Сертификаты и политический сыск
Месяц прошёл с этого поста и вот вам пожалуйста: шведско-финской конторе под названием TeliaSonera, торгующей сертификатами, Mozilla, авторы Firefox, подумывают отказать в аккредитации и выкинуть их корневые сертификаты из списка доверенных. Причина: недавное журналистское расследование обвинило ТелиаСонеру в вовлечённости в прослушку и перехват траффика авторитарными режимами на территории СНГ - в Беларуси, Таджикистане, и т.д. Дискуссию можно прочесть здесь.
При этом их никто не поймал непосредственно на подписывании липовых сертификатов и вообще на том, что они вовлечены в подслушку именно в качестве CA. В принципе, они - сотовые операторы, которые действуют в этих странах и по местным законам должны предоставлять спецслужбам возможность lawful interception (что вообще-то не является спецификой этих государств - аналогичные законы есть, афаик, повсюду). Но сама ситуация означает конфликт интересов: одни клиенты им платят за заверение своих сертификатов, предназначенных для защиты траффика; другие могут заплатить за перехват этого траффика или даже тупо вынудить, угрожая отъёмом лицензии - причём это тоже будет соответствовать местным законам, если понадобится. В таких условиях доверять CA нельзя.
Незадолго до этого схожий скандал вознил вокруг другого CA, TrustWave. Те соорудили систему DLP, формально предназначенную для борьбы с утечками информации из корпоративных сетей, но по сути являющуюся перехватчиком, действующему по тому же принципу: берём дочерний сертификат, наследующий весь капитал юзерского доверия от корневого, и подписываем им на лету липовые сертификаты для запрашиваемых юзерами сайтов.
Аналогом такой деятельности было бы, если бы, скажем, медицинский колледж одной рукой выдавал дипломы своим выпускникам, а другой - шлёпал бы такие же корочки для заведомого жулья, использующего их, чтобы квартиры старушек обчищать.
Выкидывать сертификаты TrustWave из списка доверенных в Файерфоксе не стали, поскольку те вроде бы повинились и сертификат дочернего CA, предназначенный для перехватов, занесли в черный список (CRL).
Но что во всей этой технологии хорошо, так это то, что каждый участник может самостоятельно решать, кому доверять, а кому нет, не дожидаясь решений Мозиллы или там Микрософта. Посему я на своём компе две данных фирмы забанил нахрен. Делается так:
Для Internet Explorer / Google Chrome:
Сохранить корневые сертификаты на локальный диск с этих двух страничек (TeliaSonera, TrustWave), с расширением *.crt. Вот они одним архивом.
Запустить certmgr.msc, пойти в “Untrusted Certificates” --> “Certificates”, и импортировать туда все сохранённые сертификаты. После чего перезапустить браузер.
Для Mozilla Firefox:
Пойти в Options --> Advanced --> Encryption --> View Certificates. Найти все сертификаты в этих группах:
SecureTrust Corporation
Sonera
XRamp Security Devices Inc
Для каждого нажать на “Edit Trust” и сбросить все виды доверия. После чего перезапустить браузер.
Какой практический вывод можно сделать из всего этого?
Если вы считаете, что у спецслужб вашей страны есть хорошая причина интересоваться вашим сетевым траффиком - первым долгом узнайте, кто местный CA, найдите у себя его корневой сертификат и забаньте его. В Израиле это StartCom; в России есть несколько фирм, претендующих на роль CA, но ни одной из них в списке доверия Микрософта или Мозиллы нет. Тем не менее, стоит проверить свой браузер, кому он доверяет. Если вы живёте в Беларуси, Таджикистане, Казахстане, Азербайджане, Узбекистане, Грузии или в Непале :-) - забаньте ТелиоСонеру.
Для более высокого градуса паранойи, стоит выкинуть из списка вообще всех CA и заносить вручную сертификаты сайтов и людей, которым вы доверяете, в ситуации, когда вероятность подмены минимальна.
P.S. Наиболее впечатливший меня момент из шведского фильма-расследования: нескольких людей, живущих в Азербайджане и голосовавших по SMS за армянскую команду на Евровидении, таскали в полицию, орали и обвиняли в предательстве. Худших последствий для них это не имело, таким прессованием дело и ограничилось - но всё равно внушает, однако! Впрочем, Азербайджану в некоторых аспектах не впервой совершенно пленять воображение.
P.P.S. Ещё, кстати, штрих к портрету: Россия, Беларусь, Казахстан и Китай запрещают импортировать компьютеры с чипом TPM на борту. Поскольку такой чип используется для хранения неизвлекаемых криптоключей. Мелочь, а сколько говорит!
При этом их никто не поймал непосредственно на подписывании липовых сертификатов и вообще на том, что они вовлечены в подслушку именно в качестве CA. В принципе, они - сотовые операторы, которые действуют в этих странах и по местным законам должны предоставлять спецслужбам возможность lawful interception (что вообще-то не является спецификой этих государств - аналогичные законы есть, афаик, повсюду). Но сама ситуация означает конфликт интересов: одни клиенты им платят за заверение своих сертификатов, предназначенных для защиты траффика; другие могут заплатить за перехват этого траффика или даже тупо вынудить, угрожая отъёмом лицензии - причём это тоже будет соответствовать местным законам, если понадобится. В таких условиях доверять CA нельзя.
Незадолго до этого схожий скандал вознил вокруг другого CA, TrustWave. Те соорудили систему DLP, формально предназначенную для борьбы с утечками информации из корпоративных сетей, но по сути являющуюся перехватчиком, действующему по тому же принципу: берём дочерний сертификат, наследующий весь капитал юзерского доверия от корневого, и подписываем им на лету липовые сертификаты для запрашиваемых юзерами сайтов.
Аналогом такой деятельности было бы, если бы, скажем, медицинский колледж одной рукой выдавал дипломы своим выпускникам, а другой - шлёпал бы такие же корочки для заведомого жулья, использующего их, чтобы квартиры старушек обчищать.
Выкидывать сертификаты TrustWave из списка доверенных в Файерфоксе не стали, поскольку те вроде бы повинились и сертификат дочернего CA, предназначенный для перехватов, занесли в черный список (CRL).
Но что во всей этой технологии хорошо, так это то, что каждый участник может самостоятельно решать, кому доверять, а кому нет, не дожидаясь решений Мозиллы или там Микрософта. Посему я на своём компе две данных фирмы забанил нахрен. Делается так:
Для Internet Explorer / Google Chrome:
Для Mozilla Firefox:
Пойти в Options --> Advanced --> Encryption --> View Certificates. Найти все сертификаты в этих группах:
Для каждого нажать на “Edit Trust” и сбросить все виды доверия. После чего перезапустить браузер.
Какой практический вывод можно сделать из всего этого?
Если вы считаете, что у спецслужб вашей страны есть хорошая причина интересоваться вашим сетевым траффиком - первым долгом узнайте, кто местный CA, найдите у себя его корневой сертификат и забаньте его. В Израиле это StartCom; в России есть несколько фирм, претендующих на роль CA, но ни одной из них в списке доверия Микрософта или Мозиллы нет. Тем не менее, стоит проверить свой браузер, кому он доверяет. Если вы живёте в Беларуси, Таджикистане, Казахстане, Азербайджане, Узбекистане, Грузии или в Непале :-) - забаньте ТелиоСонеру.
Для более высокого градуса паранойи, стоит выкинуть из списка вообще всех CA и заносить вручную сертификаты сайтов и людей, которым вы доверяете, в ситуации, когда вероятность подмены минимальна.
P.S. Наиболее впечатливший меня момент из шведского фильма-расследования: нескольких людей, живущих в Азербайджане и голосовавших по SMS за армянскую команду на Евровидении, таскали в полицию, орали и обвиняли в предательстве. Худших последствий для них это не имело, таким прессованием дело и ограничилось - но всё равно внушает, однако! Впрочем, Азербайджану в некоторых аспектах не впервой совершенно пленять воображение.
P.P.S. Ещё, кстати, штрих к портрету: Россия, Беларусь, Казахстан и Китай запрещают импортировать компьютеры с чипом TPM на борту. Поскольку такой чип используется для хранения неизвлекаемых криптоключей. Мелочь, а сколько говорит!