Merită să ai încredere VeriSign - youngblogger pe
Interesant, în opinia mea, deși lucruri destul de vechi am găsit www.pgpru.com.
Scurt esența ei este în pericol de a fi utilizat pentru criptarea certificatelor de trafic emise și semnate de VeriSign. deoarece, pe de o parte, este cea mai mare autoritate de certificare care eliberează certificate utilizate de mai mult de jumătate din comerțul pe internet, și criptarea e-mail. Pe de altă parte, oferă furnizorilor de servicii de NetDiscovery, care vă permite să ascultați în mod legal la trafic.
tandem Minunat se transformă: mână -ona dă, nu acru pe costul de certificate de utilizator final ($ 500- $ 1000 pe an), iar celălalt le anulează imediat părțile interesate.
Pentru mine, cel mai ciudat este faptul că materialul nu obține discuție corectă, și critica pe Internet. Adică sistem „răpciugă liniștit“ funcționează, și nu poți face nimic
Aici este un citat din site-ul specificat.
VeriSign și NetDiscovery: vulpea paza casa de găină?
Și în zilele vechi a fost dificil să surprindă pe nimeni faptul că orice CA (centru de certificare X.509) potențial, din cauza răutate sau neglijență, poate elibera un certificat digital fals. De exemplu, a fost ceva timp în urmă (ani?), Atunci când VeriSign a emis certificatul pentru defecte asigurări de cod Microsoft complet compromisă. La acel moment, scandalul a fost mușamalizat destul de repede.
(Din aceste motive, oamenii din știu preferă OpenPGP și sistemul său distribuit de încredere Web de încredere, acumularea de încredere din mai multe surse, ceea ce reduce probabilitatea consecințelor negative, dintr-o singură eroare.)
Și recent, intrările Ian Grigg financiar Criptografie a introdus această întrebare cu un unghi oarecum diferit. din punctul de vedere al juridice și economice. În SUA și Canada, există o dezbatere cu privire la cine ar trebui să suporte costul de ascultare rețelei de aplicare a legii de trafic autorizate. ofițerii de aplicare a legii, astfel cum acestea ar trebui să fie, ei doresc să plătească furnizorii.
Și VeriSign, care produce aproape jumătate din toate SSL certificatele pentru e-commerce și site-uri protejate, precum și pentru criptarea e-mail folosind S / MIME, oferă furnizorilor de servicii de un sistem NetDiscovery pentru auditii juridice (pentru standardele de conformitate CALEA).
Se pune întrebarea: nu este dacă astfel de activități pe două fronturi de conflict de interese și, în caz afirmativ, în favoarea căreia este rezolvată? În favoarea administratorului de server (de exemplu, serviciul poștal), să plătească 500 $ pentru SSL-certificatul de VeriSign, sau în beneficiul prestatorilor, cu care contracte multimilionare VeriSign servicii NetDiscovery și ușa la care ciocnirii serviciile speciale, cu un ordin judecătoresc pentru a intercepta aceeași SSL -Canal? Materia de economie simplu ... „punct de vedere tehnic, VeriSign are și competențe datorate, precum și un certificat rădăcină, iar acum poziția de succes. Atacurile prin metoda de „om în mijloc“ nu a fost niciodată mai ușoară. "
Ei bine, în primul rând, pentru a asculta partea de stat pentru e-commerce. punerea în aplicare nu este la fel de critică.
Am un motiv ulterior a citat ca un exemplu al serverului Postal Service. Multe sisteme comerciale plumb SSL ca fiind una dintre caracteristicile sale cele mai importante: „Serverul nostru foloseste criptare SSL. Prin înregistrarea cu noi, puteți fi siguri că nimeni nu va citi e-mailurile în timp ce în tranzit. " Să nu fie actualizate și serverele companiei (desi eu nu sunt înclinați să creadă că un certificat de VeriSign va achiziționa sisteme interne).
Într-adevăr, dacă vorbim despre serviciile poștale publice, corespondența lor semnătura stocată la FBI, și poate solicita un mandat judiciar, fără nici un fel de MITM.
Cel mai probabil, eu văd posibilitatea de falsificare a certificatelor de utilizatori specifici, folosindu-le pentru e-mail prin criptare folosind S / MIME. Sunt de acord, foarte puțini oameni să verifice certificatul X.509 amprenta - toate se bazează pe semnătura centrului de certificare, care este baza tuturor X.509 PKI.
Certificatul X.509 primește încredere dintr-o sursă unică - CA - sau nu primește încredere - grade intermediare și mai multe surse de încredere nu este prevăzută. Astfel, este suficient să emită un certificat fals cu detalii identice (nu pot fi falsificate doar amprentă - hash a certificatului și a cheii publice), să-i asigure certificatul CA rădăcină și aluneca expeditorului. Chiar și organiza punct de vedere tehnic MITM traficul e-mail este incomparabil mai ușor decât SSL, deoarece acesta din urmă - un protocol în timp real. Letter Puteți înlocui oricare dintre nodurile de transport de la expeditor la destinatar. În nu apar întârzieri auz normal; în cazul în care atacul este activ - MITM - întârzierea va fi, dar este probabil ca sa treaca neobservate sau pur și simplu să fie ignorate. Toate acestea nu este o veste. News este că acum VeriSign și probabil mai dispuși să meargă la un X.509 fals pentru acțiunile NetDiscovery și contractele cu furnizorii.
Apropo, pe baza celor de mai sus, există un alt scenariu interesant. De obicei, nimeni nu verifică certificat X.509 amprenta. Și a verifica dacă cineva numele furnizorului? Oamenii uita-te la un singur lucru: dacă certificatul este valabil, de exemplu, dacă este semnat de un CA de încredere, sau nu? certificat rădăcină VeriSign este în stocarea sistemului de fiecare browser. Astfel, FBI si VeriSign (cu excepția cazului, desigur, acesta din urmă va merge la fals) poate falsifica orice utilizator certificat, în cazul în care corespondenții săi nu sunt suficient de atent. Soluția la această problemă este: priveze încredere certificat rădăcină VeriSign pentru certificatele de asigurare cu caracter personal pentru e-mail.
Problema este, în general, nu este nou. Acesta se referă la orice sistem centralizat: prea ușor și tentant la presiunea asupra unui punct critic aduce în jos, chiar dacă efortul de a face acest lucru va trebui să facă un ordin de mărime mai mare decât oricare dintre componentele unui sistem descentralizat.
Nu sun eticheta sigilate acestui articol și certificate DorVerie VerySign. Ce este mai bine pentru criptarea traficului: -, certificat personal, fără auto-semnat, sau un certificat de scump emis de o CA. Tu decizi.