на главнуюВсе эхи RU.CRYPT
войти ?

вранье?

От Alexey Vissarionov (2:5020/545) к Serguei E. Leontiev

В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)


Доброго времени суток, Serguei!
02 Dec 2014 21:35:34, ты -> мне:

??>>>>>> 1. Провайдер должен предоставлять трубу и никак
??>>>>>> не вмешиваться в трафик абонента.
SL>>>>> В любом случае, https прокси, как любой другой
SL>>>>> прокси или NAT, это не совсем уж прямо так:
SL>>>>> "вмешательство в трафик", наверное, если строго,
SL>>>>> это обработка запроса абонента.
AV>>>> Какого такого запроса? Услуга называется "передача
AV>>>> данных".
SL>>> Запроса на передачу данных.
AV>> Hа сетевом уровне нет никаких запросов. Задача оператора услуг
AV>> передачи данных предельно проста: получили пакет от пользователя
AV>> наружу - отправили по адресу назначения, получили пакет снаружи
AV>> для пользователя - отправили пользователю.
AV>> Теоретически, они даже NAT использовать не могут
SL> С какого такого перепугу, оператор связи не может использовать NAT
SL> или прокси? Какой такой "Коран" ему это запрещает?

Функции корана и прочих писаний в данном случае выполняет ФЗ "О связи" и подзаконные акты к нему. Подробности рыть не буду, но хорошо помню, как мы бодались с тогдашним Связьнадзором (щас Роскомнадзор) после жалобы усера, которому не понравился прозрачный прокси с антивирусной проверкой...

SL> ИМХО это просто твоё, вполне себе произвольное пожелание, которому
SL> можно следовать, а можно и не следовать.

Увы - я тогда возглавлял NOC, так что все технические аспекты переписки свалились на меня.

??>>>>>> 2. Трафик шифруется как раз для того, чтобы никто не мог влезть
SL>>>>> Это требование, я склонен полагать, обеспечивается, как на
SL>>>>> юридическом, так и на техническом уровне.
AV>>>> Hикак оно не обеспечивается... любой УЦ по запросу "органов"
AV>>>> выпустит левый сертификат для любого домена.
SL>>> Ой, всякое конечно бывает, но ИМХО вряд ли они будут возиться,
SL>>> рассекречивать потребное им имя сервера и идентификаторы клиента,
SL>>> им проще
AV>> ... выпустить wildcard certificate для каждого TLD - *.com,
AV>> *.net, *.ru итд.
SL> А это ничего, что в "Коране" написано: "... Names may contain
SL> the wildcard character * which is considered to match any single
SL> domain name component or component fragment. E.g., *.a.com matches
SL> foo.a.com but not bar.foo.a.com. f*.com matches foo.com but not
SL> bar.com." Или реализации уже и на это уже забили?

Не скажу за всех, но соответствует ли wildcard-сертификат хосту - каждый разработчик определяет сам в соответствии со своим пролетарским чутьем.

SL>>> так взломать и прочитать трафик без всей этой мышиной возни.
AV>> Так взломать - это как?
SL> Как? Как? Hаверное в рамках оперативно-розыскных мероприятий или как
SL> там это у них называется.

Это уже специальные технические мероприятия (СТМ) в ходе ОРД. Впрочем, они обычно сводятся к "дайте нам %s", ибо толковых специалистов у них мало.

SL> Ибо, все Вассенаарские соглашения более или менее выполняют, зря что
SL> ли подписывали, так что если что-то не требует лицензии/разрешения
SL> на экспорт из буржуинии и лицензии/разрешения на импорт в РФ или
SL> наоборот, значит, ИМХО, в этих сотнях миллионов строк исходного кода
SL> и/или гигбайтах бинарного кода содержится достаточное количество
SL> слабостей для всех заинтересованных сторон.

Очень спорно... Алгоритмы опубликованы, методы проверки соответствия кода алгоритму известны, исходники доступны - итого остается разве что некоторая вероятность злого умысла разработчиков алгоритма, но на этот случай есть криптоаналитики, которые спят и видят, как бы обнаружить лажу в творении именитого криптографа.

Вот в параметрах алгоритма таки да, закладки вполне реальны - будь то набор подстановочных таблиц или порождающие точки эллиптических кривых (и, на мой взгляд, во втором случае вероятность этого довольно высока). Но тут уже надо думать, в каком случае риск выше: при использовании потенциально ослабленных параметров или при использовании потенциально дырявых.

SL> А если даже и встретится реальный параноик, который попытается
SL> навестить парочку "бронещитков", то он первое что сделает - это
SL> забъёт болт на всякие там готовые https или gpg и всё переделает. :)

Если при этом его решение сохранит совместимость с "недоверенными" - why бы, собственно, и not?

SL>>> Вот умная фильтрация по требованию Роскомнадзора, это да.
AV>> А для этого и внутрь HTTPS лезть не нужно - SNI в открытом виде
SL> В SNI передаётся только имя сервера, и кому будет радость от
SL> блокирования https://ВСервер.рф вместо указанного Роскомнадзором
SL> https://ВСервер.рф/Дкозлов/Дпорнография ?

Еще бы это хоть как-то волновало РКН...


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-cmlxxvii-mmxlviii

... Надо водки купить, пока все деньги не пропили

--- /bin/vi
* Origin: http://openwall.com/Owl/ru (2:5020/545)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким

FGHI-url этого письма: area://RU.CRYPT?msgid=2:5020/545+547e3aa0