Tor в законе.

[vitus_wagner]

Забавно. Американские удостоверяющие центры стали выдавать сертификаты для сайтов в домене .onion.

Понятно, что фейсбук это такой кит, что если он себе захотел сертификат, то кто угодно прогнется.

Но вообще идея мне кажется какой-то внутренне противоречивой. С одной стороны анонимная сеть и скрытые сайты. С другой - удостоверяющие центры, которые по своей природе организации тесно аффилированные с властями.

Comments

[wizzard]

М-ммм, ну это задачи разные ведь. Фейсбук большой, ему защищать сервис в общем-то не надо, а клиенты маленькие, их в этом случае Тор и покрывает.

Кроме того, это очень хорошо в смысле увеличения процента легального трафика в Торе, и вообще crypto awareness.

[vitus_wagner]

На мой взгляд, базовый принцип Crypto Awareness - не доверять никаким digicert-ам и verisign-ам.

А подобные приколы только УМЕНЬШАЮТ базовое понимание того что такое TLS и от чего она защищает, равно как и что такое Tor и кого и от чего защищает он.

Впрочем, поскольку хозяина SilkRoad 2.0 уже того, может быть этого как раз и добиваются.

[beldmit.livejournal.com]

Базовое понимание - что TLS это шифрование. Что TLS прежде всего аутентификация, проговаривается очень-очень редко.

[inkelyad.livejournal.com]

Возможно из за того, что в основной своей части оно эту функцию выполняет плохо. Скажем, проверить то, что 'Google Inc' из сертификата - это 'тот самый гугл', я не могу без довольно значительных усилий.

[beldmit.livejournal.com]

Так на то оно и доверие корневым CA, чтобы это проверяли не Вы.

[inkelyad.livejournal.com]

Я верю, что корневой СА проверил, что он на Google Inc сертификат выписывает. А как проверить, что это 'тот самый' гугл? Понимание 'тот самый' - оно может быть несколько разным у меня и СА. Для СA - это что на документе о регистрации фирмы нужные буквы стоят. А для меня - это то, что я нужный мне сервис получить могу. Что не совсем одно и то же.

[vitus_wagner]

А вот это и есть главная засада всей X.509 инфраструктуры доверия.
Впрочем pgp-шная сеть доверия в этом плане не сильно лучше.

[beldmit.livejournal.com]

А это уже Google будет проверять. И отжимать домены. А вообще есть проект Certificate Transparency, который частично в эту сторону.

[vitus_wagner]

У кого у кого отжимать домены?

[beldmit.livejournal.com]

У тех, кто использует имена, похожие-до-степени-смешения-с.

[inkelyad.livejournal.com]

Осталось только как-то понять, что это 'тот самый гугл, что мне нужен' домен отжал, а не наоборот.

[beldmit.livejournal.com]

У Вас есть доменное имя в URL и инфа в сертификате. Больше Вам никто не даст.

[inkelyad.livejournal.com]

Вот про что я выше и говорил. Из сертификата и имени понять, что 'это именно те люди, что мне нужны и они делают именно то, что мне нужно' нельзя. Получается, что сам сертификат и TLS ничего тут не аутентифицируют.

Но они нужны для другого. Он обеспечивает повторяемость. В n-ый раз я связывался с тем же сервисом (да и то с оговорками), что в первый. А если он раз за разом делают, что обещано 'тем самым гуглом' - то значит это 'тот самый гугл' и есть.

[beldmit.livejournal.com]

Ну вот в случае со взломом DigiNotar там подсовывали фальшивый gmail.

Сертификат с сайтом подтверждают, что они подходят друг к другу и должно быть проверено (хотя уровень проверки разный), что компания, подавшая на сертификат, имеет право на ресурс.

[vitus_wagner]

При этом отсутствует базовое понимание что шифрование без аутентификации ни от чего не защищает.

[beldmit.livejournal.com]

Да. Я в своих материалах про это пытаюсь говорить, но вообще этот момент пропускается как очевидный - браузер привел на сайт, значит все ок.

[leotsarev]

Основание — потому что пользователи приучены к https = хорошо. Переучивать пользователей не хочется. Даже фейсбук признаёт бесполезность сертификата.

[beldmit.livejournal.com]

https - действительно неплохо. К замку на двери можно подобрать ключ, но говорить, что пользователи дверей приучены к тому, что замки = хорошо, некорректно.

[vitus_wagner]

Почему некорректно? Еще как приучены. В какой-нибудь глухой деревне в Архангельской области вот не приучены, и уходя из дома дверь палочкой подпирают. Потому что не видят в замках пользы и необходимости.

[beldmit.livejournal.com]

Я бы сказал, что это в Архангельской области приучены обходиться без замков. Были, потому как я не уверен, что сейчас это актуально - периодически в телесюжетах из Рыбинска вижу в списке похищенного такое, на что я бы не поверил, что кто-то может позариться...

[beldmit.livejournal.com]

Анонимность в сети, даже в Tor - это (желательная) возможность. Право отказа от нее должно быть. Так что я никакого противоречия в этой идее не вижу.

[phd_ru]

А сама идея Фейсбяка в сети Тор тебе не кажется внутренне противоречивой?! Я, когда новость увидел, чуть с кресла не упал от смеха. :-)))

[beldmit.livejournal.com]

А что такого, собственно?

Наверное, я чего-то не понимаю

[phd_ru]

А какой смысл использовать сеть Тор для доступа к абсолютно антианонимной социальной сети, которая требует использовать реальные имена и наверняка сотрудничает с американскими спецслужбами?

Re: Наверное, я чего-то не понимаю

[beldmit.livejournal.com]

Неамериканские спецслужбы для конкретного юзера могут быть опаснее.

Re: Наверное, я чего-то не понимаю

[phd_ru]

Про неанонимность самого Фейсбука ты решил не говорить…

RE: Re: Наверное, я чего-то не понимаю

[beldmit.livejournal.com]

Олег, ну только у меня во френдах там человек 10 с ни разу не паспортными именами. То есть 1% при том, что этим людям шифроваться незачем. Так что неанонимность там сильно преувеличена. Правда, см. мой вчерашний пост.

[phd_ru]

1. Это попытка просочиться под радаром. Некоторое время будет срабатывать, потом сломается. Яндекс, например, выпер меня из "Моего круга" за отказ поставить имя.

2. Информация о пользователе вычисляется не только по реальному имени, но и по списку друзей и кругу интересов. Вчерашний твой пост читал, очень в тему.

Ну и зачем тогда для доступа к ФБ Тор?

[beldmit.livejournal.com]

Ну так заводишь себе другого пользователя. Постишь котиков для спецслужб своей страны в одном аккаунте, плетешь заговоры в другом, через Tor.

Я бы тут смотрел с другого конца. Если есть люди, ходящие в FB через Tor, то им есть смысл проверять подлинность FB.

[vitus_wagner]

Ну так отказываться предоставить-то имя зачем? Номер паспорта или СНИЛС они не требуют. А если бы и требовали, проверить по базе полиции или пенсионного фонда им никто не даст. Можно написать "Вассисуаллий Алибабаевич Пупкин" и пусть успокоятся.

[taris_marh.livejournal.com]

Ну и зачем тогда для доступа к ФБ Тор?

Чтобы... иметь доступ к Facebook. А то, глядишь, забанят его с 01.01.2015 и будет всем весело. Правда, есть немалый шанс, что этот закон окажется очередным пуком в лужу, но Грани.Ру уже блокируют, а через TOR они отлично читаются. То есть, мне как-то прятаться нет нужды, а вот читать я хочу то, что хочу читать я, а не то, что разрешил "товарищ майор".

[pan-2.livejournal.com]

Чтобы... иметь доступ к Facebook
+1
если я хоть что-то понимаю, в последную пару лет, Tor - исключительно транспорт below the radar

[vitus_wagner]

Вообще, конечно да. Просто у меня профессиональный bias, поэтому глаз цепляется в первую очередь за криптографические штучки, а не за социально-сетевые.

[pan-2.livejournal.com]

Меня, кстати, больше интересует не сам ФБ, а то, как проверяться будет сертификат. Потому что по-хорошему, у DigiCert тогда должен быть .onion сайт для публикации CRL, потому что проверка по .com - может быть палевна.

[vitus_wagner]

Если это именно CRL, а не OCSP - то вряд ли. Мало ли на какие сайты в открытом интернете, чьи сертификаты подписаны DigiCert ты ходишь. Cейчас вон на гугль по умолчанию по https ходят.

Но вообще-то по-моему, современные браузеры еще не доросли до такого уровня безопасности, чтобы отозванность сертификата проверять. А народу и не надо. Народу надо "чтобы шифровалось"

[pan-2.livejournal.com]

>> чтобы отозванность сертификата проверять.
Ну здрасте, галочка в IE уже черт знает с какой версии заставляет проверять CRL.

>> чьи сертификаты подписаны
Безусловно, но при неправильном соединении, когда не весь трафик туннелируется в Тор, это может быть маркером активности.

Тут вообще забавные вещи выясняются, что просто сделать гейт в онион - недостаточно, необходимо ещё и логику антифрода подпилить:
habrahabr.ru/post/242175/?%13%ECN@#comment_8104453

[vitus_wagner]

Ну так не обязательно же CRL скачивать при каждом обращении к интернету - скачпиваешь CRL, а в нем стоит метка времени - когда будет выпущен следующий. И до этого момент пользуешься закэшированным.

[pan-2.livejournal.com]

Ну да, неделя срок действия.
Но CRL у них разные, для снижения нагрузки. Не поленился, скачал тор, посмотрел - разные (пока ещё) сертификаты и СРЛ на .онион и на .ком

[vitus_wagner]

Все теперь. Теперь все спецслужбы, которые мониторили ваш траффик, уверены что вы ходите в фейсбук через tor.

[pan-2.livejournal.com]

Но я же не логинился там! Я просто посмотрел!

Не, это конечно понятно, что для массовой слежки это не подходит. Но в контексте поиска конкретной иголки в малом, но всё же, стоге сена - маркер вполне интересный.

[beldmit.livejournal.com]

https://threatpost.com/facebook-creates-onion-site-now-accessible-via-tor-network/109121 - тут вот еще кое-какие подробности есть, зачем Facebook-у под Tor затачиваться.