Кот Муций (cat_mucius) wrote,
Кот Муций
cat_mucius

Categories:
  • Music:

Сертификаты и политический сыск

Месяц прошёл с этого поста и вот вам пожалуйста: шведско-финской конторе под названием TeliaSonera, торгующей сертификатами, Mozilla, авторы Firefox, подумывают отказать в аккредитации и выкинуть их корневые сертификаты из списка доверенных. Причина: недавное журналистское расследование обвинило ТелиаСонеру в вовлечённости в прослушку и перехват траффика авторитарными режимами на территории СНГ – в Беларуси, Таджикистане, и т.д. Дискуссию можно прочесть здесь.

При этом их никто не поймал непосредственно на подписывании липовых сертификатов и вообще на том, что они вовлечены в подслушку именно в качестве CA. В принципе, они – сотовые операторы, которые действуют в этих странах и по местным законам должны предоставлять спецслужбам возможность lawful interception (что вообще-то не является спецификой этих государств – аналогичные законы есть, афаик, повсюду). Но сама ситуация означает конфликт интересов: одни клиенты им платят за заверение своих сертификатов, предназначенных для защиты траффика; другие могут заплатить за перехват этого траффика или даже тупо вынудить, угрожая отъёмом лицензии - причём это тоже будет соответствовать местным законам, если понадобится. В таких условиях доверять CA нельзя.

Незадолго до этого схожий скандал вознил вокруг другого CA, TrustWave. Те соорудили систему DLP, формально предназначенную для борьбы с утечками информации из корпоративных сетей, но по сути являющуюся перехватчиком, действующему по тому же принципу: берём дочерний сертификат, наследующий весь капитал юзерского доверия от корневого, и подписываем им на лету липовые сертификаты для запрашиваемых юзерами сайтов.

Аналогом такой деятельности было бы, если бы, скажем, медицинский колледж одной рукой выдавал дипломы своим выпускникам, а другой – шлёпал бы такие же корочки для заведомого жулья, использующего их, чтобы квартиры старушек обчищать.

Выкидывать сертификаты TrustWave из списка доверенных в Файерфоксе не стали, поскольку те вроде бы повинились и сертификат дочернего CA, предназначенный для перехватов, занесли в черный список (CRL).

Но что во всей этой технологии хорошо, так это то, что каждый участник может самостоятельно решать, кому доверять, а кому нет, не дожидаясь решений Мозиллы или там Микрософта. Посему я на своём компе две данных фирмы забанил нахрен. Делается так:

Для Internet Explorer / Google Chrome:
  • Сохранить корневые сертификаты на локальный диск с этих двух страничек (TeliaSonera, TrustWave), с расширением *.crt. Вот они одним архивом.
  • Запустить certmgr.msc, пойти в “Untrusted Certificates” -–> “Certificates”, и импортировать туда все сохранённые сертификаты. После чего перезапустить браузер.


    Для Mozilla Firefox:
    Пойти в Options --> Advanced --> Encryption --> View Certificates. Найти все сертификаты в этих группах:
  • SecureTrust Corporation
  • Sonera
  • XRamp Security Devices Inc
    Для каждого нажать на “Edit Trust” и сбросить все виды доверия. После чего перезапустить браузер.



    Какой практический вывод можно сделать из всего этого?
    Если вы считаете, что у спецслужб вашей страны есть хорошая причина интересоваться вашим сетевым траффиком - первым долгом узнайте, кто местный CA, найдите у себя его корневой сертификат и забаньте его. В Израиле это StartCom; в России есть несколько фирм, претендующих на роль CA, но ни одной из них в списке доверия Микрософта или Мозиллы нет. Тем не менее, стоит проверить свой браузер, кому он доверяет. Если вы живёте в Беларуси, Таджикистане, Казахстане, Азербайджане, Узбекистане, Грузии или в Непале :-) - забаньте ТелиоСонеру.

    Для более высокого градуса паранойи, стоит выкинуть из списка вообще всех CA и заносить вручную сертификаты сайтов и людей, которым вы доверяете, в ситуации, когда вероятность подмены минимальна.

    P.S. Наиболее впечатливший меня момент из шведского фильма-расследования: нескольких людей, живущих в Азербайджане и голосовавших по SMS за армянскую команду на Евровидении, таскали в полицию, орали и обвиняли в предательстве. Худших последствий для них это не имело, таким прессованием дело и ограничилось - но всё равно внушает, однако! Впрочем, Азербайджану в некоторых аспектах не впервой совершенно пленять воображение.

    P.P.S. Ещё, кстати, штрих к портрету: Россия, Беларусь, Казахстан и Китай запрещают импортировать компьютеры с чипом TPM на борту. Поскольку такой чип используется для хранения неизвлекаемых криптоключей. Мелочь, а сколько говорит!
  • Tags: politics, security
    Subscribe

    • (no subject)

      Запоздалое, но большое спасибо всем, ответившим на предыдущий пост! Из предложеных версий мне кажется, что лучше всего "щёлкает" версия…

    • (no subject)

      Дорогие френды, а не просветите ли невежественного в русской истории кота? Отрывок из « Гимназистов» Гарина-Михайловского: Однажды, как только…

    • (no subject)

      Задумался вдруг над одной сценой из "Поттера" и внезапно она мне показалась очень нелепой. Не логически-технически нелепой (этих-то дыр не…

    • Post a new comment

      Error

      Anonymous comments are disabled in this journal

      default userpic

      Your reply will be screened

      Your IP address will be recorded 

    • 21 comments

    • (no subject)

      Запоздалое, но большое спасибо всем, ответившим на предыдущий пост! Из предложеных версий мне кажется, что лучше всего "щёлкает" версия…

    • (no subject)

      Дорогие френды, а не просветите ли невежественного в русской истории кота? Отрывок из « Гимназистов» Гарина-Михайловского: Однажды, как только…

    • (no subject)

      Задумался вдруг над одной сценой из "Поттера" и внезапно она мне показалась очень нелепой. Не логически-технически нелепой (этих-то дыр не…