Задать вопрос
@SuperNikiforov

Провайдер может расшифровать HTTPS трафик? Если нет, то не понятно что они будут хранить по закону Яровой?

Просто кучу зашифрованных данных?
  • Вопрос задан
  • 2395 просмотров
Подписаться 2 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 5
CityCat4
@CityCat4 Куратор тега Информационная безопасность
//COPY01 EXEC PGM=IEBGENER
Пока не может. Но "мы работаем над этим". Для этого нужно всего ничего - так же как в братском Казахстане - всем расставить госсертификат в доверенные корневые центры - и сможет.

Не кидайте в меня помидоры и не пытайтесь обьяснить основы криптографии с открытым ключом. На предприятиях уже вовсю работают прокси с бампингом, которые расшифровывают HTTPS. Как это происходит:
- Клиент передает на прокси запрос об установлении HTTPS-соединения допустим с vk.com
- Прокси быстренько выпускает сертификат на vk.com НА СЕБЯ и подсовывает его клиенту с целью получить ключ инициализации соединения, клиент конечно его отдает - ведь он видит, что соединение с узлом vk.com подтверждено сертификатом, который выпущен одним из корневых CA, которым он доверяет
- В этом месте прокси может просмотреть путь запроса (который в нормальном состоянии уже скрыт), решить - продолжать ли ему установление соединения или же отказать... Если решено соединение принять, то прокси передает ключ на настоящий vk.com, устанавливает соединение, передает данные клиенту - ну как обычно
- Все данные видны прокси, потому что он знает ключ соединения

Уже нашли подвох? Правильно! Соединение с фейковым vk,com подтверждено одним из корневых CA! Сертификат, который установлен на прокси - это сертификат subCA, он выпущен неким CA и сертификат этого CA должен быть добавлен в хранилище корневых СА. Видели, как изменилось условие расшифровки трафика? Вместо "нужен личный ключ" - "нужно установить сертификат". Вместо технической меры - организационная. Кто-то еще сомневается, что "когда настанут холода", всем придется поставить госсертификат в доверенные? Добровольно и с песней, как кошка из анекдота?

Да, это MiTM. Самый что ни на есть классический MiTM. :) Но кого это будет волновать?
Ответ написан
Комментировать
Sanes
@Sanes
Они еще об этом не думали. Спите спокойно.
Ответ написан
Комментировать
Jump
@Jump
Системный администратор со стажем.
Провайдер может расшифровать HTTPS трафик?
Да, для этого им нужен приватный ключ.
Ответ написан
Francyz
@Francyz
Photographer & SysAdmin
Уважаемый, вы похоже не внимательно читали закон. Вы будете обязаны предоставить ключ.
Ответ написан
Комментировать
При использовании протоколов шифрования с PFS
https://ru.wikipedia.org/wiki/Perfect_forward_secrecy
(в TLS 1.3 другие протоколы не будет поддерживаться в принципе) пассивная дешифровка трафика невозможна, даже если известен секретный ключ. Трафик можно перехватывать только в активном режиме, подменяя сертификат.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы