"Россия - родина слонов" (или Раша тудей-сюдей). Новости. Часть I.

[mxm]

Поэтому мне непонятно, как провайдер сможет общаться с гуглом по фальшивому каналу от моего имени без этих моих данных. То есть он может, конечно, но зачем.

Если наличие ключей поможет расшифровать трафик, то получится взломать/читать в случае необходимости — никто письма ж или сообщения от имени пользователя задачи не ставит, если я правильно понимаю.

[leonard]

каэшна есть, три дня фисбук гудел - заодно френдлента почистилась

Kate Jones. ПАПу респект и уважуха.

[mxm]

Экс-командир «Альфы» Юрий Торшин, ...

Лента подбросила давний новостной сюжет с его участием. Избиение соседа-дачника, угрозы вообще убить.

Cпойлер

[Старина Z]

Тоже считаю маловероятной версию отравления Клинтон россиянами или какого-нибудь опыления ее особо вирулентными штаммами бактерий.

Уж больно высоки ставки. Если это дело каким-либо образом вскроется (а случай с Литвиненко показывает, что вскрыться может), то давление со стороны США на российский режим усилится многократно и фатально для режима.
Вдобавок, если бы хотели отравить, то скорее это вылилось бы в скоротечный инфаркт, а не в пневмонию.

[Старина Z]

Поэтому мне непонятно, как провайдер сможет общаться с гуглом по фальшивому каналу от моего имени без этих моих данных. То есть он может, конечно, но зачем.

Если наличие ключей поможет расшифровать трафик, то получится взломать/читать в случае необходимости — никто письма ж или сообщения от имени пользователя задачи не ставит, если я правильно понимаю.

Так говорят же, что не поможет, потому что закрытый ключ Гугла, который нужен для расшифровки, остается недоступен для ФСБ.

[Кентавр]

Поэтому мне непонятно, как провайдер сможет общаться с гуглом по фальшивому каналу от моего имени без этих моих данных. То есть он может, конечно, но зачем.

Если наличие ключей поможет расшифровать трафик, то получится взломать/читать в случае необходимости — никто письма ж или сообщения от имени пользователя задачи не ставит, если я правильно понимаю.

Не поможет. Наличия ключей нет потому что. При установленном соединении шифрование трафика выполняется на ключах, действующих даже не в течение одной сессии, а очень короткое время, после чего они уничтожаются. Это особенность TLS-соединения.
То есть как все происходит... Сначала установление доверия к серверу Гугла (проверка его сертификата), потом моя авторизация на сервере по логину и паролю, потом создание защищённого канала на кратковременных ключах, не доступных никому. Фальшивый канал может быть построен, но без доступа к моим данным, и шифровать и расшифровывать они будут свой трафик на других кратковременных ключах.

[Кентавр]

Поэтому мне непонятно, как провайдер сможет общаться с гуглом по фальшивому каналу от моего имени без этих моих данных. То есть он может, конечно, но зачем.

Если наличие ключей поможет расшифровать трафик, то получится взломать/читать в случае необходимости — никто письма ж или сообщения от имени пользователя задачи не ставит, если я правильно понимаю.

Так говорят же, что не поможет, потому что закрытый ключ Гугла, который нужен для расшифровки, остается недоступен для ФСБ.

Там даже не закрытый ключ, а временные сессионные ключи. Но, да, используйся только закрытый ключ, этого бы тоже не удалось. Единственная возможность влезьте в этот поток данных - это установить доверительные отношения с Гуглом, чтобы он разрешал устанавливать соединение на этом левом сертификате.

[mxm]

Так говорят же, что не поможет, потому что закрытый ключ Гугла, который нужен для расшифровки, остается недоступен для ФСБ.

Честно — я не разобрался.
Скопирую на всякий пожарный кусок из комментов (как я понимаю, это то самое непонятное место про канал):

Igor Yurchenko Сервер провайдера может установить канал с гуглом от вашего имени. Поскольку клиенты не делают свои ключи однозначно идентифицирующие их, то гугл никогда и не узнает. Единственная проблема - броузер. Он может ругаться, что сервер на котором терминируется канал, не совпадает с тем с которым вы установили канал. Но по скольку речь идет о том, что либо ты используешь "правильный" броузер, либо не имеешь интернета, то без вариантов.
Если дело пойдет к этому, то сидеть в России действительно не будет никакого смысла. Если конечно вас не будет устраивать, что ваша семья стала заложниками этой системы.
Другое дело, уже сейчас в регионах идет создание параллельных "государственным" структур для своих. И при первой же возможности весь этот маразм пойдет лесом...
Подобається · Відповісти · 13 год · Відредагований
Andrey Bichkevsky
Andrey Bichkevsky Igor Simonov Согласен, такое возможно, но в таком масштабе эта елда не только должна будет требовать установки CA на ВСЕ клиентские железяки, генерить ложные сертификаты, знать все "вражеские" IP, но еще и зеркалить все клиентские TLS сессии, то есть брать на себя CPU нагрузку всех пользователей всех прослушиваемых сервисов, связанную с шифрованием. Я конечно не Яровая, но имхо не стоит того при простоте обхода с помошью того же VPN.

[mxm]

Фальшивый канал может быть построен, но без доступа к моим данным, и шифровать и расшифровывать они будут свой трафик на других кратковременных ключах.

Если я правильно понял, то будут обмануты и Гугл, и пользователь, но толку с этого никакого?
Там в комментах дискуссия была пошире, чем сейчас, — подозреваю, многие потерли свои комменты.
Я в шифровании вообще ноль.

[Старина Z]

То есть как все происходит... Сначала установление доверия к серверу Гугла (проверка его сертификата), потом моя авторизация на сервере по логину и паролю, потом создание защищённого канала на кратковременных ключах, не доступных никому. Фальшивый канал может быть построен, но без доступа к моим данным, и шифровать и расшифровывать они будут свой трафик на других кратковременных ключах.

А если вместо гугловского домена и сертификата будет фальшивый ФСБ-шный, подписанный ФСБ, который далее сам будет устанавливать защищенное соединение с настоящим гуглом, пересылать запросы от пользователей и возвращать ответы пользователям уже в рамках своей сессии с ними?

[Кентавр]

Сервер провайдера может установить канал с гуглом от вашего имени. Поскольку клиенты не делают свои ключи однозначно идентифицирующие их

Провайдер НЕ может установить фальшивый канал от моего имени, если банально не знает моего логина и пароля. Тут дело не в сертификатах и ключах. Я однозначно идентифицируюсь с помощью логина, пароля и телефона.
Я сейчас посмотрел. Гугл, оказывается, в принципе, устанавливает защищенное соединение для любого запроса к серверу, даже без аутентификации клиента. Как и остальные крупный сервисы. После же ввода логина и пароля он предоставляет доступ к личным ресурсам. То есть создание канала и доступ к письмам в случае гугла - две разных процедуры. И ни одна из них не требует сертификата клиента. А речь в статье как раз об этом. Что нужен сертификат.

Да что далеко ходить. Мы на форуме общаемся, установив защищенные соединения. Причем никаких сертификатов для этого не используем.

[Кентавр]

То есть как все происходит... Сначала установление доверия к серверу Гугла (проверка его сертификата), потом моя авторизация на сервере по логину и паролю, потом создание защищённого канала на кратковременных ключах, не доступных никому. Фальшивый канал может быть построен, но без доступа к моим данным, и шифровать и расшифровывать они будут свой трафик на других кратковременных ключах.

А если вместо гугловского домена и сертификата будет фальшивый ФСБ-шный, подписанный ФСБ, который далее сам будет устанавливать защищенное соединение с настоящим гуглом, пересылать запросы от пользователей и возвращать ответы пользователям уже в рамках своей сессии с ними?

А как он будет от тебя устанавливать соединение? Ему твои логин и пароль нужны, чтобы получить доступ к твоим данным. И что он тебе пришлет для установления соединения? Фальшивый сертификат?

[Кентавр]

Фальшивый канал может быть построен, но без доступа к моим данным, и шифровать и расшифровывать они будут свой трафик на других кратковременных ключах.

Если я правильно понял, то будут обмануты и Гугл, и пользователь, но толку с этого никакого?

Да.

[mxm]

Провайдер НЕ может установить фальшивый канал от моего имени, если банально не знает моего логина и пароля. Тут дело не в сертификатах и ключах. Я однозначно идентифицируюсь с помощью логина, пароля и телефона.

А выудить эти данные (логин-пароль) в момент идентификации не получится?

[Кентавр]

Провайдер НЕ может установить фальшивый канал от моего имени, если банально не знает моего логина и пароля. Тут дело не в сертификатах и ключах. Я однозначно идентифицируюсь с помощью логина, пароля и телефона.

А выудить эти данные (логин-пароль) в момент идентификации не получится?

Нет. Для этого сейчас мошенники используют фишинг, когда невнимательный пользователь заманивается на фальшивый сайт, похожий на настоящий, и вводит свои логин и пароль.

[düsha]

Даже по российским меркам это феноменально тупорылый долбоеб.

Прокремлевские журналисты сейчас разгоняют "майданную" версию.
http://www.mk.ru/politics/2016/09/13/prokremlevskie-zhurnalisty-uznali-v-9-mlrd-rubley-zakharchenko-chernuyu-kassu-maydana.html

странно, что правый сектор всё-таки позабыт
неужели чуток мониторят, что реально в Украине происходит?

[Yocto]

Не поможет. Наличия ключей нет потому что.

Поможет, при выполнении двух условий.
1. Google сдаст чекистам свой серверный сертификат полностью, по закону обязаны.
2. Провайдеры будут хранить весь трафик в виде byte stream, включая handshake, закон про это уже имеется.
В этом случае, при надобности, всё запросто расшифровывается, и handshake с сессионными ключами, и логин/пароль пользователя, если есть, и вообще фсё.

[Сайонара]

Уж больно высоки ставки. Если это дело каким-либо образом вскроется (а случай с Литвиненко показывает, что вскрыться может), то давление со стороны США на российский режим усилится многократно и фатально для режима.

Ой, да ладно. Не верю. Ничего не будет.

[düsha]

Про отравление это всерьез?

пока русские оф. лица не начали комментировать, выглядело не очень всерьёз 

[düsha]

А чо никто не обсуждает как кадыровцы завалили командира Альфы (пока бывшего)?

История достойная экранизации... Чисто сработали...

а не похрен? не путина же

[Кентавр]

Google сдаст чекистам свой серверный сертификат полностью, по закону обязаны.

По какому закону?
И зачем тогда нужен сертификат, и какое доверие он сможет обеспечить?

[Старина Z]

А как он будет от тебя устанавливать соединение? Ему твои логин и пароль нужны, чтобы получить доступ к твоим данным. И что он тебе пришлет для установления соединения? Фальшивый сертификат?

Пользователь вводит адрес сервера гугла в браузере, ФСБ устанавливает от себя защищенное соединение с Гуглом, получает в ответ страницу авторизации, устанавливает защищенное соединение с пользователем (со своим сертификатом), по нему передает страницу авторизации пользователю. Пользователь вводит логин и пароль, ФСБ получает их по защищенному соединению с пользователем, расшифровывает, передает в защищенное соединение с Гуглом, получает ответ, передает пользователю.

[Чиби]

Все-таки этот Лукашевич сломался. Выбирайте, граждане  :

Вадим Лукашевич
49 мин. ·
Вопрос моим украинским френдам.
Вам кто больше нравится: российские патриоты, поддерживающие ДНР и ЛНР, или русские националисты, считающие русских и украинцев одним славянские народом и выступающие против войны в Донбассе?

Нахуй.

[Старина Z]

Уж больно высоки ставки. Если это дело каким-либо образом вскроется (а случай с Литвиненко показывает, что вскрыться может), то давление со стороны США на российский режим усилится многократно и фатально для режима.

Ой, да ладно. Не верю. Ничего не будет.

Будет. Одно дело переписку взламывать, а другое - травить политических деятелей. Особенно плохо к этому будут относиться отравленные политические деятели и их друзья.

[Ann:-)]

Нет. Для этого сейчас мошенники используют фишинг, когда невнимательный пользователь заманивается на фальшивый сайт, похожий на настоящий, и вводит свои логин и пароль.

Вроде бы недавно у какого-то оппозиционера взломали почту, просто отключив от провайдера его сотовый, на который приходила СМСка с идентификатором гугла, и СМС пришла на подставной номер. Так что не все так просто.

[Yocto]

Google сдаст чекистам свой серверный сертификат полностью, по закону обязаны.

По какому закону?
И зачем тогда нужен сертификат, и какое доверие он сможет обеспечить?

Вроде, пытались обязать всех, в том числе и гугла, предоставить чекистам свои ключи шифрования. Соответственно, если тот хочет иметь google.ru, то вынужден будет сдать свой серверный сертификат.
Как это влияет на доверие, я не вижу. Подтверждать идентичность сервера такой сертификат по прежнему будет замечательно.

[Кентавр]

А как он будет от тебя устанавливать соединение? Ему твои логин и пароль нужны, чтобы получить доступ к твоим данным. И что он тебе пришлет для установления соединения? Фальшивый сертификат?

Пользователь вводит адрес сервера гугла в браузере, ФСБ устанавливает от себя защищенное соединение с Гуглом, получает в ответ страницу авторизации, устанавливает защищенное соединение с пользователем (со своим сертификатом), по нему передает страницу авторизации пользователю. Пользователь вводит логин и пароль, ФСБ получает их по защищенному соединению с пользователем, расшифровывает, передает в защищенное соединение с Гуглом, получает ответ, передает пользователю.

ФСБ не устанавливает защищенное соединение. Гугл это делает. Это принципиально. И если он установит защищенное соединение с ФСБ, то конечный адрес для установления соединения в данном случае это адрес компа, откуда был направлен запрос.
ФСБ может со мной установить соединение по своему сертификату, если он будет относиться к доверенным. В противном случае браузер выдаст мне, что что-то опасное лезет ко мне. Но ок, я проигнорировал и доверился. Дальше что? ФСБ не может получить мои данные, введенные в поля гугла. Это возможно, если только ФСБ официально займется фишингом.

Понимаете, если бы все так было просто, то вне политического контекста были бы разорены все, кто пользуется онлайнбанкингом, да и не только онлайн. Вклинивайся с фальшивым сертификатом и вперед.

[Кентавр]

Google сдаст чекистам свой серверный сертификат полностью, по закону обязаны.

По какому закону?
И зачем тогда нужен сертификат, и какое доверие он сможет обеспечить?

Вроде, пытались обязать всех, в том числе и гугла, предоставить чекистам свои ключи шифрования. Соответственно, если тот хочет иметь google.ru, то вынужден будет сдать свой серверный сертификат.
Как это влияет на доверие, я не вижу. Подтверждать идентичность сервера такой сертификат по прежнему будет замечательно.

Нет в данном случае понятия "свои ключи шифрования". Есть протокол TLS, который работает на определенных алгоритмах шифрования. Источником числовых последовательностей является какой-нибудь датчик случайных чисел. То есть, понятно, у Гугла есть свои ключи, раз есть сертификат. Но эта история не про них. И в любом случае, выдать свой закрытый ключ (сертификат и так всем доступен), это забыть про конфиденциальность своего сервиса. Я не очень понимаю, как это возможно.  То есть если такое возможно, тогда и история с внедряемым посторонним сертификатом не нужна.

[Кентавр]

Вроде бы недавно у какого-то оппозиционера взломали почту, просто отключив от провайдера его сотовый, на который приходила СМСка с идентификатором гугла, и СМС пришла на подставной номер. Так что не все так просто.

Не понял, что значит "отключить от провайдера сотовый"?

[Yocto]

Google сдаст чекистам свой серверный сертификат полностью, по закону обязаны.

По какому закону?
И зачем тогда нужен сертификат, и какое доверие он сможет обеспечить?

Вроде, пытались обязать всех, в том числе и гугла, предоставить чекистам свои ключи шифрования. Соответственно, если тот хочет иметь google.ru, то вынужден будет сдать свой серверный сертификат.
Как это влияет на доверие, я не вижу. Подтверждать идентичность сервера такой сертификат по прежнему будет замечательно.

Нет в данном случае понятия "свои ключи шифрования". Есть протокол TLS, который работает на определенных алгоритмах шифрования. Источником числовых последовательностей является какой-нибудь датчик случайных чисел. То есть, понятно, у Гугла есть свои ключи, раз есть сертификат. Но эта история не про них. И в любом случае, выдать свой закрытый ключ (сертификат и так всем доступен), это забыть про конфиденциальность своего сервиса. Я не очень понимаю, как это возможно.  То есть если такое возможно, тогда и история с внедряемым посторонним сертификатом не нужна.

Уже к словам будем придираться?
Ты про пакет законов Яровой слышал? Так вот, там сказано, все организаторы распространения информации обязаны предоставить всю информацию для декодирования фсего, что может потребоваться чекистам. В случае гугла будет достаточно сдать серверный сертификат от google.ru вместе с его private key. Вкупе с хранимым провайдерамы трафиком этого будет достаточно для того, чтобы читаь весь трафик с google.ru. Можно даже не грузить слушателей техническими подробностями.
Вопрос "конфеденциальности" тут вообще обсуждать не требуется, поскольку российских законодателей это не волнует, судя по всему.