January 2026

S M T W T F S
     123
4 5678 910
11121314151617
18192021222324
25262728293031

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

useless fact

stas: (Default)
[personal profile] stas
Wednesday, April 9th, 2014 05:58 pm
Four companies control 90% of CA authority market:

Symantec 38.1%
Comodo Group 29.1%
Go Daddy 13.4%
GlobalSign 10%

All headquartered in US. Which also means they are subject to national security letters, etc.
Tags:
Flat | Top-Level Comments Only

cat_mucius: (Default)
[personal profile] cat_mucius
Thursday, April 10th, 2014 10:31 pm (UTC)
Ну, честно говоря, этот факт имеет значение разве что для определённого сценария: если правительственная спецслужба хочет устроить man-in-the-middle так, чтобы подменённый ключ выглядел подписанным тем же CA, что и оригинальный. Если же этим условием пренебречь, то сойдёт подпись от любого доверяемого CA (а количество ключей в "Trusted Root Certification Authorities" на обычном Windows уже подходит к 400, и кстати, там уже не только коммерческие CA, но и, натурально, правительства). Так что тогда куда более важным фактором становится не доля рынка, а какой процент компьютеров в мире этот CA числит в доверяемых.

Тут ещё уместно вспомнить, что компании Microsoft или Mozilla Corporation, контролирующие наполнение списка доверяемых CA - тоже американские и тоже subject to NSLs. Да и вообще что мешает любой легитимной программе, бегущей на юзерском компе, свои сертификаты в список добавлять невозбранно? А такие программы пишет великое множество американских компаний.

stas: (Default)
[personal profile] stas
Thursday, April 10th, 2014 11:20 pm (UTC)
А чем не сценарий?
1. Просим провайдера сменить DNS для клиента на наш сервер (или просто незаметно просим его раутер сделать то же самое, благо раутеры в большинстве своём дырявы, как решето).
2. Ставим на нашем сервере годный сертификат для gmail.com
3. Дожидаемся, пока клиент читает свою почту и собираем пароль
4. Просим любой следующий сервер прислать пароль на gmail.com
5. Профит.

а количество ключей в "Trusted Root Certification Authorities" на обычном Windows уже подходит к 400

Это второй вопрос, я уверен, что минимум к десятку из них ключи уже находятся Где Надо, и торгуются за 9000 денег Где Не Надо. Но даже если я буду доверять только рекомендациям лучших собаководов, это всё равно не поможет.

тоже американские и тоже subject to NSLs.

Это правда, но добавку новой CA просечь - и убрать назад, при желании, мазило опенсорс - легче, чем обнаружить, что то, что вы считали гуглем, уже месяц как не гугль.

свои сертификаты в список добавлять невозбранно?

Добавка CA без прямой авторизации - это огромная дыра в безопасности. Т.е., конечно, если некая программа на вашем компе получила админские права - для вас это гейм овер в любом случае, тогда и сертификатов никаких не надо - пароли можно читать прямо с клавиатуры, а секреты - из памяти. Мы предполагаем, что в данном случае все правила гигиены соблюдены, на компьютере посторонней живности не имеется, потому что в противном случае и обсуждать-то нечего.

cat_mucius: (Default)
[personal profile] cat_mucius
Friday, April 11th, 2014 09:22 am (UTC)
Сценарий вполне, конечно - если есть годный сертификат для mail.google.com.
Просто если rootCA, выписавший его - тот же GeoTrust, что подписал настоящий гуглевский subCA, то обнаружить подмену становится ещё тяжелее, даже грамотным параноикам.


Добавка CA без прямой авторизации - это огромная дыра в безопасности. Т.е., конечно, если некая программа на вашем компе получила админские права - для вас это гейм овер в любом случае, тогда и сертификатов никаких не надо - пароли можно читать прямо с клавиатуры, а секреты - из памяти. Мы предполагаем, что в данном случае все правила гигиены соблюдены, на компьютере посторонней живности не имеется, потому что в противном случае и обсуждать-то нечего.
Ну не то чтобы дыра - это by design так, к сожалению. Админские права и не требуются - каждый юзер (и программа, бегущая под его аккаунтом) может управлять своим списком "Trusted Root CAs". И делать это можно вполне открыто и легально. Допустим, какой-нибудь media player при установке добавляет свой сертификат, для работы с каким-нибудь ихним облачным сервисом. Можно даже и юзеру о том открытым текстом сообщить, чтобы он в нужном окошке на кнопочку "Yes" нажал. Дыра тут не в схеме компьютерной безопасности, а в юзерском понимании последствий.

stas: (Default)
[personal profile] stas
Friday, April 11th, 2014 06:36 pm (UTC)
Да уж, эта микрософтовская user-friendlyness им (а точнее, их пользователям) ещё не раз отольётся горькими слезами. И главное, какие лапочки - sha1 они показывают, как будто юзер, нажимающий на yes, знает, что такое sha1 и куда его совать. И ведь какой-то PM такую фичу в микрософте утвердил...
Flat | Top-Level Comments Only