kofeimoloko Понимаешь, какая штука. Уж так SSL устроен, что если ты установишь какой-то сертификат, будь это рутовый сертификат или сертификат пользователя - это не позволит тебе читать весь трафик. Люди, которые это разрабатывали - не дураки и думали очень и очень долго. Как я уже написал: Скорее всего речь идёт о казахстанском корневом сертификате, т.е. казахи попросту хотят денежку, которую сайты сейчас платят всяким thawte & verisign. Вполне разумно. Никаких проблем с приватностью не вижу.
Пользователи будут вынуждены сделать доверенным корневой сертификат, выданный местным ЦС. Наличие такого сертификата на системе/устройстве позволит спецслужбам осуществлять MitM-атаки на любого пользователя региона и расшифровывать любые данные, передаваемые по зашифрованным каналам. Таким образом, любое подключение с использованием протокола SSL может быть расшифровано, а все данные - перехвачены.
В таком подходе нет ничего нового. Многие антивирусные компании поступают именно так для анализа содержимого данных, передаваемых с использованием шифрования.
Блять. Покопал немного - действительно, любой человек с доступом к CA и роутеру без проблем осуществит MitM. Вот говно.
Добавлено в 18:24 Да, полученные из третьих источников фингерпринты сертификата сервера всё же подскажут - следят-таки или нет, никак не вижу возможности это наепать, учитывая что можно попросту снять фингерпринты самому с помощью внешних источников. Да и как обычно - андроид поставит рутовый сертификат, что дальше? Появится 1000 прог, которые свою SSL используют со своим списком сертификатов или вообще не SSL используют, а аналоги. Бесполезная трата времени, кроме конечно возможности KZ заработать немного на сертификатах серверов и пользователей внутри самого KZ
Еще одна жертва ЕГЭ. В России законопослушный гражданин это тот у кого родня в администрации или бабла достаточно для ухода от наказания! А все остальные потенциальные уголовники. В Казахстане еще веселей насколько я знаю. Так что это просто создание кнута для несогласных и переходящих дорогу власть имущим.
Это сообщение отредактировал vgik13 - 2 дек. 2015 г. в 18:29
К вопросу "а как они это сделают". Каждый гражданин РК, сталкиваясь с гос.оганами, должен иметь ЭЦП от Национального Удостоверяющего Центра(НУЦ). Для получения данной ЭЦП (если вы это делаете из дома) у вас должен быть установлен на ПК корневой сертификат НУЦ.
Так же добровольно ставят эти корневые сертификаты пользователи любых гос.порталов РК, он Налогового, до Госзакупок.
С 1 декабря 2015, сайт НУЦ изменил процедуру получения ЭЦП, теперь для получения ЭЦП на ПК должно быть запущено ПО (которое принудительно ставит эти новые сертификаты).
Короче хочешь пользоваться гос.услугами из дома - поставишь сам, добровольно. Из всяких Клубов своей ЭЦП пользоваться не будешь, может и "уйти".
Я вот тоже удивился такому новшеству. Здесь прочитав его подоплеку.
Правда в сомнениях, что установив 2 сертификата от НУЦ в своей системе, НУЦ получает доступ к "информации". Но здешние специалисты - думаю разовьют данную тему.
Это сообщение отредактировал Severum - 2 дек. 2015 г. в 18:37
Скорее всего речь идёт о казахстанском корневом сертификате, т.е. казахи попросту хотят денежку, которую сайты сейчас платят всяким thawte & verisign. Вполне разумно. Никаких проблем с приватностью не вижу.
Чет я тоже не догоню как это поможет ну например осуществить МИМ атаку моего фейсбучека. Я же там не буду корневой ЦА выданный государством пользовать. Недавно вроде с МС такой скандальчик или антивирусником каким-то, не помню точно. Они втихаря подложили свой корневой в доверенные.
mangol правильно сказал, это для нубов есть анонимность, сеть никогда не была анонимна - никогда, все пишется. И идентификацию можно осуществить однозначно любого пользователя. Но у меня есть вопрос по поводу сертификата. Не многие пользователи знают как этим пользоваться. вот они взяли и поставили себе этот сертификат, а потом дал попользоваться ноутом. Кто будет отвечать за косяки? зы по поводу однозначной идентификации, есть исключения, это когда пользователь использует специальное программное обеспечение и цепочки анонимайзеров. Но это уже из области специального, простые люди так не будут поступать.
Если зайти в интернет клуб и оттуда писать, как тебя определят?
В интернет клубе с тебя попросят уд.личности сначала...Потом пиши чё хочешь..
Лож это все, пиздеж и провокация. Побольше пиздаболов слушать надо. 1. Есть НУЦ типа такой Национальный удостоверяющий центр, который выдаёт сертификат пользователя (по заявке, по предъявлению удостоверения), для чего? Для того чтобы я мог пользоваться электронным правительством. 2. Есть сим-карты со встроенным сертификатом, для тех же самых целей! На кой хуй мне сертификат в телефоне на iOS (хуй сосут они, не даст Apple такой возможности, ставить что-то чужое), на андроид ещё возможно, и то, если это сразу на заводе, но как они меня узнают? Бля, бред
а хз - считаю правильным. Если не занимаешься противоправной деятельностью, то такая мелочь, как дополнительный сертификат на компьютере, никакого неудобства не несет.
Вы может и не занимаетесь, а я занимаюсь, фильмы бесплатно качаю. И надеюсь заниматься этим и впредь...
Ну тоталитарный режим на лицо. Подумываю вообще в ближайшие 10 лет свалить к хуям, хотя много здесь и друзей и партнеров по бизнесу. Они просто не могут ничего сделать с оппозицией которая против некоторых действий правительства, вот таким способом и будут отслеживать и закрывать неугодных. Хотя есть так называемая свобода слова....в кавычках. Открыто про власть никто не говорит, это некоторый раз раздражает просто. Раздражает тупость властей, напрямую. Что они хотят этим сделать непонятно, добиться покорности у народа? вряд ли. все более менее продвинутые пользователи, которые часто пользуются тырнетов для работы будут находить другие способы. Лучше бы подумали как промышленность поднять, а тут такая тупость, ничего нового придумать не могут. тупо копируют с кого то. 90% передач по нац.Тв скопированы с РФ или запада. Образование нулевое. Здравоохранение нулевое, лечится едут либо в РФ либо на запад. Через 5 лет полстраны будут нефтяниками, как в свое время менеджеры. Высокооплачиваемая работа только в нефтяном секторе, либо у иностранцев. Продолжать можно бесконечно. Факт что дети будут тупыми и больными это к ванге не ходи. А они правильно, давайте еще придумаем радиовещание на остановках как в Эквилибриуме и уколы. Кстате уже свыкся с тем что Казактелеком блокирует некоторые сайты, не порно товарищи, бывает совсем безобидные темы, одним словом тупость. Картинка с блокировкой Япа
Недавно эксперементировал только со снифом https трафика и перехватом пакетов в сети, одна проблема была установить сертификат на компьютер жертвы, решалось через GPO. А теперь представьте уровень страны это ж тонны паролей, крединтых номеров всего что угодно, главное сортировку настроить правильно и сертификат который раздавать будут купить а не сгенерить как у нас любят делать и все ВЫ бог Казахстана!!!!
Это сообщение отредактировал romanpl - 2 дек. 2015 г. в 19:10
Скорее всего речь идёт о казахстанском корневом сертификате, т.е. казахи попросту хотят денежку, которую сайты сейчас платят всяким thawte & verisign. Вполне разумно. Никаких проблем с приватностью не вижу.
Чет я тоже не догоню как это поможет ну например осуществить МИМ атаку моего фейсбучека. Я же там не буду корневой ЦА выданный государством пользовать. Недавно вроде с МС такой скандальчик или антивирусником каким-то, не помню точно. Они втихаря подложили свой корневой в доверенные.
Да просто - провайдер на выходе ставит transparent proxy и перехватывает все твои запросы вида ssl или tls, после чего берёт с нужного сайта весь трафик, расшифровывает его, потом зашифровывает его ключём, подписанным KZ CA, что твой браузер с радостью схавает и покажет зелёный http значок. Разумеется это очень просто распознать, посмотрев фингерпринт ключа, но это не происходит автоматически, так что любой может пасть жертвой. Ну это в моих слабых мозгах понимание такого сценария, со слабыми мозгами в виде 83% на crypto I with distinction в coursera. Так-то людей очень умных много, просто я сомневаюсь что они на правительство казахстана работают.
Лож это все, пиздеж и провокация. Побольше пиздаболов слушать надо. 1. Есть НУЦ типа такой Национальный удостоверяющий центр, который выдаёт сертификат пользователя (по заявке, по предъявлению удостоверения), для чего? Для того чтобы я мог пользоваться электронным правительством. 2. Есть сим-карты со встроенным сертификатом, для тех же самых целей! На кой хуй мне сертификат в телефоне на iOS (хуй сосут они, не даст Apple такой возможности, ставить что-то чужое), на андроид ещё возможно, и то, если это сразу на заводе, но как они меня узнают? Бля, бред
Apple будет делать что ему скажут, страны или операторы в которых он заходит. Бабло, чувак, всё решает. На прайвеси пользователей - двухпудовый болт. Не удивляюсь, если смартфоны ставят рут сертификаты прям с сим-карты, во всяком случае приложения точно ставят.
Да просто - провайдер на выходе ставит transparent proxy и перехватывает все твои запросы вида ssl или tls, после чего берёт с нужного сайта весь трафик, расшифровывает его, потом зашифровывает его ключём, подписанным KZ CA, что твой браузер с радостью схавает и покажет зелёный http значок.
Хром вроде ругается на такую фигню. Айос вроде тоже. Ну и если перехватить траф не проблема, то как они расшифруют трафик с нужного сайта, что бы потом зашифровать своим? Задача нетривиальна и врядли данный проект направлен на эти цели.
vitaly1111 Так что они весь твой ссл обмен ключами перехватят на роутере и подсунут тебе совсем другой симметричный ключ, подписанный KZ CA, так что твой браузер не заругается, потому что ругается он только тогда, когда CA signing key не установлен в винде/андроиде/хроме и т.д. Так как уже установлен в системе - они попросту будут перешифровывать трафик на роутере.
Что за бред. Ну есть к меня сертификат для работы с электронным правительством. Но стоит он не на всех моих клипах и не будет ни когда на всех его. Слышал про обязаловку выдачи всем его, но не для контроля трафика. Это бред имхо. Да и в хроме он не работает. Благодаря чему много матов от ИПшников (ЧП)
Это сообщение отредактировал BreedMax - 2 дек. 2015 г. в 19:40
BreedMax Да так и есть. помницца мне что фф не уважает виндовое хранилище сертификатов - всё нужно ставить отдельно, хз на счёт хрома. То же относится и к любой проге, которая юзает OpenSSL. Так что до абсолютного контроля далеко, но какие-то угрозы есть.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
yaplakal.com