Vlákno názorů ke zprávičce Do vlády jde návrh zákona o Vojenském zpravodajství od anonym - Jak mohou krabicky u poskytovatelu odposlouchavat sifrovanou komunikaci?

Jak mohou krabicky u poskytovatelu odposlouchavat sifrovanou komunikaci?

Když to doženu do extrému a připustím, že 3písmenkové organizace mohou (a já osobně věřím, že mají) přístup k "root" klíčům např. DNSSEC, provoz DNS se stahuje na "pár" serverů (FF a chromajzl to zapínaj tiše všem postupně, je to přece bezpěčnějsí, což zajisté je, jen je dobré si uvědomit pro koho a kdy) ...... No, MTIM pak nebude žádný problém :)

Obecně jakákoliv takováto centralizace a kult osobnosti (můj bůh je lepší bůh než ten tvůj :) alias kult osobnosti jednoho klíče, je cesta do pekel. Dtto vypínání HTTP v prohlížečích, nucená "certifikace" webů (co se stane, když přestane lets encrypt fungovat), ... Na tyhle krabici (třeba ty co dává PČR) a postupy států nelze koukat z pohledu naší (kratší) strany kabelu, ale je nutno je vidět v kontextu "jejich" možností.

Ale co, já nic neudělal, tak nemám co tajit ne ? Je až s podivem, jak velké procento lidí z IT by se pod tohle mohlo podepsat :)

Je to celé jen o víře, něco jako bible a spol. Buď "jim" věříš - a pak se tam nedostanou a vše je krásné a jednoduché nebo ne. Ať žije kult jednoho klíče :) Je to přece skvěle nastavené, transparetní a není se čeho bát.

P.

Projekt Let's Encrypt je pro státy dar z nebes. Nikdo nemá a nebude mít potřebu kupovat certifikáty a neexistuje taky žádná motivace, aby někdo dotoval alternativu k LE. Pokud se něco nezmění, v brzké době nebudou existovat žádné jiné certifikáty, než LE, nebo jen naprosto okrajově. Ani vendoři prohlížečů nemají motivaci jakkoliv pomoci alternativám. Buďto je jim to jedno (hlavně když jede HTTPS) nebo - a to je potřeba si uvědomit - jsou jak Google, tak Microsoft, tak Apple významnými obchodními partnery i pro administrativu USA (další firmy z Let's Encrypt také). Lze tedy předpokládat, že USA mají jakousi (blíže neurčitelnou) možnost v případě nouze chod celého internetu významně ovlivnit.

Mně osobně třeba úplně neděsí USA, historicky zatím vždy chránili v první řadě svoje zájmy, ale v druhém pořadí se snažili pomáhat spojencům. Spojence většinou sbližoval demokratický pohled na svět. V tomto bodě ale připouštím, že to je o osobním měřítku každého.

Jakousi alternativou by mohly být iniciativy jednotlivých zemí. Dovedu si představit, že by EU společně i ČR a další země zvlášť mohly mít každá svoji státem podporovanou certifikační autoritu, kterou prosadí i u vendorů prohlížečů. V běžné době by to nepředstavovalo žádný rozdíl, ale v dobách ohrožení by bylo možno udržet svoji regionální část internetu v provozu. To mě napadá jako jediná životaschopná alternativa k přirozeně monopolizujícímu Let's Encrypt.

Můj pohled je ovlivněn tím, že uznávám autoritu státu a nevadí mi, že by měl potenciální možnost narušit mé soukromí. Jsem rád, že žiju v demokratické části světa a vím, že demokracie a bezpečnost jsou potřeba chránit. Pokud mě má stát chránit, musí k tomu mít přiměřené a kontrolované nástroje. I v tomto bodě chápu, že co člověk, to jiný názor.

V pripade vypadku DNS by stacilo aby v radiu vyhlasili seznam.cz ma IP xxx.xxx.xxx.yx. to si napiste do prohlizece .

"co se stane, když přestane lets encrypt fungovat"

Jako kdyz prestane vydavat certifikaty? Prohlizece zacnou hlasit "Not secure" a bude treba (v Chromu) asi o dva kliky navic.

Ne, pokud se na webu používá HSTS. To si u klientů vynucuje přijetí jen důvěryhodných a platných certifikátů. Pokud tedy na takovém webu certifikát vyprší, klienti se na něj nepřipojí. Navíc TLS není zdaleka jen na webu.

To máš pravdu, já spíše narážel na vývoj, kdy za chvilku nebude HTTP "tolerováno" :) Bude to zobrazovat warningy a bůch ví co.

P.

MITM. Plus případně certifikační autorita v rukou státu.