ФСБ утвердило порядок получения ключей шифрования от интернет–сервисов

ФСБ утвердило порядок получения ключей шифрования от интернет–сервисов
12 августа 2016 года Федеральная служба безопасности Российской Федерации опубликовала приказ № 432 от 19.07.2016 № 432 «Об утверждении Порядка представления организаторами распространения информации в информационно–телекоммуникационной сети «Интернет» в Федеральную службу безопасности Российской Федерации информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей информационно–телекоммуникационной сети «Интернет»».
Этим приказом устанавливается процедура получения ключей шифрования у владельцев серверов и других интернет–сервисов. Процедура вполне логичная и простая.

1. Организатор распространения информации в сети «Интернет» осуществляет передачу информации для декодирования на основании запроса уполномоченного подразделения, подписанного начальником (заместителя начальника).
2. Запрос направляется заказным письмом с уведомлением о вручении.
3. В запросе указаны формат и адрес предоставления информации для декодирования.
4. Информация передаётся на магнитном носителе по почте или по электронной почте. Как вариант, можно согласовать с ФСБ доступ специалистов к информации для декодирования.

Хочется увидеть, как они будут ключи "HTTPS" запрашивать и что им в ответ на это напишут, также думаю дальнейшее общение ФСБ с иностранными компаниями доставит нам еще много лулзов.

---------
https://politota.dirty.ru/fsb-utver...ei-shifrovaniia-ot-internet-servisov-1152256/.
14/08/2016 ​

 

Да всё очень просто. От админа любого сервера потребуют приватный ключ ссл-сертификата на конкретный домен. Дальше они уже спокойно смогут расшифровать любой хттпс-запрос к этому сайту.

Не хочешь отдавать привтный ключ? Ой, да и ненадо. Го в реестр запрещённых сайтов.

И да, ачат это тоже касается Вот мне интересно, что выбирут админы? Слить сайт фсб но остаться в открытом доступе или пожертвовать публиыным доступом во имя анонимности посетителей?
Кстати, второй вариант имеет право на жизнь если админы об этом будут уведомлять посетителей. Хочешь анонимности - заходи на сайт через тор.

 

Информация передаётся на магнитном носителе по почте или по электронной почте

По электронной почте. Сервер которой, очевидно, будет хранить эти данные в незашифрованном виде. По итогу они добьются того, что эти ключи будут продаваться на этом форуме. Спасибо ФСБ!
Ждём результатов вашего обмена по электронной почте. Будет вообще эпично, если ФСБ такими запросами рано или поздно сольёт данные для декодирования части своего же трафика. Из разряда "эпик-фейл".

И да, ачат это тоже касается Вот мне интересно, что выбирут админы?

Учитывая что на данном сайте не блондинки сидят - лучше выбрать путь рутрекера )) Пусть блокируют хоть 100500 раз. Аудитория меньше не станет. Другое дело что сама Яровая не будет знать как сюда попасть. Так и не надо!

 

ты сменил источник? дирти явно предпочтительнее мейл.ру

Мы в восхищении ©Бегемот (Мастер и Маргарита)

 

Это типа всё, хакерским сайтам пришел капец? Или на них можно будет заходить только как на рутреккер?

 

Для любителей первоисточников - ссылка:
http://publication.pravo.gov.ru/Document/View/0001201608120037
В общем-то, дирти дословно процитировал документ....

 

Я конечно не хакер, но мне интересно, как они мелкого ИПшника заставят выдать им ключи?
Вот и я не знаю где лежат ключи, в домашней папке, или в куртке... вот пришла мне дискета, и куда мне её класть?

 

Не беспокойся , кем бы ты ни был, лучше отдать... охота на волков началась.

 

На фоне того, что заблокированные сайты еще и пытаются лишить показа рекламы (во всяком случае через распространённые рекламные сети) выбор вообще шикарным выходит
А на счет тора: ходят упорные слухи, что анонимность он даёт очень условную.

 

Кто не захочет отдавать, будут после школы ловить

 

я думаю надо отдать ключи по хорошему,
ведь что получается пиндосы и так всё читают, это и так очевидно,
помимо этого где хостится ачат? мне показывает Нидерланды и Украину, отлично ещё и гейропейцы могут трафик смотреть,
а самое весёлое что трафик ещё идёт через Cloudflare это вообще частная кампания, и они могут трафик не зашифрованный смотреть, это вообще финиш, даже дядя Вася из Сан-Франциско может трафик смотреть и секретные разделы читать, не говоря уже о государствах,
всем дали, а своему государству родному, которое растило и кормило не дадим, а потом удивляемся откуда террористические атаки на нашу страну, кто владеет информацией владеет миром, для эффективного противодействия экстремизму трафик должен быть открытым

 

Бред сивой кобылы. При нормальной настройке протокола и поддержании ссл-либ в актуальном состоянии - никто ничего не читает, иначе нахрена он вообще нужен - этот ссл?
Такие высказывания порождаются потреблением жёлтой прессы и помножаются на незнание технической стороны проблемы.
Способов посмотреть что ты делаешь на конкретном сайте много, но все они не имеют отношения конкретно к декодированию ssl-трафика.
А насчёт расшифровки ссл-трафика - не существует универсального способа расшифровки вообще любого случайно взятого ссл-соединения. Есть только дыры в openssl хаотично разбросанные по сервакам во всём мире, по большей части их эксплуатация нереально сложная и имеет низкие шансы на успех, либо огромную стоимость расшифровки.
Вероятность, что тебя поимеют спецслужбы (и не только они) напрямую зависит не от ссл а от твоих знаний и криворукости админа сайта. Если ты гламурная блондинка то и ссл не надо расшифровывать чтоб залезть в твой комп.

 

Triton_Mgn это что было, минутка знаний в массы?
Вот спасибо, милый человек, ты дал всем знать что такое асимметричное шифрование! Теперь нас точно не достанет ФСБ и АНБ!

Вероятность зависит в первую очередь от тебя. А именно, от того чем ты занимаешься и насколько привлекаешь внимание.
А через сайт (любой) важной инфой обмениваться - вообще полоумным нужно быть.

 

-есть мнение что cloudflare это глобальный mitm который создан, чтобы шпионить за трафиком
https://habrahabr.ru/company/kingservers/blog/307206/#comment_9737560
http://cryto.net/~joepie91/blog/2016/07/14/cloudflare-we-have-a-problem/

-в случае с странами где расположены сервера помимо mitm есть прямой доступ к серверу, а там делай что хочешь, хоть ключи шифрования получи, хоть доступ к любым данным на дисках сервера, можно говорить что владельцы дата центра хорошие и спецслужбы к себе не пустят, это же европа, я в это не верю, магическое слово терроризм действует, существует немало примеров давления на компании со стороны спецслужб, в крайнем случае (для верующих в абсолютную силу закона) можно подослать своего агента работать админом, он и получит физический доступ к серверу,
в связи с этим вспоминаются публикации о получении ключей шифрования с компьютера с помощью микрофона рядом, надо только в стойке с сервером случайно мобильный оставить и ключи в кармане

-насчёт США, у них куча методов, закладки в операционных системах, закладки в железе (в биосе находили, в большинстве существующих на рынке жестких дисков находили), контроль за большой частью инфраструктуры интернета (АНБ ставят подслушивающие сервера), контроль над самыми крупными IT компаниями (они в США находятся) и тд.

 

Клоудфлара даёт своим клиентам выбор - работать как https-сервер или как прокси. В первом случае клиент сам добровольно отдаёт приватные ключи клоудфларе, так что понятие "mitm" тут неуместно. Благодаря этому клоудфлара видит содержимое http-запросов и это позволяет ей на основе параметров хттп-запросов лучше детектить и банить ддос. Преимущество второго метода в сохранении приватности, т.е. клоудфлара не может просмотреть содержимое трафика сайта, однако в этом случае снижается эффективность антиддоса. И так делает не только клоудфлара, но и другие антиддос-сервисы.
Я на своих проектах использую клоудфлару без отправки ей приватных ключей и всё работает нормально. Если начнётся сильный ддос то временно можно отдать приватные ключи антиддосеру а потом, когда ддос закончится - перевыпустить сертификат.

Всё сказанное тобой дальше - это уже оффтоп и для бекдоров в жёстком диске можно создать отдельную тему. Я говорю конкретно о возможности расшифровки ssl-сессии. Ясен кэп, что если спецслужбы занялись тобой основательно, то любой ссл расшифровывается терморектальным криптоанализом.

 

не очень изучал этот вопрос, но он может и подменить сертификат на свой, допустим не всем, а некоторым клиентам, и сертификат будет подписанный, не знаю будет ругаться ли браузер на изменение сертификата и сколько людей на это обратят внимание

я имею в виду то что ключ можно забрать с сервера например с помощью закладки в жестком диске, который установлен в сервере, также вспоминается уязвимости вида heartbleed, когда ключ шифрования из памяти мог извлечь любой, и есть основания считать что спецслужбы создали эту лазейку, Россия правда тоже теоретически способна на такие трюки, а вот доступа к производству современного железа, ОС и контролю мировой сетевой инфраструктуры не имеет

я вот погуглил, думал США как то свои вмешательства в датацентры пытается скрыть, а нет оказывается всё законно, ещё и есть ответственность владельцев при не исполнении

https://ru.wikipedia.org/wiki/SSL#....BD.D1.83.D1.82.D1.80.D0.B8_.D0.A6.D0.9E.D0.94

 

Ну с этим не поспоришь. Про я это как-то не подумал. Если клоудфлара сама выдаст тебе другой валидный сертификат - тогда да, она сможет прослушивать трафик. Браузер ругаться не будет.

Это тоже оффтоп. Красть данные с сервера через бекдор не есть расшифровка любого ссл-соединения.

Конкретно в этом случае ссл вообще непричём, данные перехватывались внутри ДЦ в незашифрованном виде.

Здесь соглашусь. Но всёравно вцелом расшифровка случайно взятого ссл-соединения - это задача сложная. Если всё настолько плохо, что тобой занялись спецслужбы то тут одного ssl недостаточно впринципе, даже еслиб ссл был абсолютно неуязвим.

 

круто