Как стать автором
Обновить

Комментарии 77

НЛО прилетело и опубликовало эту надпись здесь
Больше похоже на крик возмущенной души. Эмоции, в данном случае, более чем понятны.
скорее, вопрос бесправия и узурпации власти, и соответственное правовое возмущение на подобное.
НЛО прилетело и опубликовало эту надпись здесь
В моей первоначальной редакции эта статья нарушала правила, я согласен. За это модераторы ее скрыли и попросили отредактировать, убрать эмоции и негатив.
Они помогли мне это сделать, и в данной редакции она соответствует правилам сервиса.
Могу только сказать спасибо модераторам Хабра за такое благосклонное отношение. Но я думаю не один такой, это в целом у них такое отношение ко всем пользователям сервиса. Потому и сайт такой популярный и контент качественный. Все же взаимосвязано.
Раз тут ответы на вопросы появились в комментах, хотелось бы спросить, что стало со статьей «Как власти Казахстана используют Хабр для пропаганды»?
НЛО прилетело и опубликовало эту надпись здесь

Тоесть модератор тоже почитал что тот пост был неадекватно оформлен или по какой-то другой причине?

Как тот комментарий и эта статья связаны друг с другом? Одно дело — поставить минус комменту (и в карму, если сильно возмутило), другое — просить убрать статью просто того же автора.

НЛО прилетело и опубликовало эту надпись здесь
no comments)
НЛО прилетело и опубликовало эту надпись здесь

Кому?

При попытке MITM банально ничего не получится сделать с приложением Youtube на Андроид, так как там всё очень хитро закодировано.
«Хитро» — это certificate pinning?
НЛО прилетело и опубликовало эту надпись здесь
Нет, там protobuf с очень неинтуитивной структурой, и части него ещё раз закодированы чем-то.
Гораздо проще делают, в клиентских приложениях часто свой Trust Store, не привязанный к браузерным CA. Это имеет свои плюсы 1) CA свой внутренний и не надо никому платить за выпуск 2) Никто не сможет встроить туда свой Root CA (без влома приложения) 3) Сильно упрощает механизмы отзыва, так как в крайнем случае выходит обновленный клиент с новым Trust Store.
Постоянно смотрю на работу крупных государственных ведомств. Как так? Прежде, чем что либо запускать в production надо протестировать, провести аналитику, собрать мнения экспертов и в конце концов решить — Надо ли?
А тут постоянно такие факапы, которые даже сисадмины без опыта редко делают.
И сразу закрадываются мысли, почему так происходит:
"-Иван Петрович, надо что то сделать, деньги освоили с документами все в порядке, а вот проект не реализован.
— Сделай хоть что нибудь. Надо как то отчитаться.
— Есть одна мысль, но до конца не проверял.
— Делай срочно. Потом разберемся."
НЛО прилетело и опубликовало эту надпись здесь
то есть, как я понял, у РФ нет достоверных электронных карт морей?
НЛО прилетело и опубликовало эту надпись здесь
с Вашего описания процесса формирования этих карт за три недели вместо трёх лет. Практически уверен, что основная цель была — сделать. Не важно насколько точно и с полным соблюдением 100500 инструкций, но обязательно к указанному сроку. Не верится, что без последующего допиливания (а бюджет на проект уже освоен), карты соответствовали всему. Подробностей технического исполнения не знаю, доступа к инструкциям и этим картам не имею, могу только предполагать на основе виденных своими глазами решений других проектов.
НЛО прилетело и опубликовало эту надпись здесь
Google maps же
НЛО прилетело и опубликовало эту надпись здесь
Что самое интересное — сейчас все равно есть какие-то корневые сертификаты.
И хочешь-не хочешь, то мы им вынуждены доверять.

Но! Эти корни сертификатов в США.

Стоит другой стране захотеть ровно того же самого (этого вообще хотят все государства) — как сразу скандал и недовольство.

Вы не совсем правильно понимаете суть всего происходящего. Никто же не запрещает создать свой сертификационный центр, выпустить сертификат и обязать на территории своей страны пользоваться им (ну, законодательно, как-то...). При этом это будет доверенный сертификат, который, наверняка, будут принимать браузеры. Но это совсем не то же, когда просто подменяют сертификат на каких-то промежуточных узлах. Это просто противоречит всей идее безопасности на мой взгляд.
Но это совсем не то же, когда просто подменяют сертификат на каких-то промежуточных узлах. Это просто противоречит всей идее безопасности на мой взгляд.


А если бы при подмене проверялась действительность исходного сертификата?

Это вы не понимаете, что ситуация с сертификатами родом из США — полностью зеркальная.

Принципы безопасности — это просто вопрос доверия к центру сертификации. Вопрос только в доверии к местному центру сертификации.
Далеким США доверяем, а своим ближним — не доверяем.

Это безопасно ровно до тех пор, пока вы не интересны властям США.

Но, понятно, что типичный житель Казахстана гораздо интереснее своим властям, чем властям США. И, понятно, что речь о недоверии жителей Казахстана местным властям.

Однако, если бы вы жили в США — разницы бы не было.
Причем для любой другой страны, кроме США — это уже не так.

Нынешняя система сертификатов — полностью ущербна, потому как она США-центрична.

Так уж сложилось, что при попытке любой другой страны заполучить то, что имеет АНБ США — получается, что нарушаются принципы безопасности.

Как только УЦ начнёт выдавать сертификаты не владельцам ресурсов, он перестанет быть доверенным УЦ.
Казахский сертификат подписывал сертификаты правительству, которое никак не владеет ресурсами. Но никто не отзовёт доверие в этом случае.

Как только УЦ начнёт выдавать сертификаты не владельцам ресурсов, он перестанет быть доверенным УЦ.

Ничто не мешает проксировать сертификат по умному.
Исходные данные в оригинальном сертификате есть.

Казахский сертификат подписывал сертификаты правительству, которое никак не владеет ресурсами. Но никто не отзовёт доверие в этом случае.

Это просто «первый блин комом».
Технически — вполне решаемо реализовать транзитивность сертификатов.

Если Вы подразумеваете, что информации, которой обладает УЦ, достаточно для расшифровки трафика, зашифрованного сертификатом, подписанным этим УЦ, Вы неправы.
Сертификаты создаются с помощью signing request'ов, и УЦ никогда не видит приватного ключа владельца ресурса. А, следовательно, и расшифровать трафик не может.

Либо я Вас не понял. Поясните, пожалуйста.
Либо я Вас не понял. Поясните, пожалуйста.


США — единственная страна мира, которая может подменить сертификат любого сайта и встроить MiTM (при необходимости, оправданной интересами национальной безопасности, конечно же) так, что рядовой пользователь этого вообще не заметит.
Или вы заблуждаетесь, или это троллинг, или вы знаете способ сделать то, что на данный момент принято считать невозможным (за разумное время).
может подменить сертификат любого сайта и встроить MiTM

Пожалуйста, изложите принцип, на основе которого это можно сделать. Если речь о том, что США обладают датацантром с квантовыми компьютерами (или другими ресурсами), позволяющими сэмулировать подпись секретным ключом, который никто кроме владельца никогда не видел, то прямо так и напишите.
Пожалуйста, изложите принцип, на основе которого это можно сделать. Если речь о том, что США обладают датацантром с квантовыми компьютерами (или другими ресурсами), позволяющими сэмулировать подпись секретным ключом, который никто кроме владельца никогда не видел, то прямо так и напишите.


Квантовые не нужны.
Вопрос только в подконтрольных CA.

Выпускаем новый сертификат, подставляем в MiTM, никто и не заметит. Он будет с точки зрения браузеров совершенно нормальным сертификатом.

MIKEk8
Но после такого манёвра больше ни кто не будет доварят такому УЦ и все быстро свалят в другие места.

Как заметить?
Вы что, считаете, что АНБ будет ваш банковский счет грабить???
Это все только для слежки — вы и не заметите и никуда не уйдете на другой CA.

Сноуден же рассказал — вполне себе даже до канцлера Германии добрались со своей слежкой. Немного пошумело и успокоилось. Если уж на таком уровне всем пофиг — то что же говорить про рядовых пользователей.

Если они тупо подменят IP сервера и выпустят новый сертификат, то толку от этого мало поскольку новый пользователь должен будет установить новое соединение и авторизоваться.

Зачем новое-то соединение?
Можно с самого начала работать с MiTM-сервером и не замечать этого.
Сертификат — выданный тем же CA.

Вы их вообще различаете — сертификаты-то?
Только зеленый или красный значок браузер отображает — вы что же внутрь сертификата смотрите? Да даже и смотрите — как это вас защитит? Для типичного сайта.

Типичный сайт — ничего такого дополнительного в свою безопасность не внедряет.

Выпустив сертификат для MiTM от имени того же CA, с теми же данными фирмы-владельца сайта — вы можете совершенно спокойно следить, никто и не обратит внимание.

Понятно, что для личных кабинетов банков такой вариант не подойдет (хочется надеется). Но для рядовых сайтов — запросто. И сайты https превращаются для АНБ в обычные http

Ну а если вспомнить, что к примеру даже внутрироссийский трафик запросто роутится через Амстердам и др. заграничные местности — не обязательно даже чтобы хостер был в США.

НЛО прилетело и опубликовало эту надпись здесь
Начнём с того «Зачем это им?».
Если они тупо подменят IP сервера и выпустят новый сертификат, то толку от этого мало поскольку новый пользователь должен будет установить новое соединение и авторизоваться. Максимум что они смогут это угнать ваш логин и пароль. Но после такого манёвра больше ни кто не будет доварят такому УЦ и все быстро свалят в другие места.
«Они» могут подменить только сертификаты выданные ими.
Если у меня будет свой УЦ и мой сайт будет обращаться к моему УЦ то «они» на это ни как не повлияют. А если и свой DNS — то у меня свой интернет о котором ни кто знать не будет.
В случае со en.wikipedia.org/wiki/StartCom вылет из списка доверенных затянулся на полтора года. Впрочем, в «коробочном» списке доверенных сертификатов браузеров есть ещё дофига центров которым доверять не стоит.
«в «коробочном» списке доверенных сертификатов браузеров есть ещё дофига центров которым доверять не стоит.»

— Не просветите в какую сторону копать нубу, чтобы правильно понять смысл вашего сообщения?
Браузеры идут со своими списками доверенных корневых сертификатов, чтобы хоть кому-то можно было доверять изначально. Несколько сотен штук.
Есть среди них и не очень доверенные: одни принадлежат правительствам разных стран, другие можно взломать, третьи и сами выдадут липовый сертификат по просьбе госорганов, четвёртые при выдаче сертификата верят на слово непонятным «партнёрам».
Так уж сложилось, что при попытке любой другой страны заполучить то, что имеет АНБ США — получается, что нарушаются принципы безопасности.
Ну, например, турецкие ЦА есть в обычных наборах сертов. А это ещё та тоталитарная страна.
Ну, например, турецкие ЦА есть в обычных наборах сертов. А это ещё та тоталитарная страна.


Налицо явления «все страны равны, но некоторые равнее других».

Вы действительно не видите разницы между подменой сертификата и существованием государственных ЦА? А Венесуэльский PROCERT кого равнее?
Чужие спецслужбы всегда предпочтительнее своих.
Нынешняя система сертификатов пусть и зарегистрирована в США, но имеет аполитичный статус. Фактически, это технологическое посольство, которое размещено в технологически развитой стране или стране которая потакает технологиям больше чем другие, но при этом центр работает на весь мир.
Действительно, подмена со стороны казахстанских властей выглядит технологической ошибкой и желанием сделать всё подешевше, да эффективней. В итоге, самым эффективным способом в стране контролировать сеть осталось полное отключение связи или сужение всех основных каналов.
Можно пример, когда США репрессировало гражданина другого государства за критику этого самого государства? Вот и выходит, что доверять корню в США гораздо безопасней.

ps. и да, никакое государство, включая США, не может ничего «хотеть». у него не может быть «хотелки».
Но вполне блочили за высказывания в их сторону. Тому же Задорнову закрыли въезд в сша. И вполне были экстадиции в сша людей которые например проникали в сеть компаний из сша.
Вопрос был задан про другое.
НЛО прилетело и опубликовало эту надпись здесь
Я тебе больше скажу — нет ни одного trusted root CA в России, надеюсь и не будет. Потому что.

А какая разница?
Заграница, та же Турция с ее CA, включенными в браузеры — достойна?
А РФ — нет?
И США — сразу святые?

Почему некоторые государства «равнее других»?
Вы видимо как раз из тех, кто поддерживает власть.
А именно, вообще не разобрались о чем идет речь, путаете CA сертификат и сертификат для HTTPS. Именно из-за этого и возникают факапы про которые идет речь в статье — из-за безграмотности.
НЛО прилетело и опубликовало эту надпись здесь
Живу в Казахстане. Пользуюсь услугами двух операторов. PUSH-уведомлений или смс'ок с требованием установки сертификата не получал. Сам ничего не устанавливал, интернет работает без перебоев.
Кстати, в том же июле после возмущений граждан по поводу необходимости устанавливать сертификат в СМИ была статья о том, что ставить сертификат не обязательно. www.zakon.kz/4978362-neobhodimost-ustanovki-sertifikatov.html
Это «добровольно-принудительное» «необязательно». Кто не установил сертификат — у них были проблемы с доступом к сети. Об этом тоже публично написано. Вернее министр предупреждал, что могут они иметь проблемы. И сейчас некоторые сервисы гугла нестабильно работают.
Признаю ошибку. Читал бегло, что обязали устанавливать сертификат жителей Астаны (Нур-Султана) не заметил.
Не понял за что минуснули? За то что правду написал? Да, продолжайте, минусуйте тех чьи высказывания для вас неудобны.

За ошибку выжившего

Ну так я же не утверждал, что работает у всех.
Вы в Астане живете? В статье в первой строчке указано что это делалось для жителей этого города.
«У меня всё работает»
ШТА? Автор комментария явно не в такой манере высказался в какой преподносится УМВР
Ну лично я затрудняюсь увидеть еще какой-то посыл.
НЛО прилетело и опубликовало эту надпись здесь

Ошибаетесь. Очень многие приложения пинят. С их точки зрения это нифига не легитимный юзкейс.


Facebook и Instagram точно это делают.

В свежих андроидах даже добавив новый корневой сертификат окажется, что все приложения работают не с ним, как в старых. У меня получилось только хром так заставить работать, и то там были некотоыре требования к сертификату, вроде его срока действия.
Банковские, по уму, даже обязаны бороться со всякими надзирателями.

Кстати, а бороться техническими методами вообще не получиться, т.е. ни vpn, ни прокси уже не помогут?

до тех пор, пока за технические методы не сажают и кабель топром не рубят.
НЛО прилетело и опубликовало эту надпись здесь
Почему никого не смущает, что все корневые сертификаты в ваших браузерах выпущены организациями подконтрольными США?
Кто вам это сказал?
Comodo, например, UK
GlobalSign — Бельгия
Secom — Япония
StartCom — Китай
StartCom — судя по первым строчкам википедии нет в ни chrome ни в firefox.
UK, Япония, Бельгия — зависимы в вопросах внешней политики от США

Ну и что говорить о сертификатах, когда самые популярные браузеры (в которых корневые сертификаты и устанавливаются) принадлежат компаниям на которое может оказать прямое давление государственный аппарат США.

Так что разоблачать казахское правительство в том что они пытаются навязать свой корневой сертификат своим гражданам это просто смешно. Странно что никто из тех кто это задумал в Казахстане не говорит, что это нужно чтобы защитить собственные ресурсы от внешних атак. Наличие своего собственного корневого сертификата лишь немного увеличивает потенциал странны для защиты от внешних кибератак, а баланс сил сейчас далеко не в пользу ни Казахстана, ни России.
От каких внешних кибер атак защищается казахстанское правительство? И да, отвечая на ваше корневое сообщение, я пожалуй больше доверяю подконтрольным США организациям, чем казахстанским спец. службам, по многим причинам…
Наличие своего собственного корневого сертификата лишь немного увеличивает потенциал странны для защиты от внешних кибератак, а баланс сил сейчас далеко не в пользу ни Казахстана, ни России.


А вы не путаете создание корневого центра сертификации с насильным внедрением MITM?
Может быть стоит перечитать статью повнимательнее?
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории