Казахстан похоронил приватность в интернете

kofeimoloko
Понимаешь, какая штука. Уж так SSL устроен, что если ты установишь какой-то сертификат, будь это рутовый сертификат или сертификат пользователя - это не позволит тебе читать весь трафик. Люди, которые это разрабатывали - не дураки и думали очень и очень долго.
Как я уже написал:
Скорее всего речь идёт о казахстанском корневом сертификате, т.е. казахи попросту хотят денежку, которую сайты сейчас платят всяким thawte & verisign. Вполне разумно. Никаких проблем с приватностью не вижу.

Главное Димону этот пост не показывайте

Блять. Покопал немного - действительно, любой человек с доступом к CA и роутеру без проблем осуществит MitM. Вот говно.

Добавлено в 18:24
Да, полученные из третьих источников фингерпринты сертификата сервера всё же подскажут - следят-таки или нет, никак не вижу возможности это наепать, учитывая что можно попросту снять фингерпринты самому с помощью внешних источников.
Да и как обычно - андроид поставит рутовый сертификат, что дальше? Появится 1000 прог, которые свою SSL используют со своим списком сертификатов или вообще не SSL используют, а аналоги.
Бесполезная трата времени, кроме конечно возможности KZ заработать немного на сертификатах серверов и пользователей внутри самого KZ

Уxмылк
Какая-какая... Негативная, конечно... Хотя, только что сам узнал об этом нововведении...

Еще одна жертва ЕГЭ. В России законопослушный гражданин это тот у кого родня в администрации или бабла достаточно для ухода от наказания! А все остальные потенциальные уголовники. В Казахстане еще веселей насколько я знаю. Так что это просто создание кнута для несогласных и переходящих дорогу власть имущим.

Это сообщение отредактировал vgik13 - 2.12.2015 - 18:29

К вопросу "а как они это сделают".
Каждый гражданин РК, сталкиваясь с гос.оганами, должен иметь ЭЦП от Национального Удостоверяющего Центра(НУЦ).
Для получения данной ЭЦП (если вы это делаете из дома) у вас должен быть установлен на ПК корневой сертификат НУЦ.

Так же добровольно ставят эти корневые сертификаты пользователи любых гос.порталов РК, он Налогового, до Госзакупок.

С 1 декабря 2015, сайт НУЦ изменил процедуру получения ЭЦП, теперь для получения ЭЦП на ПК должно быть запущено ПО (которое принудительно ставит эти новые сертификаты).

Короче хочешь пользоваться гос.услугами из дома - поставишь сам, добровольно. Из всяких Клубов своей ЭЦП пользоваться не будешь, может и "уйти".

Я вот тоже удивился такому новшеству. Здесь прочитав его подоплеку.

Правда в сомнениях, что установив 2 сертификата от НУЦ в своей системе, НУЦ получает доступ к "информации". Но здешние специалисты - думаю разовьют данную тему.

Это сообщение отредактировал Severum - 2.12.2015 - 18:37

Нанонимно

Чет я тоже не догоню как это поможет ну например осуществить МИМ атаку моего фейсбучека. Я же там не буду корневой ЦА выданный государством пользовать.
Недавно вроде с МС такой скандальчик или антивирусником каким-то, не помню точно. Они втихаря подложили свой корневой в доверенные.

В интернет клубе с тебя попросят уд.личности сначала...Потом пиши чё хочешь..

Лож это все, пиздеж и провокация. Побольше пиздаболов слушать надо.
1. Есть НУЦ типа такой Национальный удостоверяющий центр, который выдаёт сертификат пользователя (по заявке, по предъявлению удостоверения), для чего? Для того чтобы я мог пользоваться электронным правительством.
2. Есть сим-карты со встроенным сертификатом, для тех же самых целей!
На кой хуй мне сертификат в телефоне на iOS (хуй сосут они, не даст Apple такой возможности, ставить что-то чужое), на андроид ещё возможно, и то, если это сразу на заводе, но как они меня узнают? Бля, бред

Очень просто, без удостоверения личности тебя к компу даже не подпустят и уже давно такое.

На каждую хитрую жопу, найдётся ахуительный лом

Вы может и не занимаетесь, а я занимаюсь, фильмы бесплатно качаю. И надеюсь заниматься этим и впредь...

Ну тоталитарный режим на лицо. Подумываю вообще в ближайшие 10 лет свалить к хуям, хотя много здесь и друзей и партнеров по бизнесу.
Они просто не могут ничего сделать с оппозицией которая против некоторых действий правительства, вот таким способом и будут отслеживать и закрывать неугодных.
Хотя есть так называемая свобода слова....в кавычках. Открыто про власть никто не говорит, это некоторый раз раздражает просто.
Раздражает тупость властей, напрямую. Что они хотят этим сделать непонятно, добиться покорности у народа? вряд ли. все более менее продвинутые пользователи, которые часто пользуются тырнетов для работы будут находить другие способы.
Лучше бы подумали как промышленность поднять, а тут такая тупость, ничего нового придумать не могут. тупо копируют с кого то.
90% передач по нац.Тв скопированы с РФ или запада.
Образование нулевое.
Здравоохранение нулевое, лечится едут либо в РФ либо на запад.
Через 5 лет полстраны будут нефтяниками, как в свое время менеджеры.
Высокооплачиваемая работа только в нефтяном секторе, либо у иностранцев.
Продолжать можно бесконечно. Факт что дети будут тупыми и больными это к ванге не ходи.
А они правильно, давайте еще придумаем радиовещание на остановках как в Эквилибриуме и уколы.
Кстате уже свыкся с тем что Казактелеком блокирует некоторые сайты, не порно товарищи, бывает совсем безобидные темы, одним словом тупость.
Картинка с блокировкой Япа

Недавно эксперементировал только со снифом https трафика и перехватом пакетов в сети, одна проблема была установить сертификат на компьютер жертвы, решалось через GPO. А теперь представьте уровень страны это ж тонны паролей, крединтых номеров всего что угодно, главное сортировку настроить правильно и сертификат который раздавать будут купить а не сгенерить как у нас любят делать и все ВЫ бог Казахстана!!!!

Это сообщение отредактировал romanpl - 2.12.2015 - 19:10

Скороэто будет у нас походу

Да просто - провайдер на выходе ставит transparent proxy и перехватывает все твои запросы вида ssl или tls, после чего берёт с нужного сайта весь трафик, расшифровывает его, потом зашифровывает его ключём, подписанным KZ CA, что твой браузер с радостью схавает и покажет зелёный http значок.
Разумеется это очень просто распознать, посмотрев фингерпринт ключа, но это не происходит автоматически, так что любой может пасть жертвой.
Ну это в моих слабых мозгах понимание такого сценария, со слабыми мозгами в виде 83% на crypto I with distinction в coursera. Так-то людей очень умных много, просто я сомневаюсь что они на правительство казахстана работают.

Да фиг знает. Как уже писалось выше первый раз слышу о таком.

Apple будет делать что ему скажут, страны или операторы в которых он заходит. Бабло, чувак, всё решает. На прайвеси пользователей - двухпудовый болт. Не удивляюсь, если смартфоны ставят рут сертификаты прям с сим-карты, во всяком случае приложения точно ставят.

Очередная туфта, которая работать не будет :)

Также как Алатау ИТ Сити, пц :)))
Кремневая долина йопта :) Кроме отверточной сбоки компов "казахского производства" нихрена нету :)))

Нанонимно

Хром вроде ругается на такую фигню. Айос вроде тоже.
Ну и если перехватить траф не проблема, то как они расшифруют трафик с нужного сайта, что бы потом зашифровать своим? Задача нетривиальна и врядли данный проект направлен на эти цели.

Ну я с точки зрения законопослушного гражданина никаких плюсов не вижу

vitaly1111
Так что они весь твой ссл обмен ключами перехватят на роутере и подсунут тебе совсем другой симметричный ключ, подписанный KZ CA, так что твой браузер не заругается, потому что ругается он только тогда, когда CA signing key не установлен в винде/андроиде/хроме и т.д. Так как уже установлен в системе - они попросту будут перешифровывать трафик на роутере.

Что за бред. Ну есть к меня сертификат для работы с электронным правительством. Но стоит он не на всех моих клипах и не будет ни когда на всех его. Слышал про обязаловку выдачи всем его, но не для контроля трафика. Это бред имхо. Да и в хроме он не работает. Благодаря чему много матов от ИПшников (ЧП)

Это сообщение отредактировал BreedMax - 2.12.2015 - 19:40

Не ну а чо,майкрософт знает,эти тоже хотят!

BreedMax
Да так и есть. помницца мне что фф не уважает виндовое хранилище сертификатов - всё нужно ставить отдельно, хз на счёт хрома. То же относится и к любой проге, которая юзает OpenSSL. Так что до абсолютного контроля далеко, но какие-то угрозы есть.