тема снова актуальна
https://habr.com/ru/news/t/688840denis-19 вчера в 23:46
«Сбер» после перехода на российские TLS-сертификаты просит установить корневой сертификат CA или «Яндекс Браузер»
.. для использования отдельных сертификатов отдельный браузер со своей отдельной песочницей, конечно, нужен (а лучше бы его в отдельной VM держать)
Moraiatw 18.09.2022 в 12:34
.. По дефолту этим сертом сбера можно подписать серт от любого сайта, к которому сбер не имеет отношения.
Т.е. MITM для всего траффика.
.. Вот что действительно страшно
: https://habr.com/ru/post/666520/.. Успел только статью прочитать,
а вот комментарии уже нет - доступ закрыт. Оперативно работают...
https://archive.ph/VQwWXAbyss777 18.09.2022 в 11:42
В прошлой новости раскрыли
https://habr.com/ru/news/t/688470/#comment_24736278Каналы связи уже контролируются, стоит СОРМ, просто надоест хранить цифровой шум по закону Яровой, обяжут всех провайдеров делать MitM.
Как уже делают в соседней стране кстати
https://en.wikipedia.org/wiki/Kazakhstan_man-in-the-middle_attack.. ну и третий вариант:
не пользоваться услугами сбера.
https://habr.com/ru/news/t/688470/denis-19 15 сентября в 17:51
Онлайн-сервисы «Сбера» переходят на российские TLS-сертификаты и будут работать только в «Яндекс Браузере» и «Атоме»
...
https://habr.com/ru/news/t/688470/comments/#comment_24736278baldr 15.09.2022 в 20:46
Я еще немного расшифрую: вы ставите себе в доверенные некий корневой сертификат. При попытке зайти (по HTTPS) на сайт, скажем, habr.com, провайдер вас перенаправляет на какой-то левый сервер, но сертификат на нем выпущен на habr.com (и подписан "доверенным" сертификатом!) и вы видете привычную зеленую иконку. Вы вводите свой логин и пароль - и теперь враги могут писать от вашего имени злобные комментарии.
https://archive.ph/https://habr.com/ru/post/666520/--->
https://archive.ph/VQwWX,
https://itnan.ru/post.php?c=1&p=666520Суверенный, сувенирный, самопровозглашенный
... Итак, повторю риторический вопрос: кем был создан сертификат с «Госуслуг», кто и на основании чего решил объявить его национальным и кто, соответственно, готов нести всю связанную с этим сертификатом ответственность, если известно, что якобы сгенерировавший его «национальный удостоверяющий центра» не существует в природе, якобы выпустившее его Минцифры не имеет соответствующих полномочий, а у якобы создавшего НУЦ НИИ «Восход» прекращена аккредитация собственного УЦ?
Практический вопрос таков: если завтра кто-то ломанет ваш ЛК во ФГИС ценообразования в строительстве (единственный известный мне сайт, использующий «национальный» сертификат), а Минстрой скажет: где корневой сертификат скачивали – туда и обращайтесь, вы кому предъявлять станете?
Комментарии 9
...
https://en.wikipedia.org/wiki/Kazakhstan_man-in-the-middle_attackКазахстанская атака «человек посередине»
В 2015 году правительство Казахстана создало корневой сертификат, который мог обеспечить атаку «человек посередине» на HTTPS - трафик от интернет-пользователей в Казахстане . Правительство назвало это «сертификатом национальной безопасности». Если бы сертификат был установлен на устройствах пользователей, он позволил бы правительству Казахстана перехватывать, расшифровывать и повторно шифровать любой трафик, проходящий через контролируемые им системы. [1] [2]
... В декабре 2020 года правительство Казахстана в третий раз попыталось повторно ввести выданный государством корневой сертификат. [11] В ответ на это производители браузеров снова объявили, что будут блокировать любую такую попытку, аннулируя сертификат в своих браузерах. [12]
google/спёрбанк MITM TLS-сертификатhttps://deathofcommunism.com/forum/viewtopic.php?t=211#p3212Re: Слежка за людьми
Сообщение Admin » Сб фев 15, 20
20На все браузеры хотят установить шифрование по ГОСТу. Рунет начали переводить на отечественную криптографию
До конца 20
20 года государственный НИИ «Восход» планирует закончить создание национального удостоверяющего центра — структуры, которая будет выдавать сайтам в Рунете отечественные цифровые сертификаты.
По всему миру такие сертификаты используются на сайтах для создания безопасного соединения с браузерами пользователей, которое защищает их личные данные — например, пароли или номера банковских карт, передаваемые при онлайн-платеже.
Российские сертификаты будут отличаться тем, что для шифрования соединения начнут использовать отечественную криптографию. Их использование планируется сделать обязательным для сайтов органов власти, а затем — так называемых организаторов распространения информации, то есть «Яндекса», Mail Group и всех крупных IT компаний Рунета.
Чиновники намерены надавить на Microsoft, Apple, Google, Mozilla и Opera. —
чтобы они добавили российский УЦ в список доверенных центров сертификации в своем софте. А также добавили криптопровайдер от одной из российских компаний. Так как Если не выполнить оба условия, то у пользователей, зашедших на сайт, использующий отечественный цифровой сертификат, будет появляться уведомление о небезопасном соединении.
Для чего собственно это все
Правами доступа к ресурсам центра будут обладать «полномочные сотрудники правоохранительных и контролирующих органов государственной власти Российской Федерации».
Данные государственные центры могут выдавать
недействительные сертификаты и организовывать MITM-атаки.
Они позволяют расшифровывать перехваченный трафик пользователей практически
к любому сайту в интернете, а не только к тем, TLS-сертификат которым выдал УЦ, организовавший атаку. Ключевое условие — в браузере на устройстве пользователя УЦ, организующий атаку, должен быть установлен в качестве «доверенного». Что собственно и хотят сделать чиновники.
Источник
https://t.me/s/black_triangle_tg/571 2) Защита от этой MITM -
4pda.to/Tinfoil Chatgoogle/Tinfoil Chat site:reddit.comhttps://www.reddit.com/r/crypto/comments/2nhwo0/tinfoil_chat_messaging_platform_immune_against/Сообщение от навитус 7 лет назад
Tinfoil Chat — платформа для обмена сообщениями, защищенная от массовой слежки
джианнон·7 лет назад
Чем он лучше других клиентов OTR? Может ли криптокот подключиться к пиджину?
[удалено]·7 лет назад
Аннотация технического документа должна объяснять ключевые различия. По сравнению с OTR, TFC значительно повышает безопасность за счет некоторого удобства:
Криптография:
Отсутствие атак QC / TLS-MITM, в отличие от асимметричного шифрования и ключей PKI (+) <>, которые необходимо предварительно совместно использовать (-).
OTP: Нет атак только для CT (+) <> ключевые данные исчерпываются после нескольких сотен тысяч сообщений (-).
OTP: Безоговорочно безопасная целостность сообщений (+) <> ключевые данные исчерпываются после нескольких сотен тысяч сообщений (-).
CEV: Нет единой точки отказа алгоритма (+) <> больше кода для аудита (-).
Генерация ключей:
HWRNG с открытой схемой: недетерминированная энтропия без бэкдоров (+) <> инвестиции в оборудование (-).
Ключ безопасности:
Никакой пост-эксплуатации, если только ПО/ аппаратное обеспечение изначально не заблокировано или впоследствии физически скомпрометировано (+) <> Вложение двух дополнительных компьютеров для выделенного использования в качестве блоков TCB (-). При использовании компьютеров RPi с дешевой периферией цена системы начинается от 300 долларов без учета инструментов.
Таким образом, TFC лучше, чем OTR, если ваша модель угроз включает в себя автоматизированную эксплуатацию конечных точек сети с использованием нулевых дней , ежедневно практикуемых правительствами : АНБ с такими вредоносными программами, как Flame , Regin или программа под кодовым названием Foxacid — Metasploit , только с ограниченным бюджетом . GCHQ , Германия , Нидерланды и Финляндия , а вскоре и ФБР тоже этим занимаются. Если злоумышленнику не удается скомпрометировать систему во время процедуры установки, TFC
невосприимчив к краже ключа , если только он не скомпрометирован физически.
TFC использует OTR, но только для запутывания и защиты протокола от анализа трафика. Кроме того, поскольку вы спросили, Cryptocat не подключается к Pidgin, хотя и совершенно не связан с этим.
