на главнуюВсе эхи RU.CRYPT
войти ?

Re: вранье?

От Serguei E. Leontiev (2:5020/400) к Alexey Vissarionov

В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)


From: "Serguei E. Leontiev" <leo@sai.msu.ru>

Привет Алексей,

От 2 декабря 2014 г., 20:00:00 в fido7.ru.crypt ты писал:
??>>>>> 1. Провайдер должен предоставлять трубу и никак
??>>>>> не вмешиваться в трафик абонента.
SL>>>> "должен" в данном контексте это юридический термин
SL>>>> или некое "понятие"? Оно требует пояснения.
SL>>>> В любом случае, https прокси, как любой другой
SL>>>> прокси или NAT, это не совсем уж прямо так:
SL>>>> "вмешательство в трафик", наверное, если строго,
SL>>>> это обработка запроса абонента.
AV>>> Какого такого запроса? Услуга называется "передача
AV>>> данных".
SL>> Запроса на передачу данных.
AV> Hа сетевом уровне нет никаких запросов. Задача оператора услуг
AV> передачи данных предельно проста: получили пакет от
AV> пользователя наружу - отправили по адресу назначения, получили
AV> пакет снаружи для пользователя - отправили пользователю.
AV> Теоретически, они даже NAT использовать не могут (хотя на это

С какого такого перепугу, оператор связи не может использовать NAT или
прокси? Какой такой "Коран" ему это запрещает? ИМХО это просто твоё,
вполне себе произвольное пожелание, которому можно следовать, а можно и
не следовать.

??>>>>> 2. Трафик шифруется как раз для того, чтобы
??>>>>> никто не мог влезть в него и что-то подменить,
??>>>>> либо вытащить пароли.
SL>>>> Это требование, я склонен полагать, обеспечивается,
SL>>>> как на юридическом, так и на техническом уровне.
AV>>> Hикак оно не обеспечивается... любой УЦ по запросу
AV>>> "органов" выпустит левый сертификат для любого домена.
AV>>> В полном соответствии с законом, ага.
SL>> Ой, всякое конечно бывает, но ИМХО вряд ли они будут
SL>> возиться, рассекречивать потребное им имя сервера и
SL>> идентификаторы клиента, им проще
AV> ... выпустить wildcard certificate для каждого TLD - *.com,
AV> *.net, *.ru итд.

А это ничего, что в "Коране" написано: "... Names may contain the
wildcard character * which is considered to match any single domain name
component or component fragment. E.g., *.a.com matches foo.a.com but not
bar.foo.a.com. f*.com matches foo.com but not bar.com."

Или реализации уже и на это уже забили?

SL>> так взломать и прочитать трафик без всей этой мышиной возни.
AV> Так взломать - это как?

Как? Как? Hаверное в рамках оперативно-розыскных мероприятий или как там
это у них называется. Ибо, все Вассенаарские соглашения более или менее
выполняют, зря что ли подписывали, так что если что-то не требует
лицензии/разрешения на экспорт из буржуинии и лицензии/разрешения на
импорт в РФ или наоборот, значит, ИМХО, в этих сотнях миллионов строк
исходного кода и/или гигбайтах бинарного кода содержится достаточное
количество слабостей для всех заинтересованных сторон.

А если даже и встретится реальный параноик, который попытается навестить
парочку "бронещитков", то он первое что сделает - это забъёт болт на
всякие там готовые https или gpg и всё переделает. :)

SL>> Вот умная фильтрация по требованию Роскомнадзора, это да.
AV> А для этого и внутрь HTTPS лезть не нужно - SNI в открытом виде

В SNI передаётся только имя сервера, и кому будет радость от
блокирования https://ВСервер.рф вместо указанного Роскомнадзором
https://ВСервер.рф/Дкозлов/Дпорнография ?

--
Успехов, Сергей Леонтьев. E-mail: lse@CryptoPro.ru
--- ifmail v.2.15dev5.4
* Origin: ГАИШ МГУ (2:5020/400)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким

FGHI-url этого письма: area://RU.CRYPT?msgid=<1187497964@ddt.demos.su>+52d12a4b