denis-19 вчера в 23:46
«Сбер» после перехода на российские TLS-сертификаты просит установить корневой сертификат CA или «Яндекс Браузер»
.. для использования отдельных сертификатов отдельный браузер со своей отдельной песочницей, конечно, нужен (а лучше бы его в отдельной VM держать)
Moraiatw 18.09.2022 в 12:34
.. По дефолту этим сертом сбера можно подписать серт от любого сайта, к которому сбер не имеет отношения. Т.е. MITM для всего траффика.
.. Вот что действительно страшно: https://habr.com/ru/post/666520/
.. Успел только статью прочитать, а вот комментарии уже нет - доступ закрыт. Оперативно работают.
.. https://archive.ph/VQwWX
Abyss777 18.09.2022 в 11:42
В прошлой новости раскрыли https://habr.com/ru/news/t/688470/#comment_24736278
Каналы связи уже контролируются, стоит СОРМ, просто надоест хранить цифровой шум по закону Яровой, обяжут всех провайдеров делать MitM.
Как уже делают в соседней стране кстати https://en.wikipedia.org/wiki/Kazakhstan_man-in-the-middle_attack
.. ну и третий вариант: не пользоваться услугами сбера.
denis-19 15 сентября в 17:51
Онлайн-сервисы «Сбера» переходят на российские TLS-сертификаты и будут работать только в «Яндекс Браузере» и «Атоме»
...
https://habr.com/ru/news/t/688470/comments/#comment_24736278
baldr 15.09.2022 в 20:46
Я еще немного расшифрую: вы ставите себе в доверенные некий корневой сертификат. При попытке зайти (по HTTPS) на сайт, скажем, habr.com, провайдер вас перенаправляет на какой-то левый сервер, но сертификат на нем выпущен на habr.com (и подписан "доверенным" сертификатом!) и вы видете привычную зеленую иконку. Вы вводите свой логин и пароль - и теперь враги могут писать от вашего имени злобные комментарии.
--->
https://itnan.ru/post.php?c=1&p=666520
...
, https://itnan.ru/post.php?c=1&p=666520
Суверенный, сувенирный, самопровозглашенный
... Итак, повторю риторический вопрос: кем был создан сертификат с «Госуслуг», кто и на основании чего решил объявить его национальным и кто, соответственно, готов нести всю связанную с этим сертификатом ответственность, если известно, что якобы сгенерировавший его «национальный удостоверяющий центра» не существует в природе, якобы выпустившее его Минцифры не имеет соответствующих полномочий, а у якобы создавшего НУЦ НИИ «Восход» прекращена аккредитация собственного УЦ?
Практический вопрос таков: если завтра кто-то ломанет ваш ЛК во ФГИС ценообразования в строительстве (единственный известный мне сайт, использующий «национальный» сертификат), а Минстрой скажет: где корневой сертификат скачивали – туда и обращайтесь, вы кому предъявлять станете?
Комментарии 9
...
Казахстанская атака «человек посередине»
В 2015 году правительство Казахстана создало корневой сертификат, который мог обеспечить атаку «человек посередине» на HTTPS - трафик от интернет-пользователей в Казахстане . Правительство назвало это «сертификатом национальной безопасности». Если бы сертификат был установлен на устройствах пользователей, он позволил бы правительству Казахстана перехватывать, расшифровывать и повторно шифровать любой трафик, проходящий через контролируемые им системы. [1] [2]
... В декабре 2020 года правительство Казахстана в третий раз попыталось повторно ввести выданный государством корневой сертификат. [11] В ответ на это производители браузеров снова объявили, что будут блокировать любую такую попытку, аннулируя сертификат в своих браузерах. [12]
Re: Слежка за людьми
Сообщение Admin » Сб фев 15, 2020
На все браузеры хотят установить шифрование по ГОСТу. Рунет начали переводить на отечественную криптографию
До конца 2020 года государственный НИИ «Восход» планирует закончить создание национального удостоверяющего центра — структуры, которая будет выдавать сайтам в Рунете отечественные цифровые сертификаты.
По всему миру такие сертификаты используются на сайтах для создания безопасного соединения с браузерами пользователей, которое защищает их личные данные — например, пароли или номера банковских карт, передаваемые при онлайн-платеже.
Российские сертификаты будут отличаться тем, что для шифрования соединения начнут использовать отечественную криптографию. Их использование планируется сделать обязательным для сайтов органов власти, а затем — так называемых организаторов распространения информации, то есть «Яндекса», Mail Group и всех крупных IT компаний Рунета.
Чиновники намерены надавить на Microsoft, Apple, Google, Mozilla и Opera. — чтобы они добавили российский УЦ в список доверенных центров сертификации в своем софте. А также добавили криптопровайдер от одной из российских компаний. Так как Если не выполнить оба условия, то у пользователей, зашедших на сайт, использующий отечественный цифровой сертификат, будет появляться уведомление о небезопасном соединении.
Для чего собственно это все
Правами доступа к ресурсам центра будут обладать «полномочные сотрудники правоохранительных и контролирующих органов государственной власти Российской Федерации».
Данные государственные центры могут выдавать недействительные сертификаты и организовывать MITM-атаки.
Они позволяют расшифровывать перехваченный трафик пользователей практически к любому сайту в интернете, а не только к тем, TLS-сертификат которым выдал УЦ, организовавший атаку. Ключевое условие — в браузере на устройстве пользователя УЦ, организующий атаку, должен быть установлен в качестве «доверенного». Что собственно и хотят сделать чиновники.
Источник https://t.me/s/black_triangle_tg/571
http://www.opennet.ru/…ws/art.shtml?num=52305
В рамках проекта TFC (Tinfoil Chat) предпринята попытка создания прототипа ...
группой проекта TFC (Tinfoil Chat) Создан сверхзащищенный мессенджер https://safe.cnews.ru/news/top/2020-02-03_razrabotchiki_sozdayut_sverhzashchishchennyj
Код распространяется бесплатно https://github.com/maqp/tfc
и вы уже сейчас можете установить его себе https://github.com/maqp/tfc
компьютеров вам понадобиться три штуки.
USB-сплиттер в системе работает по принципу «диод данных» (data diode), пропуская информацию физически лишь в одном направлении – с первого ПК на второй и с третьего на первый.
Для регулировки направления передачи данных в сплиттере применяются оптроны.
Сплиттер можно собрать самостоятельно, купив детали в магазине радиоэлектроники. Мессенджер работает только на операционных системах Linux
все это можно собрать в одной небольшой коробочке из трех плат Raspberry PI. Получится невзламываемый
Сообщение от навитус 7 лет назад
Tinfoil Chat — платформа для обмена сообщениями, защищенная от массовой слежки
джианнон·7 лет назад
Чем он лучше других клиентов OTR? Может ли криптокот подключиться к пиджину?
[удалено]·7 лет назад
Аннотация технического документа должна объяснять ключевые различия. По сравнению с OTR, TFC значительно повышает безопасность за счет некоторого удобства:
Криптография:
Отсутствие атак QC / TLS-MITM, в отличие от асимметричного шифрования и ключей PKI (+) <>, которые необходимо предварительно совместно использовать (-).
OTP: Нет атак только для CT (+) <> ключевые данные исчерпываются после нескольких сотен тысяч сообщений (-).
OTP: Безоговорочно безопасная целостность сообщений (+) <> ключевые данные исчерпываются после нескольких сотен тысяч сообщений (-).
CEV: Нет единой точки отказа алгоритма (+) <> больше кода для аудита (-).
Генерация ключей:
HWRNG с открытой схемой: недетерминированная энтропия без бэкдоров (+) <> инвестиции в оборудование (-).
Ключ безопасности:
Никакой пост-эксплуатации, если только ПО/ аппаратное обеспечение изначально не заблокировано или впоследствии физически скомпрометировано (+) <> Вложение двух дополнительных компьютеров для выделенного использования в качестве блоков TCB (-). При использовании компьютеров RPi с дешевой периферией цена системы начинается от 300 долларов без учета инструментов.
Таким образом, TFC лучше, чем OTR, если ваша модель угроз включает в себя автоматизированную эксплуатацию конечных точек сети с использованием нулевых дней , ежедневно практикуемых правительствами : АНБ с такими вредоносными программами, как Flame , Regin или программа под кодовым названием Foxacid — Metasploit , только с ограниченным бюджетом . GCHQ , Германия , Нидерланды и Финляндия , а вскоре и ФБР тоже этим занимаются. Если злоумышленнику не удается скомпрометировать систему во время процедуры установки, TFC невосприимчив к краже ключа , если только он не скомпрометирован физически.
TFC использует OTR, но только для запутывания и защиты протокола от анализа трафика. Кроме того, поскольку вы спросили, Cryptocat не подключается к Pidgin, хотя и совершенно не связан с этим.