Алексаня Тюрик
Ч0ткий!
Взлом SSL трафика не представляет проблемы для большинства спецслужб. Чтобы взломать зашифрованную HTTPS-сессию, потребуется иметь возможность прослушивать (перехватывать) трафик, а также расшифровать инкапсулированные в такой защищённый пакет данные. Те, кто следит за последними новостями «СОРМостроения», уже в курсе, что в соответствии с новым законом с 1 июля 2014 г. все российские провайдеры обязаны установить на свои сети спецоборудование для записи и хранения своего транзитного интернет-трафика в полном объёме на срок не менее 12 часов. В подавляющем большинстве случаев ФСБ может спокойно сохранять ваш HTTPS-трафик для его последующего ковыряния и взлома (например, когда станет известен приватный серверный ключ). При перехвате интересующего трафика HTTPS-сессии спецслужбами их информационная система получает запрос поиска соответствующего серверного ключа к своей базе данных. Если такой ключ не найден, он ставится в очередь на дальнейшее вычисление (взлом). В исключительных случаях возможен брутфорс приватных ключей с помощью специализированного высокопроизводительного аппаратного оборудования.
Интересно, что совсем другой источник — Эдвард Сноуден — год спустя полностью подтвердил существование информационной базы АНБ, содержащей актуальные SSL/TLS-ключи крупнейших и наиболее популярных веб-ресурсов мира. Повторюсь, это позволяет прозрачно (on-the-fly) дешифровать практически любой HTTPS-трафик, связанный с этими порталами и социальными сетями.
Летом 2013 года издание Cnet опубликовало информацию и документ-пример запроса АНБ в адрес крупной интернет-компании, с требованием предоставить в распоряжении федералов доступ к закрытым ключам SSL/TLS (SSL/TLS master encryption keys), выдать базы данных с хэшами паролей всех пользователей, а также расписать применяемые алгоритмы и методы хэширования. Согласно этому источнику стало известно, что такие же запросы получали в свой адрес и другие крупные интернет-площадки (Google, Microsoft, Apple, Yahoo, AOL, Verizon, AT&T и др.). Напрашивается вывод о существовании глобальных правительственных баз данных из валидных мастер-ключей для самых популярных интернет-ресурсов.
Однако сохраненный HTTPS трафик не всегда может быть взломан позже. Речь идёт о так называемом режиме прогрессивной секретности (forward secrecy, FS) для протокола HTTPS, который предотвращает возможность восстановления данных после окончания сеанса связи (даже если впоследствии злоумышленник сможет получить валидные ключи сайта). Наличие такого режима обязывает злоумышленника «ковать железо пока оно горячо» — то есть, взламывать данные в режиме реального времени, что в подавляющем большинстве случаев вряд ли технически возможно. Плохая новость заключается в том, что большинство крупных интернет-порталов не используют режим forward secrecy потому, что он создает дополнительную серьёзную нагрузку на сервер. Кроме того, использование подобных продвинутых DH-алгоритмов может негативно влиять на совместимость с некоторыми популярными браузерами. По состоянию на лето 2013, примерно 70-99 % SSL-соединений не использовали FS.
Так что вероятнее всего ФСБ может читать Privnote. Советую всем быть осторожнее. Не исключено что родина вас слышит и все записывает.
Ссылка по теме: blogerator.ru/page/eto-sorm-detka-bezopasnost-vzlom-1
Интересно, что совсем другой источник — Эдвард Сноуден — год спустя полностью подтвердил существование информационной базы АНБ, содержащей актуальные SSL/TLS-ключи крупнейших и наиболее популярных веб-ресурсов мира. Повторюсь, это позволяет прозрачно (on-the-fly) дешифровать практически любой HTTPS-трафик, связанный с этими порталами и социальными сетями.
Летом 2013 года издание Cnet опубликовало информацию и документ-пример запроса АНБ в адрес крупной интернет-компании, с требованием предоставить в распоряжении федералов доступ к закрытым ключам SSL/TLS (SSL/TLS master encryption keys), выдать базы данных с хэшами паролей всех пользователей, а также расписать применяемые алгоритмы и методы хэширования. Согласно этому источнику стало известно, что такие же запросы получали в свой адрес и другие крупные интернет-площадки (Google, Microsoft, Apple, Yahoo, AOL, Verizon, AT&T и др.). Напрашивается вывод о существовании глобальных правительственных баз данных из валидных мастер-ключей для самых популярных интернет-ресурсов.
Однако сохраненный HTTPS трафик не всегда может быть взломан позже. Речь идёт о так называемом режиме прогрессивной секретности (forward secrecy, FS) для протокола HTTPS, который предотвращает возможность восстановления данных после окончания сеанса связи (даже если впоследствии злоумышленник сможет получить валидные ключи сайта). Наличие такого режима обязывает злоумышленника «ковать железо пока оно горячо» — то есть, взламывать данные в режиме реального времени, что в подавляющем большинстве случаев вряд ли технически возможно. Плохая новость заключается в том, что большинство крупных интернет-порталов не используют режим forward secrecy потому, что он создает дополнительную серьёзную нагрузку на сервер. Кроме того, использование подобных продвинутых DH-алгоритмов может негативно влиять на совместимость с некоторыми популярными браузерами. По состоянию на лето 2013, примерно 70-99 % SSL-соединений не использовали FS.
Так что вероятнее всего ФСБ может читать Privnote. Советую всем быть осторожнее. Не исключено что родина вас слышит и все записывает.
Ссылка по теме: blogerator.ru/page/eto-sorm-detka-bezopasnost-vzlom-1