LINUX.ORG.RU

Доступ в интернет.

 ,


0

3

Вечера всем.

В Казахстане правительство решило взять под контроль https соединения принудительно заставляя всех устанавливать корневые сертификаты тут подробнее https://habrahabr.ru/post/303736/

В вкратце - либо установишь сертификаты и твой трафик будут расшифровывать и исследовать, либо будут дропать https соединения. Как следует из статьи, vpn соединения не помогут избежать прослушки. Кроме того, наладили блокировку tor. Если раньше блокировали сайт torproject.org, то сейчас он доступен, но толку от этого нет - tor-браузер не может получить доступ к сети.

Учитывая то, что блокирован tor, в перспективе будут блокировать/дропать vpn-соединения возник вопрос:

Насколько вообще безопасен tor?

Смогут ли заинтересованные люди, внедрив корневые сертификаты, получить доступ к трафику, проходящий через сеть tor?

Ну и если ответ на предыдущий вопрос отрицательный, прошу накидать гайды, как поднять приватную ноду tor на vps.


Ответ на: комментарий от Deathstalker

Слишком дорого будет для дома/мобильника/работы подключать спутниковый интернет.

P.S. трактор прошу тоже не предлагать.

Yugo ()
Ответ на: комментарий от Yugo

P.S. трактор прошу тоже не предлагать.

Тогда свержение государственного строя и установление демократического режима, уважающего свободы граждан. Раз мы не ищем лёгких путей :)

Harald ★★★★★ ()

В этой ситуации под корневым сертификатом нужно обеспечить зашифрованное соиденение к первому к тебе маршрутизатору. Естественно в начале каждой сессии необходим обмен открытыми ключами. Не знаю на сколько это реализовано, но работать должно.

l4gfcm ★★ ()
Ответ на: комментарий от Deathstalker

Это все не то. Основная цель - иметь защищенный доступ к интернет ресурсам.

Мне бы не хотелось, чтоб логины/пароли/данные банковской карты, да и вообще приватная информация стала бы достоянием общественности.

Yugo ()
Ответ на: комментарий от l4gfcm

Корневые сертификаты устанавливаются на компьютер пользователя.

Как я писал, мне не нужна секретная переписка с кем-либо, меня интересует лишь сохранность моих данных.

Yugo ()

Я считаю, что это нарушение прав человека на конфиденциальность.

Если не рассматривать наиболее логичные действия, т.е., попытки законного влияния на власть посредством митингов, судовых процессов, и т.д., то можно прибегнуть к старой доброй стенографии.

MyLittleGentoo ()

прошу накидать гайды

Гайды как испытывать наименьшее количество боли, когда тебя имеет твое государство.

anonymous ()
Ответ на: комментарий от Yugo

Уточни каких данных. На компе или которые передаются, в смысле твой трафик? Дык, тебе сетрефикат только трафик скрывает, его нужно защитить дополнительным слоем и имей себе инет без слежки.

l4gfcm ★★ ()
Ответ на: комментарий от MyLittleGentoo

Не только Вы так считаете, но закон принят без шума, да и большинству он неинтересен или мало понятен. Преподносят все так, что установка корневых сертификатов только усилит безопасность.

Повторюсь, мне не требуется передача секретных сообщений. Я хочу, чтоб при посещение любого интернет сайта мои логины/пароли/мои сообщения оставались МОИМИ, а не левого дяди.

Yugo ()

поднять приватную ноду tor на vps

Зачем тебе tor? Если уж ты купил западную vps, подними там OpenVPN на 80 порту.

anonymous ()
Ответ на: комментарий от anonymous

Любое государство имеет свой народ. Разными способами, разными путями, но имеет.

Свой личный опыт, как испытывать меньше боли, можешь не рассказывать.

Yugo ()
Ответ на: комментарий от anonymous

vpn трафик разве не шифруется тем же сертификатом?

Ну и не исключено, что vpn трафик будут дропать со временем.

Yugo ()
Ответ на: комментарий от Yugo

Продолжай сувать голову в песок. Когда твое государство полностью отключит тебе интернет, ты уже ничего не сможешь сделать.

anonymous ()
Ответ на: комментарий от anonymous

На майдан?

Не продолжай, анонимус, как я уже писал, любое государство имеет своих граждан. Твое тоже за тобой следит, просто делает это тихо и незаметно. Мое же решило, что людишки настолько технически неграмотны, что установят любое ПО или сертификат, да все, что угодно, если сказать, что это им во благо.

Yugo ()
Ответ на: комментарий от Yugo

Каждый пакет перед отправкой шифруется тремя ключами. Даже один конкретно взятый маршрутизатор не может знать что внутри. Ну, кроме выходного, который можно выбрать в какой стране будет.

l4gfcm ★★ ()
Ответ на: комментарий от vvviperrr

Не похоже. Правила применения сертификата безопасности не отменены.

Yugo ()
Ответ на: комментарий от KillTheCat

Пробовал. Некоторые мосты работают.

Но меня интересует вопрос сохранности моих данных. Шифрует ли tor трафик так, что установленный корневой сертификат не даст возможность расшифровать трафик?

Yugo ()
Ответ на: комментарий от Yugo

Так это и есть https сертификат. Он расшифрует твой трафик и увидит там гамбургер. Точнее, просто рандом. Он вложено не будет расшифровывать, тем более, когда там своё шифрование.

l4gfcm ★★ ()
Ответ на: комментарий от Yugo

Но меня интересует вопрос сохранности моих данных. Шифрует ли tor трафик так, что установленный корневой сертификат не даст возможность расшифровать трафик?

Если выходная нода будет у гэбни - даст. Они их ставят для подмены сертификата и mitm на https, как я понимаю. Но зачем его ставить?
Вообще это от браузера зависит.

KillTheCat ★★★★★ ()

Погугли про мосты в торе.
Так же можешь сделать туннель через ssh.
Сам тор считаю надёжным от прослушки в банановых республиках.

Deleted ()
Ответ на: комментарий от KillTheCat

Выходную воду планирую поднять свою.

Что от браузера зависит?

Yugo ()
Ответ на: комментарий от Deleted

Знаю про мосты в торе. Что это дает?

ssh тунели, трафик через который шифруется также открытым ключом, так же небезопасны при установленном корневом сертификате.

Или нет?

Насколько я понял, при установленном корневом сертификате от правительства, трафик может быть расшифрован.

Хочется, конечно, чтоб я был неправ.

Yugo ()
Ответ на: комментарий от Yugo

Чем расшифровывать, если тебе открытые ключи пришли от маршрутизаторов и только они могут твои пакеты расшифровать? Читай об асимметричном шифровании. Надоел уже.

l4gfcm ★★ ()
Ответ на: комментарий от Yugo

ssl сертификаты к ssh не имеют никакого отношения.

Deleted ()
Ответ на: комментарий от Michail_Ul

обоснуешь? Первый раз встречаю такое мнение(без шуток).

LiBer ★★★ ()

Смогут ли заинтересованные люди, внедрив корневые сертификаты, получить доступ к трафику, проходящий через сеть tor?

Очевидно, нет, потому что у Tor своя сеть доверия (подписанный специально обученными серверами консенсус со списком открытых ключей нод). Ключи специально обученных серверов зашиты в исходник исполняемого файла tor. Если провайдер попытается перешифровать трафик Tor своим ключом, от которого у него есть закрытая половина, клиенту Tor будет заметна подмена сертификата, и связь установить будет невозможно.

То же касается ssh. Как только Вы знаете отпечаток открытого ключа ssh-сервера (при первом соединении его предлагается сверить вручную, это важно), последующие попытки сделать MitM будут замечены, поскольку изменится ключ, сертификат и его отпечаток.

Установка скомпрометированного корневого сертификата позволяет делать MitM-атаки только на HTTPS. Другое шифрование придётся резать при помощи DPI или расшифровывать (требовать установку трояна?) отдельно.

anonymous ()
Ответ на: комментарий от anonymous

Проще блочить всё, что не проходит через MitM. На остальное требовать разрешительную бумагу, которую давать не всем и не торопиться с выдачей.

slapin ★★★★★ ()
Ответ на: комментарий от Deleted

Ну почему же, сейчас на Казахстане опробуют, обкатают, и на примере везде внедрят.

slapin ★★★★★ ()

Ааа, вот почему у меня на пару минут дольше тор запускается... Надо теперь подыскать недорогой vpn, а то смотрю скоро и проксей простых не хватит.

Reedych ★☆ ()
Последнее исправление: Reedych (всего исправлений: 1)

тунис, ливия, тахрир, казахстан. Скоро вам будет не до интернетов.

anonymous ()
Ответ на: комментарий от Deathstalker

Ага, из подводной группы созвездий.

Первым делом такие вот хитрые товарищи вычищаются в первых рядах.
Уже проходили такое, в первой половине 2000х.
Пришло шоу с масками и изъяло аппаратуру. А как дысали, как дысали... джва года, а потом бац и нет провика.

Deleted ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.