Email or username:

Password:

Forgot your password?
Top-level
Mahury

@skobkin я сейчас пытаюсь заниматься противодействием вот этому. и считаю где оно можно, а где нет. ну в меру законности.

30 comments
Alexey Skobkin

@Mahury
Ну вот на одного тебя, кто к нашим товарищам майорам относится так же с подозрением как к зарубежным есть пачка вот таких комментаторов, которые расскажут про победившее зло и то, что "да поставь ты Яндекс.Браузер, чо ты".

Mahury

@skobkin я браузер поставил. только он меня на второй попытке вспомнить пароль заблочил. в смысле сайт сбера, так как единственное ради чего это стоило ставить.

kurator88

@skobkin @Mahury

а 98% преступлений все так-же будут раскрывать оперативными методами без привлечения логов провайдера.

Alexey Skobkin replied to Mahury

@Mahury @kurator88
Возникает вопрос: а стоит ли тогда игра с государственным зондом ректальных свеч?
Потому что дела-то может какие-то и раскроют, а вот прозрачный контроль использования никто не даст.

А мы знаем, что сейчас можно на определённых форумах в Tor купить распечатку звонков, появления на камерах (в Москве как минимум), перелёты-переезды, etc.

Это я уже не говорю о том, что в ИБ не бывает "хороших бэкдоров".

В выдуманном мире, где бывают идеальные люди я бы теоретически мог поверить в аргументы какого-то государства о защите. Но мы не в том мире.

@Mahury @kurator88
Возникает вопрос: а стоит ли тогда игра с государственным зондом ректальных свеч?
Потому что дела-то может какие-то и раскроют, а вот прозрачный контроль использования никто не даст.

А мы знаем, что сейчас можно на определённых форумах в Tor купить распечатку звонков, появления на камерах (в Москве как минимум), перелёты-переезды, etc.

kurator88 replied to Alexey

@skobkin @Mahury

Я просто не понимаю отчего я должен верить одной коммерческой конторе и не должен верить другой. Для меня это все сорта сортов. Игра меча и брони. Хотите свои сертификаты - хорошо, я сделаю отдельную учетку. Отключите openvpn - ладно на я на wg пересяду или xray.

Караван идет - правительства вводят свои зонды.

Alexey Skobkin replied to kurator88

@kurator88 @Mahury
В данном конкретном случае разница есть: сущность выпускающая сертификат (какой-нибудь шведский CA) не имеет рычагов давления на ту же Mozilla.
Mozilla узнаёт о нарушениях (выпуск шведским CA сертификата для google.com, например) - блеклистит сертификат компании из Швеции и выпускает пресс-релиз.

Но вот в том, что Яндекс в случае обнаружения легким росчерком пера выкинет сертификат от государства из своего браузера у меня есть НЕКОТОРЫЕ СОМНЕНИЯ.

Это всё ещё игра с доверием, но когда акторы никак друг от друга не зависят, мне несколько проще им доверять.

@kurator88 @Mahury
В данном конкретном случае разница есть: сущность выпускающая сертификат (какой-нибудь шведский CA) не имеет рычагов давления на ту же Mozilla.
Mozilla узнаёт о нарушениях (выпуск шведским CA сертификата для google.com, например) - блеклистит сертификат компании из Швеции и выпускает пресс-релиз.

kurator88 replied to Alexey

@skobkin @Mahury

Вопрос всегда в том, как сильно хочется послушать вот конкретно тебя. Как говорит мой знакомый который регестрируется везде под реальными ФИО - просто помни что интернет это интернет.

Alexey Skobkin replied to kurator88

@kurator88 @Mahury
Когда какой-нибудь СОРМ или ТСПУ может при наличии подписанного государственным CA сертификата послушать твой трафик до любого ресурса - это уже чуть больше, чем "интернет - это интернет".
Это уже и личную переписочку в части мессенджеров, которые поверх TLS ничего не шифруют почитают, и при желании соберут по тебе профиль насколько ты не любишь власть.

[DATA EXPUNGED]
Alexey Skobkin replied to DELETED

@lemonid @kurator88 @Mahury
В ряде ситуаций - вполне рабочая схема.

[DATA EXPUNGED]
Alexey Skobkin replied to DELETED

@lemonid
Не, они как раз не частные случаи, а схему с глобальным зондом реализуют.
Именно это и наводит на мысли, что цель - явно не защита соединений со Сбером (точнее, далеко не только она).
@kurator88 @Mahury

Mahury replied to Alexey

@skobkin @kurator88 тут начинается вопрос против кого работаем. то есть в случае если CA на нашей территории и работает против нас - это понятно почему так. а если он где то в швеции - то мы для него неуловимые джо. а если CA в сша и возможное следствие против нас тоже в сша - то возникают вопросы аналогичные доверию к центру сертификации от минцифры.

Alexey Skobkin replied to Mahury

@Mahury @kurator88
Ещё раз: разные сущности.
Если CA в США выпустит сертификат туда, куда не должен был - вероятность того, что его не выкинут из браузеров - крайне мала.
Даже если удариться в конспирологию и сказать, что Mozilla "как создана ЦРУ, так и развивается" - у нас ещё как минимум есть Opera, которая принадлежит китайцам и наши замечательные Яндекс.Браузеры.

Здесь же нас форсируют пользоваться и сертификатом и браузером от одного актора.

Запилите коммерческий российский CA, который будет соответствовать требованиям к другим CA, пройдёт аудит о том, что не сливает ключи - добро пожаловать в сообщество CA, браузеры и ОС.
Но кто ж даст такой CA сделать в РФ если у нас он должен будет по дефолту ключами поделиться после поправок Яровой-Озерова и причастных?

Европа сейчас вот движется в очень неприятном направлении и там тоже очень уж хотят некоторые политики чтобы ключики компании сдавали. Но пока это ещё, к счастью, не случилось и, вероятно, в Европе посильнее будет выражен протест.
Но если это случится - доверия к европейским CA будет столько же сколько и к МинЦифре.

@Mahury @kurator88
Ещё раз: разные сущности.
Если CA в США выпустит сертификат туда, куда не должен был - вероятность того, что его не выкинут из браузеров - крайне мала.
Даже если удариться в конспирологию и сказать, что Mozilla "как создана ЦРУ, так и развивается" - у нас ещё как минимум есть Opera, которая принадлежит китайцам и наши замечательные Яндекс.Браузеры.

kurator88 replied to Alexey

@skobkin @Mahury

>Запилите коммерческий российский CA, который будет соответствовать требованиям к другим CA, пройдёт аудит о том, что не сливает ключи - добро пожаловать в сообщество CA, браузеры и ОС.

Вот у тебя есть уверенность что у нас сольют ключи, а у меня уверенность что у нас не сертифицируют CA.

hardworm ☭ replied to Alexey

@skobkin @Mahury @kurator88
> Если CA в США выпустит сертификат туда, куда не должен был - вероятность того, что его не выкинут из браузеров - крайне мала.

Слишком наивно. Когда там Сноуден раскрыл prism? Думаешь они за все это время не продвинулись дальше? А что там за веселая история с blackberry и арестами?

> Европа сейчас вот движется в очень неприятном направлении и там тоже очень уж хотят некоторые политики чтобы ключики компании сдавали.

давно они уже там. Был наезд на почтово провайдера шифрованной почты. Закон в Англиии где за не выдачу паролей к шифрованию тебя сажают.

Минцифре веры нет, но и другим тоже. Оно не прозрачное.

Единственный безопасный способ это полный криптоанархизм. OpenSource, только свои сервера, параноидальная настройка. И то не факт.

@skobkin @Mahury @kurator88
> Если CA в США выпустит сертификат туда, куда не должен был - вероятность того, что его не выкинут из браузеров - крайне мала.

Слишком наивно. Когда там Сноуден раскрыл prism? Думаешь они за все это время не продвинулись дальше? А что там за веселая история с blackberry и арестами?

Alexey Skobkin replied to hardworm

@hardworm @Mahury @kurator88

> Слишком наивно. Когда там Сноуден раскрыл prism?

Причём когда он раскрыл - было видно, что привлекать компании АНБ не очень хотели потому что так скрыть факт слежки будет сложнее.
Они там и исхитрялись с перехватом трафика между ДЦ гугла и другими подобными образами. И многое из этого работало потому что шифрование было не настолько в ходу как оно сейчас.

> Думаешь они за все это время не продвинулись дальше?

Ну продвинулись. Те же китайцы из Opera как узнают - с радостью выпизднут УЦ, который выдаст органам США.

Пока что инфраструктура УЦ - это относительно допустимый компромисс, который работает на обычного пользователя. Криптоанархизм, к сожалению, применить массово ПОКА не получится.
Хотя было бы неплохо.

@hardworm @Mahury @kurator88

> Слишком наивно. Когда там Сноуден раскрыл prism?

Причём когда он раскрыл - было видно, что привлекать компании АНБ не очень хотели потому что так скрыть факт слежки будет сложнее.
Они там и исхитрялись с перехватом трафика между ДЦ гугла и другими подобными образами. И многое из этого работало потому что шифрование было не настолько в ходу как оно сейчас.

Umnik replied to Alexey

@skobkin потому Франция выпускала корневые сертификаты, пока их Гугл за жопу не взял. И то он их спалил только потому что злая телеметрия Хрома настучала. А когда такое же будет делать США, то никто не стуканёт. @kurator88 @Mahury

Mahury replied to Umnik

@umnik @skobkin @kurator88 то есть практика существует и на эту тему дёргаться ну не очень осмысленно.

Alexey Skobkin replied to Mahury

@Mahury @umnik @kurator88
То есть есть случай с французами, есть случай с китайцами (WoSign, StartSSL). Оба случая нейтрализованы, выпущены пресс-релизы.

Ещё с британцами из Comodo был случай, ЕМНИП. Но там опять же, ЕМНИП, не было признаков злонамеренности и это было урегулировано без блеклиста CA - отзывом сертификатов.

Umnik replied to Alexey

@skobkin
Просто это не те страны, которым эти можно. К тому же это случаи, которые известны. А сколько неизвестных провернули и проворачивают сейчас?
@Mahury @kurator88

Alexey Skobkin replied to Umnik

@umnik @Mahury @kurator88
А сколько фарфоровых чайников вращается на орбите между Зёмлёй и Марсом вокруг Солнца?

Тут как с цитатой Черчилля про демократию. Ждём дальнейшего развития zero trust систем, а пока довольствуемся тем, что есть и сносно работает. По возможности противостоим тому чтобы эта система превращалась в фикцию.

Увидим пример что сертификат, которого не должно быть выпущен УЦ из США, есть признаки злонамеренности, но УЦ продолжает работу, а браузеры и производители ОС молчат - беспокоимся серьёзно.

Пока что репутация работает. Именно поэтому плохо если в системе появятся акторы, которым неважна их репутация.

@umnik @Mahury @kurator88
А сколько фарфоровых чайников вращается на орбите между Зёмлёй и Марсом вокруг Солнца?

Тут как с цитатой Черчилля про демократию. Ждём дальнейшего развития zero trust систем, а пока довольствуемся тем, что есть и сносно работает. По возможности противостоим тому чтобы эта система превращалась в фикцию.

Umnik replied to Alexey

@skobkin да в смысле? Как ты увидишь то это? @Mahury @kurator88

Alexey Skobkin replied to Umnik

@umnik @Mahury @kurator88
В смысле как?
Любой, кто достаточно мотивирован может сверять фингерпринт сертификата, а также смотреть кто его выпустил. Там же весь chain of trust виден.
Тут как с опенсорсом. Каждый пользователь не будет искать проблемы в ядре Linux, но некоторое количество людей, которым интересно делает выявление достаточно вероятным.

В случае не массовой, а таргетированной слежки вероятность снижается. Но тем не менее если человек за которым следят это обнаруживает - у него на руках цепочки с подписями кто кому что выписал.

@umnik @Mahury @kurator88
В смысле как?
Любой, кто достаточно мотивирован может сверять фингерпринт сертификата, а также смотреть кто его выпустил. Там же весь chain of trust виден.
Тут как с опенсорсом. Каждый пользователь не будет искать проблемы в ядре Linux, но некоторое количество людей, которым интересно делает выявление достаточно вероятным.

Umnik replied to Alexey

@skobkin в том смысле "как", что ЦС какой надо страны выпишет сертифика для кого надо и никто слова против не скажет. И, я уверен, это используется очень часто. Французы спалились только на том, что разбирали трафик апдейтера Хрома. Не наглели бы на столько - кто знает, сколько бы они продолжали так делать.

@Mahury @kurator88

Alexey Skobkin replied to Umnik

@umnik @Mahury @kurator88
Против этого существует certificate pinning, который тоже всё чаще применяется.
Что значительно повышает шанс обнаружения таких использований теми, "кому надо".

Umnik replied to Alexey

@skobkin знаю. И это возвращает нас к тому, что что вообще плохого в том, что Россия пытается в цифровой суниверитет? Я вижу в нашем ЦС только хорошее и топлю за него.
Потому что зло делать с его помощью - уже делают, но только _нам_. А тут - возможность продолжать работать. @Mahury @kurator88

Alexey Skobkin replied to Umnik

@umnik @Mahury @kurator88
Я ЗА то, чтобы в России (не "у") был УЦ.

При условии что он пройдёт такой же аудит как и другие УЦ и не будет обязан законом сливать ключи.

Umnik replied to Alexey

@skobkin да ёб наворот. Лёш, я понимаю твоё эльфийское желание. Но давай будем честны сами с собой:
1. Прохождение или не прохождение будет чисто политической хуйнёй. Будет Россия по дешёвке продавать углеводороды и не пиздеть со своей шконки - будет проходить аттестацию. Начнёт залупаться - не будет проходить аттестацию
2. Францию я привёл в пример как страну из ЕС. Если бы не залезли в обновления Гугла, их бы и не спалили
3. Аттестацию не проходит серьёзно никто, потому что п.1. Франция не лишилась своего ЦС.

Я тоже испытываю некоторые опасения, добавив отечественный сертифика в свой браузер, но так, не слишком сильно. Как раз потому что HSTS preload list есть. И единственное, что было бы реально полезно - аддон для браузера, который бы мне светился индикатором желаемого цвета, когда детектирует триггерный сертификат. Зашёл на Госуслуги и увидел цвет - всё правильно, я этого ждал. Зашёл на лор.ш и увидел цвет - я этого не ждал, пишу жалобу.

Нахуй не нужна аттестация из-за того, что всё решается политикой. А вот аддон - нужен.
@Mahury @kurator88

@skobkin да ёб наворот. Лёш, я понимаю твоё эльфийское желание. Но давай будем честны сами с собой:
1. Прохождение или не прохождение будет чисто политической хуйнёй. Будет Россия по дешёвке продавать углеводороды и не пиздеть со своей шконки - будет проходить аттестацию. Начнёт залупаться - не будет проходить аттестацию
2. Францию я привёл в пример как страну из ЕС. Если бы не залезли в обновления Гугла, их бы и не спалили
3. Аттестацию не проходит серьёзно никто, потому что п.1. Франция не лишилась своего ЦС.

Alexey Skobkin replied to Umnik

@umnik @Mahury @kurator88
Ну как бы это всё субъективщина. Не вижу смысла тебе в ответ нагружать подобного же.

А то, что ты не испытываешь особых опасений - это недостаточная для меня причина чтобы делать так же.

Go Up