Żądny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly
Wg nowej propozycji prawa EU, rządy będą mogły wystawiać certyfikaty TLS dla serwisów webowych. A przeglądarki będą musiały to akceptować. Gigantyczne możliwości podsłuchu.
The Record wskazuje na nowe zagrożenie – chodzi o aktualizacje regulacji eIDAS (Electronic Identification, Authentication and Trust Services), które:
umożliwią państwom członkowskim UE wydawanie tzw. kwalifikowanych certyfikatów stron internetowych (QWAC).
W rzeczywistości są to certyfikaty kryptograficzne, które przeglądarki internetowe miałyby prawny obowiązek uznać za ważne, co potencjalnie otwiera drogę rządom do arbitralnego wydawania certyfikatów umożliwiających im przechwytywanie zaszyfrowanego ruchu sieciowego na całym świecie.
update to the bloc’s eIDAS (Electronic Identification, Authentication and Trust Services) regulations which would give EU member states the ability to issue so-called Qualified Website Authentication Certificates (QWACs).
These are effectively cryptographic certificates that web browsers would have a legal obligation to accept as valid — potentially paving the way for governments to arbitrarily issue certificates allowing them to intercept encrypted web traffic globally.
Innymi słowy – np. polski rząd mógłby wygenerować certyfikat root, który musiałby być włączony przez przeglądarki, a którym mógłby podpisywać inne certyfikaty (dla dowolnej strony webowej). Umożliwia to masowy podsłuch ruchu sieciowego (HTTPS) czy sprawne działanie zaawansowanych spyware (patrz np. technika wykorzystywana przez Predatora)
Tutaj z kolei możecie zobaczyć list wysłany do członków Parlamentu Europejskiego – wskazujący zastrzeżenia w temacie nowego prawa (list został podpisany m.in. przez Mozillę / Cloudflare / Linux Foundation).
~ms
.
No to będzie trzeba przejść na przeglądarka która ma to gdzieś i nie pozwoli na to. Mało tego pozwoli zablokować te certyfikaty.
Do czasu zdelegalizowania korzystania z VPNów TORa i przeglądarek innych niż dopuszczone przez rząd. Dziś „szurska teoria” za 5 lat rzeczywistość.
U nas już to w pewnym sensie jest :(. Patrz internet OSE w szkołach.
Co to znaczy producenci beda musieli? To nie moge sobie napisac z kumplami przegladarki ktora oleje ich badziewne przepisy? Albo przestane moja updateowac i juz.
Wspomnicie moje slowa… swiat sie konczy… jeszcze troche i albo to pier&@€nie wszystko, albo powstanie kilka internetow. I sie okaze ze o tym byl Matrix. Te swiaty to internety. Czaicie? Wszyscy uciekac do darknetu!!
Wolny Onion!!
Google nie podpisało listu?
~podpisało z małym delayem: https://security.googleblog.com/2023/11/qualified-certificates-with-qualified.html
TLDR:
„However, a specific part of the legislation, Article 45, hinders browsers’ ability to enforce certain security requirements on certificates, potentially holding back advances in web security for decades. We and many past and present leaders in the international web community have significant concerns about Article 45’s impact on security.”
Oj… Czy ktoś weryfikował treści i tezy tego artykułu? Przecież to że rząd ma cert rooota i wystawia certyfikaty serwerom web, to wcale nie oznacza że ma możliwość posłuchania czegokolwiek… Przecież nie ma dostępu do klucza prywatnego serwera.
Poza tym gdyby teza o możliwości podsłuchu była prawdziwa, to cała koncepcja PKI byłaby skompromitowana…
1) Ma dostęp do klucza prywatnego zwiazanego z certyfikatem, bo sobie go sam wygeneruje (a certa będzie podstawiać)
2) Jeśli dasz „każdemu” możliwość generowania certyfikatów root CA to rzeczywiście cała koncepcja PKI jest skompromitowana
Przecież każdy może wystawić własne CA… Nic się nie zmieni jeśli korzystanie z rządowych certyfikatów nie będzie przymusowe…
Tylko że taki root CA wystawiony przez „każdego” nie wchodzi automatycznie do wszystkich przeglądarek…
Czegoś nie rozumiem. Rządy będą mogły tworzyć własne CA. Jak to się ma do strony pod certem z DigiCert?
Co to za kocopoły. Żeby rozpruć ruch HTTPS to trzeba mieć klucz prywatny, który to umożliwi. Klucz prywatny nie wystawia organizacja wystawiająca certyfika, tylko generuje go sam zaibteresowany. A już w ogóle wrzucenie linka do predatora, gdzie MITM był po HTTP bez szyfrowania, to kompletne nie trzymanie się kupy. Kto Wam pisze te artykuły? Dzieci z podstawówki?
No tak, trzeba mieć klucz prywatny… który sobie może wygenerować atakujący :-) Który (mając dostęp do root CA), może sobie wcześniej wygenerować cert dla dowolnej domeny. Pierwszy z brzegu atak wykorzystujący coś takiego tutaj: https://sekurak.pl/ktos-podsluchiwal-najwiekszy-rosyjski-serwer-jabbera-xmpp-atakujacy-wpadli-bo-wygasl-im-podstawiony-certyfikat-tls/
… kolego z pierwszego roku żłobka ;-)
„Innymi słowy – np. polski rząd mógłby wygenerować certyfikat root, który musiałby być włączony przez przeglądarki, a którym mógłby podpisywać inne certyfikaty (dla dowolnej strony webowej). Umożliwia to masowy podsłuch ruchu sieciowego (HTTPS).”
To zdecydowanie domaga się wyjaśnienia. Bo jeśli rząd generując certyfikat będzie mógł „masowo podsłuchiwać” to prosty wniosek z tego taki że korporacje które dziś są właścicielami certyfikatów root też mogą, już dziś.
Albo tak jest albo właśnie są jakieś dodatkowe warunki które zbyt skrótowe ujęcie tematu pomija.
Nie, bo nie wymuszą na przeglądarce uznania takiego „podrobionego” certyfikatu
Czym różni się rząd od innego roota certyfikacji?
Tym, ze rzad moze zmusic prawnie podlegajace im ISP to przekierowania przez siebie ruchu ofiar, aby w konsekwencji skorzystac z legalnie wystawionych przez siebie certow.
Nie wiem, czy dobrze kojarzę, ale można chyba dodać taki „podejrzany” certyfikat do
./etc/ca-certificates/trust-source/blocklist/
Cóż, jeżeli się jednak mylą, to raczej prędko powstaną narzędzia do banowania takich „usług”. Inna kwestia, że i obecnie przeglądanie większości internetu bez korzystania z trybu, chyba na wyrost nazwanego „trybem porno”, jest niemalże niemożliwe… powoli „piaskownica” staje się codziennością, a za chwilę nieodzowny będzie co najmniej dual boot, jeśli nie fizycznie drugi komputer.
Taka refleksja mnie naszła, że strasznie to przykre, że nawet w tak banalnych kwestiach komercyjne korporacje są bardziej godne zaufania od instytucji państwowych, które przecież teoretycznie powinny służyć obywatelom :-(
Teraz jeszcze tylko jakiś atak terrorystyczny i zaraz się znajdzie powód żeby wyprowadzić nawet bardziej restrykcyjne rozwiązania.
Przecież wystarczy prosta weryfikacja. Serwer przedstawia prawidłowy odcisk palca a przeglądarka sprawdza jaki jest w certyfikacie. Wszystko wyświetlane na wielkiej czerwonej stronie z ostrzeżeniem. Kurtyna.
Brawo, wymyśliłeś key pinning, który z różnych powodów okazał się ślepą uliczką i został zarzucony lata temu ;)
+1
Ironia niepotrzebna, bo kolega dobrze kombinuje. Pewna odmiana HPKP po stronie klienta moze wlasnie pomoc w wykryciu atakow state-sponsored z podstawionymi certami
Co z OpenSource i takim np Chromium, co z piningiem certow, co z tlsa i dane? Ktoś tu chyba nie ma pojęcia że to i tak nie zadziała. Nie dam także wiary w to by taki Google się ugiął przed takim idiotycznym pomysłem.
Problem – nie problem. Zależy od interpretacji, ale pewnie będzie można tego CA wyciąć bez większego szarpania.
Tego to pewnie nawet Sztur w Seksmisji nie przewidział mówiąc Totalna inwigilacja :-(
Amerykanie obawiają się rządów ale ufają korporacjom,
europejczycy nie wierzą korporacjom ale ufają rządowi.
Wybór należy do was.
A i tak większość nie używa e2e czyli np. GPG
Bardzo dobry ruch! PISuarom i UB się spodoba oni lubią rozszywać ssla, nawet preferują, właściwie to chyba doszli już do wniosku że tylko przeszkadza. Oni mają ciekawe wnioski.
Patrzac kto kontroluje wystawianie certow dzis to nie wiele zmienia. Rzadami i tak steruja sluzby. Teraz nie chca sie z tym kryc. Doszlismy do etapu gdzie wiekszosc spoleczenstwa nie bedzie miala nic do ukrycia bo nie robia nic zlego przeciez… Spoleczenstwo wymecza wojnami,pandemiami, bezrobociem. Zeby utrzymac komunizm potrzebny jest terror. Kto stoi za ue – manifest z Ventotene. Ukraina kupuje gaz z Rosji, a Amerykanie tam buduja plac pod Agende 2030. Wall street a Rewolucja Bolszewicka Sutton. Wystarczy chyba.
Tak, juz zdecydowanie wystarczy :D
Czas skończyć z unią i jej zwolennikami z Wiejskiej.
Cloufdflare przetrzymujący logi swoich DNS (i jestem pewien, że NSA ma w razie czego do nich wgląd) pisze list przeciwko prawu inwigilacyjnemu w UE…