[Tanel]

link :: minut.ee


Tundmatu Sõdur kirjutab: "NIS, Lõuna Korea riiklik luureteenistus on ametlikult tunnistanud, et nad suudavad https'ga kaitstud võrguliiklust reaalajas lahti teha ja lugeda - selle aasta märtsis toiminud jälitustoimingite käigus jälgiti sedasi 52 aastase endise õpetaja Kim Hyeong-geun Gmaili https krüpteeritud liiklust. NIS admits to packet tapping Gmail".

Minut meenutab vanasõna: Kõik pole see mis hiilgab.

[mikk36]

Noname, vähem jaburust. Jutt käib sellest, et Lõuna-Koreas dekrüpteerib valitsus su HTTPS ühendusi on-the-fly ja lisaks suudavad ka võltsinfot vahele süstida.

[Dogbert]

Kui kogu veebiliiklus käib läbi proksi ja valitsuse poolt sunnitakse kõigile arvutitele peale nende oma juursert või on arvutikasutaja piisavalt väheteadlik, et proksi poolt pakutav sert vastu võtta ja paigaldada autentse pähe, siis pole https-i vahepealse dekrüpteerimisega mingeid raskusi - tegemist on tavalise MITM ründega, millest arvutikasutajale annab märku, kui ta seda vaid tähele panna oskab, vale sertifikaat https-i kasutaval leheküljel.
Teoreetiliselt võiks seda "harrastada" ka Eesti valitsus, sest ID-kaardi tarkvaraga tuleb arvutisse SK juursert. Kui nüüd pistaks kogu veebiliiklusele vahele proksi, mis pakub arvutile SK juurserti enda identifitseerimiseks, siis reedab näiteks https://gmail.com kasutamise järele nuhkimist see, et antud lehekülje sertifikaat on SK, mitte Google oma. Võib isegi teha libaserdid - näiteks Google nimega, mille allkirjastaja on proksi omanik. Kui kahtlast allkirjastajat tähele ei pane, ongi sellega krüptitud https liiklus serdi omaniku poolt avatav.

Nii et alati kontrollige https leheküljel nii serdi omanikku kui allkirjastajat.

Kui nad seda nuhkimist selliselt teostasid, pole selles midagi uut ega müstilist - veidi keerulisemat tüüpi MITM, millest räägitakse võrgu ja serveri administreerimise koolitustel. Alles juhul kui lehekülje sert on päris-Google oma ja sellegipoolest https paketid vahepeal märkamatult dekrüptitakse, on tegemist millegi uuega.

Ainus võimalus sellelaadset nuhkimist vältida on kahepoolne autentimine - kontrollitakse nii serveri kui lehekülge külastava isiku personaalset sertifikaati. Meil teostab sellist autentimist ID-kaart.

Spoiler

Teoreetiliselt muidugi, jah, kui Eesti "mehed mustas" tahaks ja SK kaasa töötaks ja kuna ID-kaardi serdid on ka SK väljastatud, siis...
Paranoikud, värisege!

Nii et ikkagi peab serveri serdi autentsust kontrollima oma silmaga, kui absoluutselt kindel olla soovid.