Об ограничении интернета в рф/ua/снг

DPI для SSL технически реально? Вопрос не в блокировке портов и SSL траффика (с такой политикой можно вообще заблокировать внешние каналы без всяких там спецслужб), а в анализе траффика. Вот и расскажите нам, как специалист, про DPI и SSL.

 

Для внутреннего трафика инспекция SSL- дело техники. Как написал автор соотв. законодательная база есть - осталось притворить её в жизнь. Что же касается SSL коннектов "наружу", то как я уже сказал VPN over SSL отсекается не просто, а очень просто. Что же касается обычного https трафика, то у властей всё равно остаётся metadata - т.е. информация на какие именно сайты вы ходили. А это не мало - чтобы было понятно - если вы замечены в походе в публичный дом, а проституция запрещена, то властям вовсе не надо знать с какой именно проституткой и что вы делали. Вас накажут на основании того, что вы зашли и вышли из этого конкретного помещения, а в условиях авторитарного режима и отсутствия независимого суда вы беззащитны перед государственной репрессивной машиной.

 

OpenVPN over SSL (TCP через порт 443) принципиально неотличим от HTTPS. Каким образом вы его отсечете, кроме как по адресу?

Это ерунда полная - запрет на доступ к сайтам не может быть имплементирован, этому есть стопиццот причин - количество пользователей, динамические dns, кросс-ссылки, анонимные сайты по IP-адресам (давайте, заблокируйте законодательно IPv6 с адресным пространством в 128 бит).

--- Сообщения объединены, 28 апр 2014, дата первого сообщения: 28 апр 2014 ---

Только пользователи получат предупреждение в броузере о неправильном сертификате.

 

Не факт. Это написано в статье, только не прямым текстом. Но суть при внимательном прочтении понятна - в РФ подготовлена нормативная база позволяющая обязать все сайты получать сертификаты у специальной инстанции РФ. Сертификат этой инстанции может быть добавлен во все бровсеры, а условием выдачи сертификата может является предоставление CSR вместе с private key. Таким образом DPI монстр получает все ключи для всех HTTPS сайтов на территории РФ. Отдельная кучка IT-шников будет об этом знать, но будет бессильно что либо предпринять, большинство же населения будет вообще не в курсе этой глобальной слежки.
Ещё раз повторю (со ссылко на автора статьи) - нормативна база готова, осталось её имплементировать.

 

Эта нормативная база как бы подготовлена во всем мире, только неофициально - вы уверены на 100%, что основные CA не передают ключи спецслужбам (или не передадут их при первом требовании)? Достаточно одного из них, чтобы успешно осуществлять MITM. Это вопрос исключительно доверия, а большинству пользователей это абсолютно пофиг, они уже "доверяют" свою почту гуглорекламщикам, а частную жизнь - фейсбуку. Сознательные граждане перестанут посещать зону рунета, несознательным это совершенно неважно.

 

Да, уверен на 1000% потому как основные CA не требуют предоставления ключа, они подписывают исключительно CSR, не содержащий приватного ключа.
В РФ в противопоствление этому нормативная база позволяет требовать предоставление ключа. Тот факт что (пока) это не делается не говорит ни о чем, кроме того что пока РФ технически не готовы к такой акции.

--- Сообщения объединены, 28 апр 2014, дата первого сообщения: 28 апр 2014 ---

Тут я с вами полностью согласен. И это именно то, о чем писал я - большинство проглотит фейковые сертификаты от какого нить ростелекома и даже не почешется.

 

Причем здесь CSR? CSR может сгенерировать любой, вопрос в ключе рутового сертификата, которым подписывается ваш. Этот ключ какой-нибудь Turks Telecom передаст АНБ по первому требованию.

 

Вообще текущая система централизованных Certificate Authorities корява и дырява по определению. Посмотрите на список в настройках браузера - совершенно левые организации, и ваш броузер проглотит их сертификаты, не поморщившись.

 

Давайте возьмем что-то типа http://www.ip2nation.com/ - и заблокируем нафиг. Всё верно- нафиг нам контент пакетов? Главное - куда летят. если во враждебную страну - не пускать

создадим отечественные сайты! Как в Китае.. вместо ebay -taobao

 

Да, CA - это слабое звено SSL, но я сомневаюсь, что даже АНБ имеет ключ от рутового сертификата VeriSign. При всех недостатках США там есть достаточно независимый суд и компании у которых хватит "пороха в прохвницах и ягод в ягодицах" чтобы посудиться с государством.
Кроме того, для криптования SSL сессии используется именно приватных ключ вашего сертификата, а не CA. СА лишь подтверждает, что вы - это вы.

 

Ну так а я о чем - АНБ генерирует свой сертификат, подписывает его ключом CA и ваш броузер промолчит, когда траффик будет перенаправлен через их прокси и зашифрован неоригинальным ключом.

 

К этому факту присовокупите события вроде таких - http://beta.slashdot.org/story/161624

 

Не сомневайтесь - после скандалов со Сноуденом и последних новостей про генератор случайных чисел в эллиптической криптографии и backdoor в RSA новости про рунет не сильно шокируют.

--- Сообщения объединены, 28 апр 2014, дата первого сообщения: 28 апр 2014 ---

Во-во. Стащил ключ у "TÜRKTRUST Elektronik Sertifika Hizmet Sağlayıcısı", которому доверяют все браузеры, и дело готово.

 

http://habrahabr.ru/post/221147/

 

Бог в помощь!

 

Ну другого способа выразить всю маразматичность предложения по созданию интернета "Чебурашка" я не нашел.
Кстати, хорошее название - Чебурашка всё время падал, потому и был так назван. Как вы лодку назовёте....

 

Вопрос, конечно, не совсем в тему, но мне очень важно про internet explorer узнать. Везде пишут, что его использовать нельзя. Что тогда использовать? И что делать если компьютер уже инфицирован? ( я не программист и даже очень посредственный пользователь). Надо ли все пароли менять? Что с компом делать?