С 1 января 2016 года <...> Комитет связи Казахстана <...> внедряет национальный сертификат безопасности для пользователей сети Интернет.
...
Национальный сертификат безопасности обеспечит защиту казахстанских пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет.
...
установка сертификата безопасности должна быть выполнена с каждого устройства абонента, с которого будет осуществляться выход в сеть Интернет (мобильные телефоны и планшеты на базе iOS/Android, персональные компьютеры и ноутбуки на базе Windows/MacOS).
За словами "сертификат безопасности обеспечит защиту казахстанских пользователей" стоит принудительный DPI https-трафика и MITM от государства, я правильно понимаю?
А потом, ключ от этого сертификата "утечет", и миллионы людей получат еще и от какеров, помимо государства?
Здравствуйте, oziro, Вы писали:
O>Пожалуйста, прокомментируйте. http://www.computerworld.kz/news/9466/
O>За словами "сертификат безопасности обеспечит защиту казахстанских пользователей" стоит принудительный DPI https-трафика и MITM от государства, я правильно понимаю?
Правильно.
O>А потом, ключ от этого сертификата "утечет", и миллионы людей получат еще и от какеров, помимо государства?
Не утечёт. На 99% процентов я уверен, что ключ в железке и выковырять его оттуда нельзя при всём желании. В Казахстане уже много лет развёрнута национальная инфраструктура цифровых сертификатов и безопасность там обеспечена нормальная.
Не говоря уже о том, что влезть в провод совсем не просто для "хакеров".
Here is a link to the certificate, private key, and PFX file for the certificate I found on my machine. The password for the PFX file is "dell".
При чём тут Dell? В данном случае ключ будет у обслуживающей компании, а не устанавливаться на компьютер пользователя.
vsb>>Не говоря уже о том, что влезть в провод совсем не просто для "хакеров".
O>Да в любом подъезде врубайся в разрыв витой пары, никто даже не заметит, провода и так торчат из всех щелей.
Здравствуйте, vsb, Вы писали:
vsb>Не утечёт. На 99% процентов я уверен, что ключ в железке и выковырять его оттуда нельзя при всём желании. В Казахстане уже много лет развёрнута национальная инфраструктура цифровых сертификатов и безопасность там обеспечена нормальная.
Утечет-утечет. Ключ не только в железке, есть еще и бэкапы.
А как утечет, так и сертификат отзовут, и вся затея накроется.
Здравствуйте, wildwind, Вы писали:
vsb>>Не утечёт. На 99% процентов я уверен, что ключ в железке и выковырять его оттуда нельзя при всём желании. В Казахстане уже много лет развёрнута национальная инфраструктура цифровых сертификатов и безопасность там обеспечена нормальная.
W>Утечет-утечет. Ключ не только в железке, есть еще и бэкапы. W>А как утечет, так и сертификат отзовут, и вся затея накроется.
У тебя в браузере наверняка под сотню CA установлено. Много из них клюей утекло?
PS я только за, если эта затея накроется медным тазом, этот люто бредовую затею я даже комментировать не хочу. Но вряд ли это произойдёт. Я уже говорил, что в Казахстане много лет работает национальный УЦ, выдающий сертификаты гражданам, которые имеют юридическую силу подписи, думаю не надо говорить, что утечка такого ключа куда опасней, чем HTTPS. Но не утекал пока что.
O>установка сертификата безопасности должна быть выполнена с каждого устройства абонента, с которого будет осуществляться выход в сеть Интернет (мобильные телефоны и планшеты на базе iOS/Android, персональные компьютеры и ноутбуки на базе Windows/MacOS).
А если не ставить, то че?
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, vsb, Вы писали:
vsb>У тебя в браузере наверняка под сотню CA установлено. Много из них клюей утекло?
Мне кажется, ты суть проблемы не совсем уловил. Те сертификаты, о которых ты говоришь, используются для удостоверения сайтов и шифрования траффика. То что планируют сделать власти Казахстана будет сильно отличаться, ведь их идея получить доступ ко всему зашифрованному (теми "под сотню CA") трафику. Но трафик не же не будет просто расшифрован. Он будет проанализирован и как минимум метаинформация будет сохранена в правительственных базах. Для конечно пользователя это означает, что вся его переписка (тебе, скорей всего, это не критично, а вот какой-нибудь директор крупного предприятия/адвокат и люди других профессий, критичных к утечкам данных будут в ужасе от открывающихся перспектив) будет доступна как минимум правительству, а как максимум любому хакеру, который взломает это хранилище. Кроме того, все сразу могут забыть о интернет банках (надо быть идиотом что бы в него полезть, понимая что весь трафик будет расшифрован и сохранён в той или иной форме), онлайн покупках и прочих радостях интернет-цивилизации.
Здравствуйте, Ops, Вы писали:
Ops>А если не ставить, то че?
Браузер/почтовый клиент будут ругаться, говорить что на сайт ходить страшно, с сертификатом там что-то не так. Но пойдут, если ты настоишь. На то что твой трафик будет перехвачен это никак не повлияет. То есть перехвату это никак не помешает.
Здравствуйте, kaa.python, Вы писали:
vsb>>У тебя в браузере наверняка под сотню CA установлено. Много из них клюей утекло?
KP>Мне кажется, ты суть проблемы не совсем уловил. Те сертификаты, о которых ты говоришь, используются для удостоверения сайтов и шифрования траффика. То что планируют сделать власти Казахстана будет сильно отличаться, ведь их идея получить доступ ко всему зашифрованному (теми "под сотню CA") трафику. Но трафик не же не будет просто расшифрован. Он будет проанализирован и как минимум метаинформация будет сохранена в правительственных базах. Для конечно пользователя это означает, что вся его переписка (тебе, скорей всего, это не критично, а вот какой-нибудь директор крупного предприятия/адвокат и люди других профессий, критичных к утечкам данных будут в ужасе от открывающихся перспектив) будет доступна как минимум правительству, а как максимум любому хакеру, который взломает это хранилище. Кроме того, все сразу могут забыть о интернет банках (надо быть идиотом что бы в него полезть, понимая что весь трафик будет расшифрован и сохранён в той или иной форме), онлайн покупках и прочих радостях интернет-цивилизации.
Речь шла о том, что утечёт мастер-ключ, а не собранные базы. Я убеждён в том, что он не утечёт. В остальном согласен, но правительство и так может кого хочешь перехватить при желании, имхо. Тупо зайдут, компьютеры вынесут и всё. Чтобы такого не было, нужна крыша в КНБ, а шифрование тут вторично. Про онлайн-банк не понял. Думаешь, КНБшники будут тырить номера кредиток? Что такого ценного в трафике до онлайн-банка. Ну да, информация относительно конфиденциальная, но не более, чем тупо покопаться в мусорке и найти там чеки.
Например в России давно СОРМ логгирует трафик, насколько мне известно. Были инциденты с тем, что этот трафик всплывал в нелегальных базах?
Помимо прочего речь идёт о внешнем трафике. .kz-серверы обычно стоят внутри страны и вроде бы с ними ничего не будет. Ладно, поживём-увидим, сейчас это всё гадания не кофейной гуще.
Здравствуйте, vsb, Вы писали:
vsb>Про онлайн-банк не понял. Думаешь, КНБшники будут тырить номера кредиток? Что такого ценного в трафике до онлайн-банка. Ну да, информация относительно конфиденциальная, но не более, чем тупо покопаться в мусорке и найти там чеки.
Как что, все логины и пароли будут собранны в одном месте. То есть твой логин и пароль к интернет банку будет в этой базе. Ты будешь заходить в свой банковский аккаунт при таком раскладе? Там же будет твой логин с паролем к GMail, Live и всем остальным аккаунтам, что ты используешь. А еще, у тебя отвалится обновление Windows и все остальные приложения, поддерживающие SSL pinning
vsb>Например в России давно СОРМ логгирует трафик, насколько мне известно. Были инциденты с тем, что этот трафик всплывал в нелегальных базах?
HTTPS не расшифровывается HTTP особой ценности, в общем случае, не представляет.
vsb>Помимо прочего речь идёт о внешнем трафике. .kz-серверы обычно стоят внутри страны и вроде бы с ними ничего не будет. Ладно, поживём-увидим, сейчас это всё гадания не кофейной гуще.
Ну вообще, я ожидаю что после успешной обкатки технологии в "братской стране" это же ждет и РФ
Здравствуйте, kaa.python, Вы писали:
KP>Как что, все логины и пароли будут собранны в одном месте. То есть твой логин и пароль к интернет банку будет в этой базе. Ты будешь заходить в свой банковский аккаунт при таком раскладе? Там же будет твой логин с паролем к GMail, Live и всем остальным аккаунтам, что ты используешь. А еще, у тебя отвалится обновление Windows и все остальные приложения, поддерживающие SSL pinning
Можно подумать, сейчас такого места нет...
Почтовые клиенты и браузеры отправляет статистику своим разработчикам и разработчикам плагинов. Операционка перехватывает всё. Сбоку прикладные программы, вирусы и антивирусы пристроились и тянут щчупальцы.
Ну будет еще одно место. Я не против, если они мне по паспорту бэкап будут выдавать.
Здравствуйте, Ops, Вы писали:
Ops>А если не ставить, то че?
Я, честно, не знаю. Можно предположить, что все будет работать. На худой конец, по своему туннелю(типа vpn, socks). Но через OEM и провайдеров, полюбому, поголовно всем впихнут, кто не гик.
Вряд они осилят "великую казахскую стену" сделать.
Здравствуйте, Anton Batenev, Вы писали:
AB>Здравствуйте, ramar, Вы писали:
r>> O>Пожалуйста, прокомментируйте. http://www.computerworld.kz/news/9466/ r>> это как-то можно обойти?
AB>Да. TOR / VPN и компания.
Здравствуйте, vsb, Вы писали:
vsb>PS я только за, если эта затея накроется медным тазом, этот люто бредовую затею я даже комментировать не хочу. Но вряд ли это произойдёт. Я уже говорил, что в Казахстане много лет работает национальный УЦ, выдающий сертификаты гражданам, которые имеют юридическую силу подписи, думаю не надо говорить, что утечка такого ключа куда опасней, чем HTTPS. Но не утекал пока что.
если ты говоришь о персональных ключах, то они не утекают, только из-за лени тех, кому бы это могло понадобиться. Во-первых, эти файлы тусуют направо и налево. Хотя нет — во-первых, это файлы(!), т.е. не смарткарты какие-нибудь или USB-устройства с прошитыми ключами — это тупо файлы, таскают их на флэшках, они оседают у любого наёмного бухгалтера и могут осесть даже у чувака печатающего фотографии на базаре.
При этом есть вариант с получением хардварного ключа, но он не совместим со всеми госсервисами. Поэтому файлы рулят.
Далее сами гос-сервисы — во времена, когда я этим интересовался в приложениях был некий джава-аплет, которому необходимо было указать путь к файлу на своей машине и он передавал контент файла на сервер, где производились нужные операции. Даже если забыть о недобросовестных программистах и админах, можно тупо сваять копию гос-услужного сайта, разослать спамом ссылку и собирать чужие ключи.
ну и плюс вообще в национальных компаниях понятие об информационной безопасности на зачаточном уровне. на предыдущем проекте работал в сапорте (второй уровень поддержки) — нам в заявках первый уровень поддержки высылал доменные логины/пароли пользователей (для проверки того что они не могут войти в систему), полученные от самих пользователей. а владельцем этих всех ключей будет наверняка госструктура.
я конечно не эксперт по безопасности, но для моего невооружённого взгляда это кажется дыркой на дырке. и внедрять тут сабжевые вещи — это просто повысить привлекательность для взломщиков. Взломают, раскроется (после пожара), будет большой скандал и вот потом начнём думать.
HTTP особой ценности, в общем случае, не представляет.
