Hlavní navigace

Názor ke zprávičce Turktrust subCA vydala falešné certifikáty k *.google.com, *.android.com a dalším od HisSinIsPride - Není pravda. Každá vláda, resp. její exekuční složka ví,...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 5. 1. 2013 1:28

    HisSinIsPride (neregistrovaný) 2600:3c03:0:----:----:----:----:----

    Není pravda.

    Každá vláda, resp. její exekuční složka ví, že nelze jenom tak odposlouchávat všechny plošně, jinak by je rychle odhalily. Írán je z téhle statistiky "outlier", od něj se poučily všechny "demokratické státy" (ta část s DigiNotar, GlobalSign, atd.). Jinak řečeno, dělat útok na technicky zdatné lidi, které používají napřiklad Perspectives, by byla "technická sebevražda" (by to velmi rychle napastovaly na ty internety).

    Pointa: útok se musí dělat na lidi, kteří nerozumí SSL/TLS. To není chyba těch lidí - SSL/TLS je dost šíléné a když se podíváte do IETF TLS WG, co za standardy jsou navrhovány, není to o moc lepší. Technicky jsou možná lepší, ale zkuste třeba vysvětlit na hotelu, že captive portal je z definice útok. Poslední reakce byla "Sie machen es so kompliziert!"

    Pointa2: i když některé praktiky Google fakt nemusím, dost jim fandím co se týče IETF (Benovi a Adamovi především s Certificate Transparency).

    N.B.: Moxieho si vážím hodně, ale v mnoha přednáškách je "overhyped", včetně TACK.