Почему наша приватность обречена
В сущности, сегодня продолжение этого моего давнего поста: Прогресс не остановить → почему ваша приватность обречена.
Мне забавно слышать озвучивание схемы того, как будет заблокирован интернет (Рунет) в РФ в самые ближайшие годы. И хотя это гротескно подается гуманитариями под видом некоего откровения, но я писал ровно об этом ещё два года тому назад. Очень часто бубнели тогда о клонировании Великом Китайском Файрволле как о главной угрозе, но фишка в том, что я исходил еще тогда из того, что вечный бардак (сиречь «Российская Федерация») не способен технологически создать нечто хотя бы близко сопоставимое технически с Великим Китайским Файрволлом. И поэтому РФ будет вынужден снова действовать ассиметрично (это, кстати, любимое слово наших политиков — из-за своей архаичности они никогда не могут ответить врагу равнозначно, поэтому на все вызовы всегда отвечают типа как «асимметрично» за сбитый самолет запрещают ввоз помидоров). Таким образом, техническое бессилье и отсутствие кадров будет скомпенсировано «гибридными технологиями» на базе замеса из технических решений и административно-силовых мероприятий.
Так вот эти этапы, которые очень похожи на нынешнюю тактику постепенного регулирования VPN в Китае:
- Создание отечественных центров сертификации SSL.
- Законодательное принуждение использования в качестве шифрования только отечественных сертификатов и ГОСТ«ов на территории РФ. Все браузеры и производители не поддержавшие это веяние юридически выдавливаются с рынка РФ. Далее идет тотальный транспарентный mitm всего транзитного трафика со стороны социальной группы «siloviki» а-ля Казахстан.
- При этом наблюдается безусловная блокировка всех пакетов и соединений подписанных зарубежными натовскими ключами и сертификатами на пограничном шлюзе.
- И хотя закукливания избежать отчасти получится, но все ваши ползания по каналу за рубеж будут под непрерывным наблюдением «настоящих патриотов своей страны».
Под катом популярное видео, где девушка-гуманитарий (зовут, Марина, кстати) бодро разъясняет этот подход. Хотя и с некоторыми техническими ошибками, но, не вдаваясь в детали, в целом последовательность шагов и общая логика правдоподобна. Я же всегда подчеркивал в своих материалах: бороться будут не против ещё большего уровня шифрования и децентрализации (как думают многие айтишники, педалируя очередные супер-мега-p2p-сети), но играть будут на административно-законодательной поляне, на корню запретив сам факт шифрования и использования независимых (сиречь «запретных») пиндосских технологий, постепенно двигаясь в сторону фильтрования по белым спискам, например из SSL-сертификатов.
Поэтому через пять лет ты, %username%, будешь ходить забугор либо по импортно-замещенному виртуальному каналу, либо — вообще никак. При таком подходе всякие Торы и подобные технологии скурвятся отомрут на 1/6 суши сами собой. Посему советую начинать уже прямо сейчас запасаться запретным свободным интернетом, заливая его в банки-закрутки на предстоящую долгую зиму.
Как в России запретят интернет
Вот карточки Медузы, о которых постоянно упоминает тетенька, и которые позволяют понять отчего вообще весь сыр бор, тем, кто не следит за новостями: Власти хотят контролировать интернет-сертификаты. За мной будут следить?
Власти хотят контролировать интернет-сертификаты. За мной будут следить? — Meduza https://t.co/wRNxclTnqQ с помощью @meduzaproject
— SecretVPN (@secret_vpn) February 20, 2016
Вячеслав Журавлев, инженер Unix систем, в комментариях исправляет мелкие огрехи в сказанном в видео:
Не совсем (точнее, совсем не) правильно описали схему врезки в пользовательский трафик. Предлагаемый российский УЦ ни коим образом в трафик не вмешивается, его задача в одном — заставить браузеры установить их сертификат в доверенные (а иначе данный браузер можно запретить на территории РФ, с них станется), после чего простым врезанием в трафик пользователя на уровне провайдера (а для этого много сил не требуется, всё примитивно) ему на любой коннект по HTTPS подменяется публичный ключ отвечающей стороны, т.е. например не ключ Google, а ключ ФСБ, у которых есть его приватная часть и которые таким образом могут расшифровать весь трафик.
У пользователя к тому моменту уже установлен в браузере нужный корневой CA (от РФ) и ключ проходит валидацию — браузер не узнает, что ему подменили ключ Гугла. Такие атаки не то, чтобы маловероятны… Они уже применяются полным ходом, в частности — корпоративный сектор, где на все служебные компьютеры устанавливается этот самый специальный доверенный сертификат. То же самое проворачивает Казахстан — это уже mitm на уровне государства. И тем же самым хочет заняться ФСБ.
Ещё один коммент оттуда:
Не совсем верно в технической части. Трафик шифруется не ключом сертификата, а уникальным сеансовым ключом, который генерируется по схеме Диффи-Хеллмана при каждом соединении, а SSL-сертификат нужен только для того, чтобы сервер мог надёжно подтвердить своё доменное имя цифровой подписью, которая тоже создаётся и проверяется при каждом соединении. Кроме того, пункт № 3 в видео в хитром плане выглядит крайне сомнительно. Можно обязать пользователей добавить корневой сертификат российского УЦ в список доверенных, но вряд ли получится заставить все сайты в интернете установить себе российский SSL-сертификат.
Автор последнего коммента не до конца догоняет тонкости, и, чтобы не лить воду по сотому кругу, хочу посоветовать, во-первых, почитать FAQ на эту тему, а вторых, свою серию статей Это СОРМ, детка, где в том числе описан пример того, как один левый французский СА, владеющий мастер-ключом, невозбранно выдавал валидные сертификаты для доменов Gmail спецслужбам своей страны.
А когда его совершенно СЛУЧАЙНО за руку словили за этим постыдным делом, он неразборчиво промычал прессе что-то типа: «Наш сотрудник явно там что-то напутал, но он уже уволен». Конец истории. Кстати, этот французский центр сертификации мутит существует и поныне.
Вот картинка диалога с того моего поста по существу вопроса:
Ещё один полезный диалог для развития темы в сторону «бабки есть — ума не надо»:
— А вообще от таких перспектив нас защищает тоже, что и от изготовления ядерной бомбы обычными террористами — сложность технологий. Свой интернет не смогла построить даже компартия Китая (их ресурсы и уровень контроля населения несравнимо выше наших), максимум что они смогли сделать — свой фаерволл встроенный в интернет. Так что это все — антиутопия…
— У некоторых мексиканских наркокартелей, Los zetas например, по слухам уже есть тактическое ядерное оружие. Так что террористы могут его и купить, и уж тем более при наличии стран покровителей-изгоев.
И собственно, кому интересно, вот текущая свежая как лесная ягода статистика положения дел на TLS/SSL-рынке в российских доменных зонах. Оттуда выковырял, или что у нас сейчас админы местные больше всего предпочитают:
Статистика по TLS в Рунете на январь 2016 —
Распределение по длинам ключей
