Re: Маск подо**рал все спецслужбы мира, включая свои
От: Pzz Россия https://github.com/alexpevzner
Дата: 26.08.24 19:16
Оценка: +8
Здравствуйте, Barbar1an, Вы писали:

B>я тут подумал что похоже маск подосрал все спецслужбы мира, и сша тоже

B>если у тебя есть наземный инет и спутниковый

Ничего не понятно, но очень интересно.

B>то теперь если через ОС получить два соединения и по одному — например медленному старлинку — обменяться ключами (даже RSA и тп не нада)

B>а потом ими шифровать трафик по наземному,

А что мешает, воспользовавшись трудами стариков Диффи и Хеллмана, сделать это по одному интернету?
Re[2]: Маск подо**рал все спецслужбы мира, включая свои
От: Sinclair Россия https://github.com/evilguest/
Дата: 28.08.24 07:33
Оценка: +2
Здравствуйте, Pzz, Вы писали:
Pzz>А что мешает, воспользовавшись трудами стариков Диффи и Хеллмана, сделать это по одному интернету?
Мешает боязнь MITM. Если для обмена ключами и данными используется один и тот же канал, то у нас нет гарантии отсутствия утечек.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Re[4]: Маск подо**рал все спецслужбы мира, включая свои
От: Pzz Россия https://github.com/alexpevzner
Дата: 28.08.24 08:01
Оценка: +1 :)
Здравствуйте, Shmj, Вы писали:

S>Другой вопрос — кому это нужно? Все-равно всех не подслушать и не записать. Смысл? В основном все люди — ничего не представляют из себя и никому не интересны. Ну разве что интересны в плане налогов, но это и так можно отследить, т.к. все равно все через банковскую или плат. систему проходит в конечном итоге.


Сам по себе ты, конечно, никому не интересен. Интересна возможность поставить тебя на прослушку задним числом, если вдруг станешь интересен.
Re[6]: Маск подо**рал все спецслужбы мира, включая свои
От: rudzuk  
Дата: 30.08.24 17:22
Оценка: +1 :)
Здравствуйте, vdimas, Вы писали:

v> В общем, MITM в теории прост, а на деле должен воссоздать чуть ли не альтернативный интернет атакуемым субъектам.


Ну и чтобы два раза не вставать: https://www.opennet.ru/opennews/art.shtml?num=59965
avalon/3.0.2
Re[2]: Маск подо**рал все спецслужбы мира, включая свои
От: Barbar1an Украина  
Дата: 26.08.24 21:03
Оценка: :)
Здравствуйте, Shmj, Вы писали:

S>Здравствуйте, Barbar1an, Вы писали:


B>>то тогда старлинк получит ключи, но не получит данные и сша получат х*й (а планировали наверно обратное)

B>>а локальные спецслужбы получат данные, но не получат ключи

S>Я вас тут уже 20 лет смотрю. И неужели за 20 лет нельзя было прочитать что такое асимметричное шифрование и обмен ключами по небезопасному каналу, чтобы не писать глупостей?


S>Есть же бесплатный и доступный для всех https://github.com/saturneric/GpgFrontend/releases


а про RSA я зачем упамянул?
вам не стыдно за 20 лет так и не выучить атаку на ассиметричное шифрование через подмену публичного ключа? и не нада тут тока про серитификаты писать, они есть у всех кто хорошо попросит.
Я изъездил эту страну вдоль и поперек, общался с умнейшими людьми и я могу вам ручаться в том, что обработка данных является лишь причудой, мода на которую продержится не более года. (с) Эксперт, авторитет и профессионал из 1957 г.
Re[5]: Маск подо**рал все спецслужбы мира, включая свои
От: Pzz Россия https://github.com/alexpevzner
Дата: 28.08.24 09:28
Оценка: +1
Здравствуйте, Sinclair, Вы писали:

Pzz>>Чтобы не было MITM, стороны должны иметь возможность идентифицировать друг друга (или хотя бы одна сторона, если другой "все равно").

S>Ну вот в этом-то и проблема. Все возможности идентификации построены на доверии к третьей стороне, либо на разведении каналов.

С таким же успехом можно передать fingerprint сертификата через телегу или, даже, по e-mail. Трудно контролировать все протоколы.
Re[8]: Маск подо**рал все спецслужбы мира, включая свои
От: Sinclair Россия https://github.com/evilguest/
Дата: 28.08.24 13:11
Оценка: :)
Здравствуйте, Pzz, Вы писали:
Pzz>Передай картиночкой через телегу. Если твой провайдет умеет такое перехватывать, ну, он о-о-очень крут.
Не "мой провайдер", а ФСБшное оборудование, которое у него принудительно стоит. И ничего крутого в этом нету — в телеге шифруется вовсе даже не всё.
Pzz>Но мне кажется, терморектальный криптоанализ практичнее, чем такой уровень техногогий.
Терморектальный криптоанализ требует близкого взаимодействия с криптоанализируемым. А технологии, интересные Мистерам Смитам, позволяют массово взбадривать электорат, не выходя из кабинета.
Вот когда чисто-цифровые методы позволят сузить круг подозреваемых, тогда-то и и настанет очередь терморекталки.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Re[8]: Маск подо**рал все спецслужбы мира, включая свои
От: rudzuk  
Дата: 01.09.24 20:01
Оценка: -1
Здравствуйте, vdimas, Вы писали:

v> R>Чушь. Приходит тащ майор в доверенный центр сертификации, и очень доверительно предлагает посотрудничать. Отказаться центр не может, ибо есть обязывающий патриотический акт. Фсе.


v> А как это коснётся независимых центров-эмитентов ключей, раскиданных по всему миру?


Про не зависимость это сейчас смешно было. Ну нельзя же быть такими наивными, в наше то время... Борьба с терроризмом оправдает все что угодно.
avalon/3.0.2
Маск подо**рал все спецслужбы мира, включая свои
От: Barbar1an Украина  
Дата: 26.08.24 19:00
Оценка:
я тут подумал что похоже маск подосрал все спецслужбы мира, и сша тоже
если у тебя есть наземный инет и спутниковый
то теперь если через ОС получить два соединения и по одному — например медленному старлинку — обменяться ключами (даже RSA и тп не нада)
а потом ими шифровать трафик по наземному,
то тогда старлинк получит ключи, но не получит данные и сша получат х*й (а планировали наверно обратное)
а локальные спецслужбы получат данные, но не получат ключи
Я изъездил эту страну вдоль и поперек, общался с умнейшими людьми и я могу вам ручаться в том, что обработка данных является лишь причудой, мода на которую продержится не более года. (с) Эксперт, авторитет и профессионал из 1957 г.
Отредактировано 26.08.2024 19:02 Barbar1an . Предыдущая версия .
Re: Маск подо**рал все спецслужбы мира, включая свои
От: pagid_ Россия  
Дата: 26.08.24 19:45
Оценка:
Здравствуйте, Barbar1an, Вы писали:

B>я тут подумал что похоже маск подосрал все спецслужбы мира, и сша тоже

B>если у тебя есть наземный инет и спутниковый
B>то теперь если через ОС получить два соединения и по одному — например медленному старлинку — обменяться ключами (даже RSA и тп не нада)
B>а потом ими шифровать трафик по наземному,
B>то тогда старлинк получит ключи, но не получит данные и сша получат х*й (а планировали наверно обратное)
B>а локальные спецслужбы получат данные, но не получат ключи

Разве местный трафик Старлинка проходит через США, а не местные базовые станции контролируемые местным правительством? Если конечно страна достаточно большая чтобы вообще обращать внимание на то откуда у её населения интернет берется. И если договоры со Старлинком заключаются через местных представителей находящихся в местной юрисдикции. Но как бы там ни было, трафик не войдет через десяток спутников из-за океана, а пойдет с наземных станций находящихся рядом.
Re: Маск подо**рал все спецслужбы мира, включая свои
От: Shmj Ниоткуда  
Дата: 26.08.24 20:41
Оценка:
Здравствуйте, Barbar1an, Вы писали:

B>то тогда старлинк получит ключи, но не получит данные и сша получат х*й (а планировали наверно обратное)

B>а локальные спецслужбы получат данные, но не получат ключи

Я вас тут уже 20 лет смотрю. И неужели за 20 лет нельзя было прочитать что такое асимметричное шифрование и обмен ключами по небезопасному каналу, чтобы не писать глупостей?

Есть же бесплатный и доступный для всех https://github.com/saturneric/GpgFrontend/releases
Re[2]: Маск подо**рал все спецслужбы мира, включая свои
От: Barbar1an Украина  
Дата: 26.08.24 21:08
Оценка:
Здравствуйте, pagid_, Вы писали:

_>Здравствуйте, Barbar1an, Вы писали:


B>>я тут подумал что похоже маск подосрал все спецслужбы мира, и сша тоже

B>>если у тебя есть наземный инет и спутниковый
B>>то теперь если через ОС получить два соединения и по одному — например медленному старлинку — обменяться ключами (даже RSA и тп не нада)
B>>а потом ими шифровать трафик по наземному,
B>>то тогда старлинк получит ключи, но не получит данные и сша получат х*й (а планировали наверно обратное)
B>>а локальные спецслужбы получат данные, но не получат ключи

_>Разве местный трафик Старлинка проходит через США, а не местные базовые станции контролируемые местным правительством? Если конечно страна достаточно большая чтобы вообще обращать внимание на то откуда у её населения интернет берется. И если договоры со Старлинком заключаются через местных представителей находящихся в местной юрисдикции. Но как бы там ни было, трафик не войдет через десяток спутников из-за океана, а пойдет с наземных станций находящихся рядом.


у старлинка есть 2 типа пакетов — мобильные и стационарные
с мобильным вы можете хоть в океане находиться и тогда трафик будет марш-ся на ближайшую наземную станцию, сложно вообще предсказать на какую
например у меня в укр старлинк имеет немецкую регистрацию и немецкий айпи значит дето туда трафик и транслируется
более того, в укр вообще нет станций поэтому весь стралинк тут идет куда угодно тока не через саму украину
Я изъездил эту страну вдоль и поперек, общался с умнейшими людьми и я могу вам ручаться в том, что обработка данных является лишь причудой, мода на которую продержится не более года. (с) Эксперт, авторитет и профессионал из 1957 г.
Отредактировано 26.08.2024 21:10 Barbar1an . Предыдущая версия .
Re[3]: Маск подо**рал все спецслужбы мира, включая свои
От: Shmj Ниоткуда  
Дата: 26.08.24 21:11
Оценка:
Здравствуйте, Barbar1an, Вы писали:

B>а про RSA я зачем упамянул?

B>вам не стыдно за 20 лет так и не выучить атаку на ассиметричное шифрование через подмену публичного ключа? и не нада тут тока про серитификаты писать, они есть у всех кто хорошо попросит.

Ну по телефону то всегда можно было позвонить и голосом подтвердить отпечаток публичного ключа?

Другой вопрос — кому это нужно? Все-равно всех не подслушать и не записать. Смысл? В основном все люди — ничего не представляют из себя и никому не интересны. Ну разве что интересны в плане налогов, но это и так можно отследить, т.к. все равно все через банковскую или плат. систему проходит в конечном итоге.
Отредактировано 26.08.2024 21:13 Shmj . Предыдущая версия .
Re[3]: Маск подо**рал все спецслужбы мира, включая свои
От: Pzz Россия https://github.com/alexpevzner
Дата: 28.08.24 07:44
Оценка:
Здравствуйте, Sinclair, Вы писали:

S>Здравствуйте, Pzz, Вы писали:

Pzz>>А что мешает, воспользовавшись трудами стариков Диффи и Хеллмана, сделать это по одному интернету?
S>Мешает боязнь MITM. Если для обмена ключами и данными используется один и тот же канал, то у нас нет гарантии отсутствия утечек.

Чтобы не было MITM, стороны должны иметь возможность идентифицировать друг друга (или хотя бы одна сторона, если другой "все равно").
Re: Маск подо**рал все спецслужбы мира, включая свои
От: koenig  
Дата: 28.08.24 08:42
Оценка:
B>то тогда старлинк получит ключи, но не получит данные и сша получат х*й (а планировали наверно обратное)
B>а локальные спецслужбы получат данные, но не получат ключи

а ты хорош (c)
Re[3]: Маск подо**рал все спецслужбы мира, включая свои
От: Pzz Россия https://github.com/alexpevzner
Дата: 28.08.24 08:44
Оценка:
Здравствуйте, Barbar1an, Вы писали:

S>>Есть же бесплатный и доступный для всех https://github.com/saturneric/GpgFrontend/releases


B>а про RSA я зачем упамянул?


Перепутал с DHE?
Re[3]: Маск подо**рал все спецслужбы мира, включая свои
От: imh0  
Дата: 28.08.24 08:53
Оценка:
Здравствуйте, Sinclair, Вы писали:

S>Здравствуйте, Pzz, Вы писали:

Pzz>>А что мешает, воспользовавшись трудами стариков Диффи и Хеллмана, сделать это по одному интернету?
S>Мешает боязнь MITM. Если для обмена ключами и данными используется один и тот же канал, то у нас нет гарантии отсутствия утечек.

Для зашифрованного обмена достаточно публичного ключа.
Даже если дальше хочется гонять на симитричных
Re[3]: Маск подо**рал все спецслужбы мира, включая свои
От: imh0  
Дата: 28.08.24 08:56
Оценка:
Здравствуйте, Barbar1an, Вы писали:

B>а про RSA я зачем упамянул?

B>вам не стыдно за 20 лет так и не выучить атаку на ассиметричное шифрование через подмену публичного ключа? и не нада тут тока про серитификаты писать, они есть у всех кто хорошо попросит.

Расскажи про то как подменить уже опубликованный публичный ключ? ))
Re[4]: Маск подо**рал все спецслужбы мира, включая свои
От: Sinclair Россия https://github.com/evilguest/
Дата: 28.08.24 09:10
Оценка:
Здравствуйте, imh0, Вы писали:
I>Расскажи про то как подменить уже опубликованный публичный ключ? ))
"Уже опубликованный" == "переданный по небезопасному каналу". Если MITM сидит там с самого начала, то ему не составит труда подменить ключ в процессе "публикации".
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Re[4]: Маск подо**рал все спецслужбы мира, включая свои
От: Sinclair Россия https://github.com/evilguest/
Дата: 28.08.24 09:12
Оценка:
Здравствуйте, Pzz, Вы писали:

Pzz>Чтобы не было MITM, стороны должны иметь возможность идентифицировать друг друга (или хотя бы одна сторона, если другой "все равно").

Ну вот в этом-то и проблема. Все возможности идентификации построены на доверии к третьей стороне, либо на разведении каналов.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Re[6]: Маск подо**рал все спецслужбы мира, включая свои
От: Sinclair Россия https://github.com/evilguest/
Дата: 28.08.24 10:51
Оценка:
Здравствуйте, Pzz, Вы писали:
Pzz>С таким же успехом можно передать fingerprint сертификата через телегу или, даже, по e-mail. Трудно контролировать все протоколы.
Если все протоколы едут по одному и тому же каналу — то нет, нетрудно. Стоит себе такое оборудование прямо в датацентре локального ISP, и все протоколы вынюхивает.
Ну, точнее как — не то, чтобы "нетрудно". Но и невозможным я бы это тоже не назвал — тем более, что оборудование уже стоит.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Re[7]: Маск подо**рал все спецслужбы мира, включая свои
От: Pzz Россия https://github.com/alexpevzner
Дата: 28.08.24 11:00
Оценка:
Здравствуйте, Sinclair, Вы писали:

Pzz>>С таким же успехом можно передать fingerprint сертификата через телегу или, даже, по e-mail. Трудно контролировать все протоколы.

S>Если все протоколы едут по одному и тому же каналу — то нет, нетрудно. Стоит себе такое оборудование прямо в датацентре локального ISP, и все протоколы вынюхивает.
S>Ну, точнее как — не то, чтобы "нетрудно". Но и невозможным я бы это тоже не назвал — тем более, что оборудование уже стоит.

Передай картиночкой через телегу. Если твой провайдет умеет такое перехватывать, ну, он о-о-очень крут. Но мне кажется, терморектальный криптоанализ практичнее, чем такой уровень техногогий.
Re[7]: Маск подо**рал все спецслужбы мира, включая свои
От: Shmj Ниоткуда  
Дата: 28.08.24 11:13
Оценка:
Здравствуйте, Sinclair, Вы писали:

S>Если все протоколы едут по одному и тому же каналу — то нет, нетрудно. Стоит себе такое оборудование прямо в датацентре локального ISP, и все протоколы вынюхивает.

S>Ну, точнее как — не то, чтобы "нетрудно". Но и невозможным я бы это тоже не назвал — тем более, что оборудование уже стоит.

Ну пока голос и видео подделать то не могут — всегда можно позвонить и в онлайне голосом сверить Thumbprint публичного ключа. Если уж голос и видео начнут подделывать, тогда не знаю — тогда будет большая проблема можно сказать на уровне государства.
Re[4]: Маск подо**рал все спецслужбы мира, включая свои
От: Shmj Ниоткуда  
Дата: 28.08.24 13:09
Оценка:
Здравствуйте, Pzz, Вы писали:

B>>а про RSA я зачем упамянул?

Pzz>Перепутал с DHE?

Он все верно написал — RSA двойного значения, им можно и подпись делать и шифрование с открытым ключом.
Re[5]: Маск подо**рал все спецслужбы мира, включая свои
От: vdimas Россия  
Дата: 29.08.24 18:56
Оценка:
Здравствуйте, Sinclair, Вы писали:

I>>Расскажи про то как подменить уже опубликованный публичный ключ? ))

S>"Уже опубликованный" == "переданный по небезопасному каналу". Если MITM сидит там с самого начала, то ему не составит труда подменить ключ в процессе "публикации".

Публичные ключи и цепочки сертификатов на доверенные центры распространяются в т.ч. с обновлениями операционок, где в т.ч. можно проверить публикуемые CRC пакетов обновлений, где эти публикации многократно где могут дублироваться.

В общем, MITM в теории прост, а на деле должен воссоздать чуть ли не альтернативный интернет атакуемым субъектам.
Re[6]: Маск подо**рал все спецслужбы мира, включая свои
От: rudzuk  
Дата: 30.08.24 17:11
Оценка:
Здравствуйте, vdimas, Вы писали:

v> Публичные ключи и цепочки сертификатов на доверенные центры распространяются в т.ч. с обновлениями операционок, где в т.ч. можно проверить публикуемые CRC пакетов обновлений, где эти публикации многократно где могут дублироваться.


v> В общем, MITM в теории прост, а на деле должен воссоздать чуть ли не альтернативный интернет атакуемым субъектам.


Чушь. Приходит тащ майор в доверенный центр сертификации, и очень доверительно предлагает посотрудничать. Отказаться центр не может, ибо есть обязывающий патриотический акт. Фсе.
avalon/3.0.2
Re[7]: Маск подо**рал все спецслужбы мира, включая свои
От: sergey2b ЮАР  
Дата: 30.08.24 17:15
Оценка:
Один вопрос плиз

Я про товарища майора услышал первый раз в 89
Почему за 35 лет его не повысили в звании
Re[8]: Маск подо**рал все спецслужбы мира, включая свои
От: rudzuk  
Дата: 30.08.24 17:19
Оценка:
Здравствуйте, sergey2b, Вы писали:

s> Один вопрос плиз


s> Я про товарища майора услышал первый раз в 89

s> Почему за 35 лет его не повысили в звании

Это новый. Тот на повышение ушел.
avalon/3.0.2
Re[7]: Маск подо**рал все спецслужбы мира, включая свои
От: vdimas Россия  
Дата: 01.09.24 18:57
Оценка:
Здравствуйте, rudzuk, Вы писали:

v>> В общем, MITM в теории прост, а на деле должен воссоздать чуть ли не альтернативный интернет атакуемым субъектам.

R>Чушь. Приходит тащ майор в доверенный центр сертификации, и очень доверительно предлагает посотрудничать. Отказаться центр не может, ибо есть обязывающий патриотический акт. Фсе.

А как это коснётся независимых центров-эмитентов ключей, раскиданных по всему миру?
Re[7]: Маск подо**рал все спецслужбы мира, включая свои
От: vdimas Россия  
Дата: 01.09.24 19:26
Оценка:
Здравствуйте, rudzuk, Вы писали:

v>> В общем, MITM в теории прост, а на деле должен воссоздать чуть ли не альтернативный интернет атакуемым субъектам.

R>Ну и чтобы два раза не вставать: https://www.opennet.ru/opennews/art.shtml?num=59965

Проблема, как видно из статьи, (а) в бесхозном Let’s Encrypt, что любой мог в автоматическом режиме получить сертификат на тот же хост, и (б) — в неполноценном использовании клиентами и сервером джаббера возможностей протокола TLS.

Например, в TLS сегодня стандартом де-факто стало использование расширения SNI, которое дополнительно защищает от подмены сертификата (хотя, изначально было введено из других соображений, см описание) — подменный сертификат должен быть выдан на тот же хост и, опционально (а эту опцию стоит задействовать, ес-но) проходить ту же цепочку валидации.

Как раз в своей конторе эти вопросы и всё вокруг этого на мне в плюсовых и дотнетных версиях, и как раз явное указание доверенных цепочек широко используется в финансовых транзакциях, бо никаким левым CA никто доверять не собирается, ес-но.

Итого, если использовать оба подхода, то MITM сможет работать только если один и тот же Certificate Authority будет выдавать разным аккаунтам сертификаты на один и тот же хост, что сразу превращает всю инфраструктуру открытых ключей в тыкву, т.е. рассуждения об этой инфраструктуре, как она описана в теории, перестают иметь к ней какое-либо отношение.

И да, есть очень простой способ защититься даже в случае использования бесхозных Let’s Encrypt и прочих — это создать дочерний приватный свой центр сертификации (многие конторы с большим кол-вом клиентов-подключений так делают), т.е. добавить +1 к цепочке валидации доверенных ключей, и чтобы приложухи клиента и сервера пользовали именно эту цепочку.

Если бы Jabber так поступил, он бы вынудил майора прийти уже прямо к ним и запросить уже у них такой же сертификат, т.е. выданный их же приватным CA.
И тут снова MITM теряет смысл — тогда уж можно майору дать прямой доступ к системе изнутри, т.е. можно тогда встроить MITM в сам джаббер-сервер, без возни с проксями-перехватчиками.
Отредактировано 01.09.2024 19:28 vdimas . Предыдущая версия .
Re[8]: Маск подо**рал все спецслужбы мира, включая свои
От: m2user  
Дата: 01.09.24 22:40
Оценка:
V>Например, в TLS сегодня стандартом де-факто стало использование расширения SNI, которое дополнительно защищает от подмены сертификата (хотя, изначально было введено из других соображений, см описание) — подменный сертификат должен быть выдан на тот же хост и, опционально (а эту опцию стоит задействовать, ес-но) проходить ту же цепочку валидации.
V>Как раз в своей конторе эти вопросы и всё вокруг этого на мне в плюсовых и дотнетных версиях, и как раз явное указание доверенных цепочек широко используется в финансовых транзакциях, бо никаким левым CA никто доверять не собирается, ес-но.

Через DNS-запись CAA, упоминаемую в статье? Ну так тут уже MITM атаке может быть подвержен DNS запрос.

V>Итого, если использовать оба подхода, то MITM сможет работать только если один и тот же Certificate Authority будет выдавать разным аккаунтам сертификаты на один и тот же хост, что сразу превращает всю инфраструктуру открытых ключей в тыкву, т.е. рассуждения об этой инфраструктуре, как она описана в теории, перестают иметь к ней какое-либо отношение.


От этого в некоторой степени защищает отслеживание логов Certificate Transparency. Об этом кстати в статье и написано.

V>И да, есть очень простой способ защититься даже в случае использования бесхозных Let’s Encrypt и прочих — это создать дочерний приватный свой центр сертификации (многие конторы с большим кол-вом клиентов-подключений так делают), т.е. добавить +1 к цепочке валидации доверенных ключей, и чтобы приложухи клиента и сервера пользовали именно эту цепочку.

V>Если бы Jabber так поступил, он бы вынудил майора прийти уже прямо к ним и запросить уже у них такой же сертификат, т.е. выданный их же приватным CA.

Если клиентской и серверной частью управляет одна и та же организация, то сторонние CA конечно не нужны.
В общем случае это не так. С jabber.ru может работать любой third-party клиент (или сервере для S2S коммуникаций).
Re[9]: Маск подо**рал все спецслужбы мира, включая свои
От: vdimas Россия  
Дата: 02.09.24 15:05
Оценка:
Здравствуйте, m2user, Вы писали:

M>Если клиентской и серверной частью управляет одна и та же организация, то сторонние CA конечно не нужны.

M>В общем случае это не так. С jabber.ru может работать любой third-party клиент (или сервере для S2S коммуникаций).

Дык, в этом и суть — идентификации всегда подвергается противоположная сторона.

Т.е. это в интересах клиента — удостовериться, что он подключается именно на jabber-сервис, а не к MITM.
Тогда, в случае приватного дочернего CA, клиенту для надёжной валидации истинности сервера необходимо использовать именно указанную цепочку валидации для сервера.

А если клиент валидирует сервер недостаточно тщательно, то такой клиент ССЗБ.
В TLS вообще есть возможность разрешить соединение, даже если валидация не прошла, если валидируется только сервер, как в случае браузинга или подключения к сервисам, навроде джаббера.
Т.е., выстрелить себе в ногу ни разу не запрещено. ))

Ну и, в финансовой области, зачастую клиентам тоже раздают сертификаты, которые серверной частью валидируются относительно приватных цепочек сертификатов (как минимум дочерних их СА).
В этом случае сервер дополнительно защищается от левых клиентов, т.е. сервер защищает от левых клиентов остальных участников торгов.
Отредактировано 02.09.2024 15:07 vdimas . Предыдущая версия .
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.