kreout Nov 8 2024 at 16:05

Сквозное шифрование и двухфакторная аутентификация в современном интернете

Easy

3 min

2.5K

Information Security*Cryptography*Interfaces*

Review

-5

Comments 6

janna_melnikova Nov 8 2024 at 16:41

Спасибо за статью простыми словами. О себе - усиленную защиту еще не пробовала, но хотелось бы

Number571 Nov 8 2024 at 17:53

Сквозное шифрование гарантирует, что данные остаются конфиденциальными не только для внешних злоумышленников, но и для самих компаний, предоставляющих услуги

...

Яркий пример — https-протокол

То-есть, ВКонтакте, Одноклассники, Ozon, WB, Mail.ru и прочие - это всё примеры сервисов со сквозным шифрованием, где даже сам сервис не знает что вы отправляете, что вы покупаете, что вы просматриваете?

Скорее всего вы просто не разобрались в теме, либо ещё проще - воспользовались нейросетью, чтобы она сказала, что есть такое сквозное (E2E) шифрование.

При этом, я не говорю, что централизованные сервисы вовсе бесполезны в концепте E2E шифрования. Так например, я могу обменяться лично публичным ключом со своим другом, а далее использовать ВКонтакте, как платформу, для обмена шифртекстами. В этом случае у нас создаётся действительно сквозное шифрование - шифрование, при котором только истинный собеседник получает открытый текст. Все промежуточные узлы, начиная от провайдеров связи и заканчивая централизованными сервисами - получают лишь шифртекст. И как видно, HTTPS здесь вообще никакой роли не играет, даже если бы использовался голый HTTP, сквозное шифрование оставалось бы нетронутым.

Aelliari Nov 8 2024 at 18:00

То-есть, ВКонтакте, Одноклассники, Ozon, WB, Mail.ru и прочие - это всё примеры сервисов со сквозным шифрованием, где даже сам сервис не знает что вы отправляете, что вы покупаете, что вы просматриваете?

Яркий пример — https-протокол

Нет, они сами являются «конечной точкой» в е2е и имеют доступ к этой информации легитимно.

Другой вопрос если ты в условном ВК переписываешься с другом, тогда у вас есть e2e цепочка до серверов ВК, и вторая цепочка от серверов ВК до друга. Между тобой и сервером ВК, а также между сервером ВК и твоим другом есть две, вполне себе e2e зашифрованные линии. Но, между тобой и другом е2е уже нет, ибо сидит MITM в виде сервера ВК

Number571 Nov 8 2024 at 18:07

Нет, они сами являются «конечной точкой» в е2е и имеют доступ к этой информации легитимно

Легитимно - (в юридическом смысле этого слова) может быть (и то случаются натяжки), сквозное ли это шифрование - точно нет. Суть E2E шифрования в том, что оно должно протягиваться до конечных точек, в мессенджерах конечные точки - это друзья, с которыми ты общаешься, это группы, ленту которых ты просматриваешь и т.д., но точно не сам сервис. Такой же принцип с маркетплейсами, конечная точка - это продавец, а не сам сервис. Такой же принцип с электронной почтой, конечная точка - это получатель письма, а не сервис электронной почты. И т.д., и т.п. ...

Между тобой и сервером ВК, а также между сервером ВК и твоим другом есть две, вполне себе e2e зашифрованные линии

Это не E2E шифрование, а обычное, что ни на есть, клиент-серверное шифрование, где безопасная коммуникация строится только от клиентов к серверу, а не от клиентов к клиентам.

Aelliari Nov 8 2024 at 18:24

Это не E2E шифрование, а обычное, что ни на есть, клиент-серверное шифрование

Извините, но в «моей картине мира», я не различаю клиент и сервер. Есть две точки и третьи лица с/без возможностью вмешаться в обмен. И шифрование клиент-сервер всё ещё остается оконечным для клиента и сервера.

Другой вопрос, когда сервер используется для отправки сообщений кому-либо ещё, и сам по себе конечной точкой - не является, и уже в этом случае такое шифрование нельзя назвать оконечным.

У меня претензия только к выбранной вами формулировке с выбранными вами примерами. Электронная почта, мессенджеры - ок, маркетплейсы - не ок

где даже сам сервис не знает что вы отправляете, что вы покупаете, что вы просматриваете?

Такой же принцип с маркетплейсами, конечная точка - это продавец, а не сам сервис

Когда вы что-то просматриваете на озон - он является «конечной точкой» для шифрования

valeravv Nov 10 2024 at 14:21

Он или хотя бы "оно"? Когда в вашей картине мира озон стал обладать субъектностью и является помимо вас чем-то подобным вам "вторым", а коммуникацию между вами двумя надо оберегать от "третьих"? Чем он(о) отличается от почты или мессенджера, если передаст ваш заказ продавцу, отзыв покажет другим покупателям, тем, что на основе статистики просмотров, покупок другие люди будут делать выводы о вашем потребительском поведении? Может тем, что исказит информацию между вами и продавцом о том, сколько вы реально готовы заплатить за товар? Не является ли https в данном случае театром безопасности?