» »

Bo Mozilla zaupala kitajskemu CA?

Bo Mozilla zaupala kitajskemu CA?

Slashdot - Med razvijalci Mozille poteka zanimiva debata, ali naj kitajski CNNIC ostane na seznamu zaupanja vrednih overiteljev digitalnih potrdil (CA-jev) ali ne. CA-ji so pomemben steber varnosti na internetu, saj brez njih komunikacija po varnih kanalih s šifriranjem ne bi bila varna. Ko se brskalnik poveže na neko stran, ki uporablja šifrirano komunikacijo (s predpono https), bo strežnik najprej pokazal, da pozna določen ključ za enkripcijo. V drugi fazi pa bo moral dokazati svojo istovetnost, kar se stori z digitalnim certifikatom (cert), ki ga podeli eden izmed zaupanja vrednih CA-jev. Če zaupamo CA-ju, potem ta jamči, da je strežnik res, za kogar se predstavlja, in da ključ ni poznan nikomur drugemu. V nasprotnem primeru je povezava res lahko varna, a kaj ko je na drugi strani lažna stran.

Od lanskega oktobra je v seznamu zaupanja vrednih CA-jev v Mozilli tudi kitajski CNNIC (China Internet Network Information Center). Mnogi so takrat uvrstitvi CNNIC-a v to elitno druščino nasprotovali, saj naj ne bi šlo za nepristranski organ. Podobne debate se porajajo tudi sedaj. Če bi bil CNNIC pod nadzorom in vplivom kitajske vlade, bi ga ta lahko uporabila za prisluškovanje. Kitajski uporabnik bi se želel povezati na Gmail, a bi ga preusmerili na lažno stran. Ta bi imela od CNNIC-a podpisan certifikat, da gre za Google, in uporabnik ne bi nikoli posumil, da se dogaja nekaj čudnega.

Nasprotniki izbrisa pravijo, da so na seznamu že mnogi CA-ji, ki so povezani z vladami ali so dejansko vladni. Odpisati CNNIC le zato, ker je kitajski, se zdi nekako nepravično. Debata tako ni le nepomembna tehnična podrobnost, ampak pomembna odločitev, komu v današnjem svetu velja zaupati. Problem je razdrobljenost trenutnega sistema, saj lahko katerikoli zaupanja vreden CA kateremukoli uporabniko jamči, da se katerikoli strežnik nahaja na kateremkoli naslovu. Prave rešitve za vse uporabnike ni.

13 komentarjev

MrStein ::

A tisti AC, kjer lahko dobiš ključ za karkoli, je pa še vedno na listi "zaupanja vrednih" ? :O
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Bistri007 ::

Zaupanja vredna komunistična vlada?

SIGEN-CA ni isto kot PRC-CA...
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...

MrStein ::

SIGEN-CA tudi ni na listi.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

jkreuztzfeld ::

Pri Mirkotu pa so na seznamu trije slovenski CA-ji...
--
Great minds run in great circles.

Icematxyz ::

Vprašanje ki se v takšnih razpravah pojavi. Še preden začneš globlje analizirati Kitajsko "prakso" na tem področju. Kaj pa drugod. Ni zlorab? Verjetno da so povsod?

Tomas 33 ::

A Comodo CA so že vrgli iz seznama zaupanja vrednih izdajateljev?

Zgodovina sprememb…

  • spremenilo: Tomas 33 ()

techfreak :) ::

Tomas 33 je izjavil:

A Comodo CA so že vrgli iz seznama zaupanja vrednih izdajateljev?

Zakaj pa?

MrStein ::

Glej prvi komentar v temi. ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

techfreak :) ::

Comodo ti lahko zrihta certifikat za npr. PayPal?

MrStein ::

Malo preberi stare novice.
Odgovor pa je : Da.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Tomas 33 ::

Problem se nanaša na izdajanje t.i. trusted certifikatov. In ti certifikati so idealni za napad MITM.
Zaradi tega je plan izbrisati Kitajske CA iz Trusted list, ki jih boš preko opozorila nato moral dodati ročno.
Kitajska bi pač na ta način nadzorovala svoje državljane (verjetno tudi druge).

Problem Comoda pa je, da ne preverja identitete prejemnika certifikata.

Vsi ostali pač imajo natančno politiko preverjanja identitete.

Mogoče je res malo off topic, je pa razlika le v tem, da gre v primeru kitajske za državo, ki lahko zlorablja zaupanje, pri Comodu pa za posameznike.

poweroff ::

Comodo... poglej si novice. Jaz sem si pri Comodu naredil certifikat za Slo-Tech, pa še cel kup slovenskih bank povrhu. Res so zaupanja "vredni", ja...
sudo poweroff

MrStein ::

Pa je danes kaj drugače? Najbrž so "pokrpali luknjo", ali ne?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Self-signed cert na iPhonu?

Oddelek: Informacijska varnost
388322 (6415) poweroff
»

NLB mora povrniti škodo zaradi phishinga (strani: 1 2 3 )

Oddelek: Novice / Varnost
12851234 (44305) tony1
»

Še en nizozemski CA napaden

Oddelek: Novice / Varnost
115134 (4180) enadvatri
»

Nekaj gnilega je v deželi certifikatski

Oddelek: Novice / Ostala programska oprema
84690 (3402) Lipicnik
»

Izvedba popolnega MITM napada (strani: 1 2 3 )

Oddelek: Novice / Varnost
11620336 (16722) Brane2

Več podobnih tem