Цифровые нотариаты и административное значение TLS/SSL
Как известно, перехват HTTPS проще реализовать при участии удостоверяющего центра, который, технически, может выпустить особый сертификат, позволяющий перехватывающему узлу выдать себя за легитимный сервер, с которым планировал соединиться пользователь. Эта особенность протокола ставит удостоверяющие центры в положение, когда их (вполне обосновано) постоянно подозревают в выпуске “перехватывающих сертификатов”. Или, как минимум, в содействии такому выпуску. После недавних “разоблачений АНБ” эта, чисто административная ситуация, сильно обострилась. Проблем добавляет и тот факт, что стандартные средства TLS/SSL, изначально разработанные для защиты коммерческих транзакций, выполняемых через Интернет, сейчас используются жителями разных стран с целью защиты личных сообщений и прочих важных данных.
Тут возможно техническое решение, которое ввело бы некий дополнительный распределённый нотариат, поддерживаемый сообществом и, поэтому, независимый как от удостоверяющих центров, так и от разработчиков браузеров. Я писал про инициативу Certificate Transparency, она как раз является одним из таких нотариатов. Так вот, интересно, что удостоверяющим центрам появление такого сервиса должно бы быть полезным. Этот сервис, если он будет развёрнут повсеместно, лишает выпуск “перехватывающих сертификатов” всякого смысла: встретив подобный сертификат, браузер всё равно будет выдавать предупреждение системы безопасности. И это должно снять подозрения с удостоверяющих центров.
Впрочем, в реальности, появление подобного нотариата означает лишь, что сузится круг интересных с точки зрения обеспечения перехвата удостоверяющих центров, а это приведёт к изменению административной иерархии. То есть, наличие распределённой системы, призванной победить угрозу перехвата HTTPS, при должной поддержке в дистрибутивах браузеров позволит реализовать схемы, когда для сайтов заданной государственной принадлежности будут допустимы только сертификаты уполномоченных удостоверяющих центров.
Впрочем, нужно подождать, посмотреть, что выпустят производители браузеров.
Адрес записки: https://dxdt.ru/2013/10/10/6235/
Похожие записки:
- Очередная атака на предикторы в схемах оптимизации CPU
- ИИ для принятия решений
- TOR и анализ трафика в новостях
- Утечки данных YubiKey/Infineon
- Кибератаки, самоуправляемые автомобили и бот в смартфоне
- Бывшая "Яндекс.Почта"
- Геоаналитика через "Яндекс"
- Техническое: переходим с ECDH на ML-KEM в проекте на Go
- Ретроспектива заметок: деанонимизация по географии
- Метки в текстах LLM и целевое влияние на результат
- Сертификаты с коротким сроком действия и централизация
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, криптографию, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
1 комментарий от читателей
1 <t> // 11th October 2013, 01:37 // Читатель jno написал:
Кто-то (не Билл Джой, часом?) уже предлагал похеоить всю эту безопасность оптом и жить исходя из того, что все всем видно…