Правительство перехватывает SSL атаки

В последнем примере исследователи пытаются указать на «недостатки» в дизайне SSL, исследователи Кристофер Сожн и Сид Штамм недавно выпустили документ, поясняющий возможности правительства перехватывать SSL атаки.

На бумаге дается отличный обзор того, как работает нынешняя система доверия SSL сертификатов во время представления теории, что правительство могло бы заставить центры сертификации выдавать поддельные SSL сертификаты, которые могут затем быть использованы для шпионажа спецслужбами. В документе якобы «выявлены тревожные свидетельства того, что позволяет предположить, что это нападение активно используется.» Это свидетельство состоит только из изучения устройства рынка, которое могло бы (но не делает) использовать правительство для поддельных сертификатов (не подтверждено ни одного факта), для атаки «человек в середине». Тяжело проверить такие «тревожные данные», чтобы узнать, возможна ли атака «человек в середине».

Существует один важный изъян в логике, который следует указать. Исследователи четко заявили, что правительство вряд ли будет использовать свои собственные доверенные корневые сертификаты для создания поддельных сертификатов, поскольку они будут непосредственно восходить к ним. Вместо этого, правительство заставит коммерческие центры сертификации создавать поддельные сертификаты для них. Проблема с этим? Поддельный сертификат можно проследить в коммерческом центре сертификации, репутация которого от этого может быть запятнана, корневой сертификат отменен, и по сути это крах бизнеса. Данный вариант не будет работать лучше, чем с использованием их собственного корневого сертификата, что означает, что это не произойдет.

Комментарии запрещены.