Comments 34
А уж если кому-то нравится возможность получить в морду (без «последствий для здоровья»), то тут я ничего поделать не могу, вкусы у всех разные. Но зачем распространять такое на не желающих экстремальных развлечений?
Мошенничество, клевета и некоторые препараты тоже не наносят вреда здоровью. Тем не менее, им посвящена приличная часть УК. Только не надо притягивать косвенный или опосредованный вред — сама жизнедеятельность есть их источник по определению, так как ее суть в его, вреда, компенсации
Видите ли, в этих наших интернетах порядок был с самого начала, задолго как сомнительные люди с нулевой квалификацией влезли в него грязными лапами, пытаясь силком экспортировать в головы совершенно посторонних им людей собственных тараканов. Да, где-то этого порядка почти не было, но где-то он был образцовым. Ну так и IRL президентский корпус не ловит уличных воришек, а талибы и ваххабиты режут головы чуть ли не в прямом эфире. Паниковать предложите али запретить?
Понимаете, общатся с мудаками, троллями, фанатами, сектантами, впарителями, свидетелями-заговорщиками одинаково неприятно как IRL так и онлайн. Хотя вреда здоровью нет. Разделение обязанностей и ролей, опять же. Поэтому любое сообщество всегда самоорганизуется, всегда идет от «свобод» в пользу «порядка и стабильности». Как и в реале. Обратный процесс возможен только лишь если он кому-то выгоден и хватает ресурсов его продавить.
Приятного аппетита.
Единственный способ сохранить свободу — надёжное шифрование всех соединений. … Чуть позже это подтвердила телеметрия FirefoxКорпорации добра считают данные пользователей своей собственностью. Поэтому уже давно активно форсят https, заботясь о конфиденциальности своих данных.
Тема поднимается в интернете, я надеюсь что когда нибудь эта проблема будет решаться повсеместно. https://www.gnu.org/software/gnuzilla/
Равносильно белым спискам. Против диктатуры и белых списков технические решения обхода бессильны.
https://habrahabr.ru/post/303736
https://habrahabr.ru/post/272207
Провайдер подсовывает «государственный» сертификат, предлагая пользователю добавить его в доверенные и тем самым открыть свой трафик товарищу майору. Загвоздка в том, что для некоторых ресурсов в популярных браузерах реализован certificate pinning, который запрещает браузеру работать с сайтом, используя «левый» сертификат, независимо от желания пользователя.
Не смогли форсировать принудительную установив его всем пользователям в стране — это да (пока).
Но очень активно его всеми способами впихивают: провайдеры рекомендуют установить корневые сертификаты, разные государственные сайты и сервисы требуют его установки в обязательном порядке отказываясь работать без установленного сертификата.
Тот кто его все-таки ставит (многие — государство и провайдер же плохого не посоветуют?), чтобы пользоваться ими — у того начинают слушать весь трафик через MitM.
Сертификат тут (на всякий — ставить НЕ надо): https://telecom.kz/certificate
Есть ли россйские SSL сертификаты (т.е. выпущенные в РФ, а не перепродающие SSL сертификаты GoDaddy и т.п.),
1) Если хэш-функция стойка (это изменится с появлением квантовых компьютеров определённой мощности — можно будет подбирать простые множители чисел (на чём основаны многие хэш-функции) за гораздо меньшее время, чем экспоненциальное — сейчас подобрать ключ шифрования невозможно — на это уйдут тысячелетия на каждый ключ )
2) Если мы всегда соединяемся с доверенным сервером. Это уязвимо уже сейчас — благодаря атакам MITM. Именно поэтому самоподписанного SSL-сертификата недостаточно и поэтому существуют центры сертификации. А некоторые государства в целях цензуры заставляют сервисы использовать их корневой сертификат, позволяющий государству в любой момент осуществить MITM атаку (https://geektimes.ru/post/271096/). Потому что в таком случае государство подтверждает подлинность сервера, а не какой-нибудь Thawte или COMODO.
Если центр сертификации страны выдаёт мне SSL сертификат — значит ли это что этот центр распологая моим сертификатом, может расшифровать мой HTTPS трафик (ну если конечно он его перехватит)?
Нет. Сертификат вообще штука несекретная, каждый пользователь вашего сайта его скачивает себе так или иначе.
Важно, какие корневые ЦС прописаны в браузере у пользователей, и как себя ведут все ЦС в цепочке доверия. Т.е. если вы доверяете некому государственному ЦС, а он выдал сертификат с правом подписи, скажем, вашему провайдеру (или прочему товарищу майору, способному устроить лично вам MitM), то уже абсолютно все равно, какой там сертификат у сайта — вы станете доверять «человеку посередине».
Расшифровать пассивно перехваченный трафик (т.е. без подмены сертификата и МитМ) пратически невозможно (с учетом повсеместного использования эфемерных алгоритмов).
Вы локально генерируете пару приватный-публичный ключ, на ее основе создаете файл сертификата с данными вашего сайта. Далее вы передаете сертификат в ЦС, он его подписывает своим ключом, предварительно удостоверившись что данные в вашем сертификате верны. Но использовать этот сертфикат без вашего приватного ключа, невозможно, а он не покидал вашего компьютера/сервера.
Раньше алгоритмы генерировали сессионные ключи на основе приватного ключа сервера, поэтому при полной записи трафика и компроментации вашего приватного ключа возможно было расшифровать ранние сесси. Теперь используется согласование по алгоритму Диффи-Хеллмана (DH) или подобные (DH на эллиптических кривых), так что сессионный ключ каждый раз независим от ключа.
Поэтому сейчас перехватить трафик можно только активным вмешательством — подменой сертификата (если не реализован certificate pinning — от любого доверенного ЦС из системы клиента).
>В Федеральной службе безопасности уточнили, что обязательная сертификация средств кодирования (шифрования) требуется только при передаче сведений, составляющих государственную тайну, поэтому сертификация систем мгновенного обмена сообщениями (месенджеров), таких как Telegram, WhatsApp и прочих при передаче сведений не составляющих гостайну, не требуется. Википедия.
Сертификация средств действительно требуется только при передаче средств: https://rg.ru/2016/07/08/antiterror-dok.html 6 июля 2016 г. N 374-ФЗ — Статья 11 — Внести в КоАП… 3) в статье 13.6" ("Использование средств связи или несертифицированных средств кодирования (шифрования)"):
- Использование в сетях связи несертифицированных средств связи или несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети "Интернет", если законодательством предусмотрена их обязательная сертификация ...
- Использование в сетях связи средств связи без декларации о соответствии, если законодательством не предусмотрена их обязательная сертификация,
Требование выдачи ключей не связано ни с шифрованием, ни с сертификацией и вводилось в закон 27.07.2006 N 149-ФЗ ("Об информации..") и другую статью КоАП — "6) в статье 13.31:" ("Неисполнение обязанностей организатором распространения информации в сети "Интернет"")
б) дополнить частью 2.1 следующего содержания:
"2.1. Неисполнение организатором распространения информации в сети "Интернет" обязанности предоставлять в федеральный орган исполнительной власти в области обеспечения безопасности информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений,
Организаторы распространения информации обязаны по 27.07.2006 N 149-ФЗ ("Об информации, информационных технологиях и о защите информации" ст. 10.1. "Обязанности организатора распространения информации в сети "Интернет"" (в версии с правками по "пакету") и КоАП 13.31:
- уведомить орган о начале своей деятельности,
- (ч.3 п.1) хранить информацию о фактах приема/передачи… голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей сети "Интернет" и информацию об этих пользователях в течение одного года (с 1 июля 2018 года)
- (ч.3 п.2) хранить текстовые сообщения пользователей .., голосовую информацию, изображения, звуки, видео-, иные электронные сообщения… до шести месяцев
- предоставлять хранимую информацию уполномоченным… органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности .., в случаях, установленных федеральными законами.
- обеспечивать реализацию… требований к оборудованию и программно-техническим средствам,… для проведения этими органами… мероприятий, не допуская раскрытия организационных и тактических приемов проведения данных мероприятий.
- (4.1.) при использовании (или при предоставлении возможности)… дополнительного кодирования электронных сообщений… представлять в орган… информацию, необходимую для декодирования… электронных сообщений.
- Обязанности статьи 10.1 не распространяются на операторов государственных и муниципальных информационных систем, а также операторов связи (с лицензией оператора), и на граждан, организующих распространение информации для "личных, семейных и домашних нужд", определенных Правительством Российской Федерации.
- Состав информации, подлежащей хранению в соответствии с частью 3 и правила хранения… определяются Правительством Российской Федерации.
ФСБ приказом 19.07.2016 № 432 «Об утверждении Порядка представления… информации, необходимой для декодирования" (https://geektimes.ru/post/279434/, http://publication.pravo.gov.ru/Document/View/0001201608120037?index=2&rangeSize=1) установило порядок: подразделение ФСБ запрашивает (заказным письмом) у организатора информацию для декодирования (подписывает руководитель подразделения или его зам), а организатор распространения передает информацию для декодирования в указанном формате и составе на указанный в запросе адрес обычной или электронной почты. Не передал — получил штраф, за каждый отказ для юрлиц — от восьмисот тысяч до одного миллиона рублей.
TLDR: Все организаторы распространения информации по реестру обязаны хранить все сообщения пользователей и предоставлять органам как сами сообщения, так и все необходимое для прочтения этих сообщений.
Вот когда rutracker.org и thepiratebay перейдут полностью на i2p, тогда и наступит переходный момент. Сейчас у них в i2p только зеркала, а анонс пиров происходит по IP.
EFF: мы на полпути к безопасному интернету