Владимир @badfiles
Системный администратор
Information
- Rating
- Does not participate
- Location
- Санкт-Петербург, Санкт-Петербург и область, Россия
- Date of birth
- Registered
- Activity
Specialization
System Administration, DevOps
Senior
From 300,000 ₽
Python
Git
Nginx
Linux
Docker
PHP
SQL
English
Bash
Ubuntu
Браузер или приложение проверяет, доверенный ли сертификат. Если государство хочет сделать MitM, чтобы я сразу не заметил, оно либо пользуется своим доверенным сертификатом, либо получает полный доступ к моему клиентскому устройству. Ну если у них полный доступ к клиентскому устройству, то зачем делать MitM, а если они подпишут твиттер своим госСА, то я это это увижу (я ведь буду смотреть внимательнее браузера), сохраню этот подписанный госСА сертификат и опубликую его. Пускай тогда государство попробует объяснить уважаемым производителям браузеров, ОСей и твиттеру, что это я украл у них закрытый ключ госСА, чтобы выставить идиотами.
В России у них такое легко доказывается, а там что-то не очень.
Стратегия вторая, не надо попадать в доверие, тогда нужно заставить конечных пользователей доверять вашему сертификату. В России сделать это проще пареной репы и вообще зачем по этому вопросу беспокоить уважаемые мировые компании непонятно.
, но и использовать во всех ОС, установленных на компьютерах российских пользователей, протокол SSL с российскими алгоритмами шифрования — вот по ГОСТ у российских пользователей.
Но добавлять свой УЦ по ГОСТу не получится же в доверенные, правильно? Значит сначала надо с RSA добавиться и умудриться еще не попасться на MitM. Потом внедрить ГОСТ в мировую практику и перейти на ГОСТ.
Доказать преимущества ГОСТ могут только авторитетные научные работы, вот и пускай поработают, а мы посмотрим.
А без мирового доверия можно было давно все это сделать.
Но если уж на то пошло, то клиент вообще мало что может ПРОВЕРИТЬ, т.е. использовать другой доверенный инструмент.
Обязывать иметь сертификат госСА нужно лица на территории РФ, а будет он доверенный или нет — это будет проблема пользователей.
Описанное у вас давно сделано, осталось только закон принять.
Задача-максимум — свой УЦ на ГОСТ и мировое доверие.
Если не нужно мирового доверия, то всяких госУЦ уже предостаточно, взять того же криптопро.
Спрашивать будут строго.
Вот вам файлик, он должен быть в доверенных, это закон на территории РФ.
А вот инструкция, как добавить.
Во-вторых, он наконец-то будет проверен на закладки (а если они там есть, то их очень быстро найдут, сейчас это просто никому не интересно), и если аудит будет успешным, то при существующей схеме выдачи сертификатов волноваться не о чем.
С ГОСТом у них получится облом, поскольку адаптировать под ГОСТ сам никто не будет, а государство устанет коммитить патчи во все существующие продукты.
Но какая будет от этого выгода государству и гражданам? При выдаче сертификата закрытый ключ не должен передаваться в УЦ, так что расшифровывать трафик не получится. А если они для MitM выпустят левый сертификат, подписанный госCA, то мигом вылетят из доверия браузеров и ОС.