Заслужава ли си да се доверите VeriSign - youngblogger на
Интересно, по мое мнение, макар и доста стари неща открих www.pgpru.com.
Кратко своята същност е в опасност от използване за шифроване на сертификати за движение, издадени и подписани от VeriSign. защото, от една страна, че е най-големите сертификати сертифициране орган, който издава, използвани от повече от половината от търговията в Интернет, както и криптиране на електронна поща. От друга страна той предлага на доставчиците на услуги NetDiscovery който ви позволява да слушате правно трафика.
Прекрасна тандем Оказва: он ръка дава, а не кисел върху стойността на сертификати за краен потребител ($ 500- $ 1000 на година), а другият веднага ги анулира до заинтересованите страни.
За мен най-странното е, че материалът не получава правилното дискусия и критика в интернет. Т.е. "тихи сап" система работи, и не можем да направим нищо
Ето един цитат от конкретния обект.
VeriSign и NetDiscovery: лисицата да пази кокошарника?
И в старите дни, че е трудно да се учудва никого от факта, че всеки CA (X.509 сертифициращия център) потенциално поради умисъл или небрежност, може да издава фалшив цифров сертификат. Например, тя е била преди известно време (година?), Когато VeriSign издава сертификат за неизправни код уверения Microsoft напълно компрометирана. По това време на скандала бе потулена доста бързо.
(Поради тези причини, хората в знае предпочитат OpenPGP и разпределена система на доверие Web от Trust, натрупване на доверие от много източници, което намалява вероятността от негативни последици от една единствена грешка.)
И последно, записи Иън Григ финансов криптографията въведе този въпрос с малко по-различен ъгъл. от гледна точка на правните и икономически. В САЩ и Канада, има дебат за това кой трябва да поеме разходите за слушане разрешено прилагането на закона на мрежовия трафик. Служителите на реда, тъй като те трябва да са, те искат да плащат на доставчиците.
И VeriSign, която произвежда почти половината от всички SSL сертификати, за електронна търговия и защитени местности, както и за криптиране на поща с помощта на S / MIME, предлага на доставчиците на услуги на система NetDiscovery за юридически прослушвания (за стандартите CALEA съответствие).
Възниква въпросът: не е дали тези дейности на два фронта на конфликт на интереси и, ако е така, в чиято полза е решен? В полза на администратора на сървъра (например, пощенската служба), за да плати $ 500 за SSL сертификат от VeriSign, или в полза на доставчиците, с които договори VeriSign многомилионни NetDiscovery обслужване и вратата, на които чукат специалните служби с разпореждане на съда, за да подслушват и същ SSL канален? Въпрос на прости икономика ... "Технически, VeriSign има и дължими умения, както и сертификат за корен, а сега успешно позиция. Атаките от метода на "човек по средата" никога не е било по-лесно. "
Ами, първо, да слушате от страна на държава за електронна търговия. изпълнение не е толкова критичен.
Имам скрит мотив цитира като пример за сървъра за пощенска услуга. Много търговски системи водят SSL като един от най-значимите му функции: "Сървърът ни използва SSL криптиране. С регистрирането при нас можете да бъдете спокойни, че никой няма да чете имейлите си, докато се прехвърлят. " Не да се отхвърли и корпоративни сървъри (макар че аз не съм склонен да вярвам, че сертификат от VeriSign ще придобие вътрешни системи).
Всъщност, ако говорим за обществените пощенски служби, съхранените им кореспонденция на ФБР, и може да изисква съдебна заповед, без някоя от MITM.
Най-вероятно, виждам възможност за фалшифициране на сертификати за определени потребители, които ги използват за поща чрез криптиране, използвайки S / MIME. Съгласете се, много малко хора да проверят X.509 сертификат пръстов отпечатък на - всички разчитат на подписването на сертифициране център, който е в основата на всички X.509 PKI.
X.509 сертификата получава доверие от един източник - Калифорния - или не получи доверие - междинни степени и няколко източника на доверие не е предвидено. По този начин, е достатъчно да се издава фалшив сертификат с идентични детайли (не могат да се фалшифицират само пръстови отпечатъци - хашиш на сертификата и публичния ключ), за да го уверя, че главният сертификат CA и приплъзване на подателя. Дори и технически организира MITM мейл трафик е несравнимо по-лесно от SSL защото последната - протокол за реално време. Писмо можете да заместите някои от възлите на преносната от подателя до получателя. В нормален слух не причина за закъснение; ако атаката е активна - MITM - забавянето ще бъде, но това е вероятно, че остават незабелязани или просто да се пренебрегва. Всичко това не е новина. Новина е, че сега VeriSign и вероятно по-склонни да отидете на фалшив X.509 за NetDiscovery действия и техните договори с доставчици.
Между другото, въз основа на гореизложеното, има и друг интересен сценарий. Обикновено никой не проверява отпечатък X.509 сертификата. И провери дали някой името на доставчика? Хората гледат на едно нещо: дали сертификатът е валиден, т.е. дали е подписан от надежден CA, или не? VeriSign главния сертификат е в съхраняването на система от всеки браузър. По този начин, ФБР и VeriSign (освен ако, разбира се, той ще отидат за фалшификация), могат да се изградят на всеки потребител сертификат, ако нейните кореспонденти не са достатъчно внимателни. Решението на този проблем е: лиши доверие VeriSign основен сертификат за персонални сертификати за осигуряване за електронна поща.
Проблемът е, че като цяло, не е нещо ново. Това се отнася за всеки централизирана система: твърде лесно и съблазнително да натиск върху една критична точка го сваля, дори ако усилията да го направят, ще трябва да се направи с един порядък по-голяма, отколкото всеки от компонентите на децентрализирана система.
Аз не съм се обадите на запечатано етикета на тази статия и сертификати DorVerie VerySign. Какво е по-добре за криптиране на трафика: - персонален, безплатно, самостоятелно подписан сертификат, или скъп сертификат, издаден от CA. Вие решавате.