или промежуточным.
мать его... яко-бы гугловский сертификат, подписанный фсб-шным, генерируется на лету, при создании сессии. в конце концов, почитай что-ли про mitmproxy, прежде чем упираться.