В Казахстане аннулировали шифрование

Просто обрубить весь внешний интернет...

«Картина маслом»:
В степи казахской шастают
ослики ушастые:
с тюками и с тележками,
с шифрованными флешками :)

таможня не пропустит

А как они будут детектить шифрованный трафик? Если там только ssl, то можно наверное завернуть в какую-нибудь свою поделку и докинуть до vpn'а.

по 443 порту назначения

конечно, не будет: ведь президент Казахстана знает как пропатчить кде2 под фрибсд, значит он фряшник/линуксоид, а мы верим в своих!

называется стеганография. Но массово применить не получится, каждому надо будет делать свой велосипед до vpn. Но это рубится методом «так, ты часто соединяешься с непонятным хостом, и это не вконтакт -> резать»

ну да, против лома надо автомат...

Да, практически невозможно техническими путями победить социальные проблемы. В данном случае проблема выглядит как «Власть хочет, чтобы она могла читать все, что ты передаешь. И будет последовательно запрещать все методы обхода.»

На каждую разработанную за год-два систему, за пару дней примут закон, блокирующий ее. Ломать не строить.

VPN и SSH. Данная технология не позволяет расшифровывать данные туннели, а блокирование подобного трафика может оказаться фатальным для бизнеса и безопасности администрирования.

Даже openvpn по udp с tls-auth?

угу, я в курсе

И даже население не оповещают. Молодцы какие. Россия, как всегда, впереди планеты всей.

Почему я узнаю о новостях о моей Родине от ЛОРа?)

Мне кажется, что КТ(КазахТелеком) как обычно говорит такие вещи, которые сам не понимает как реализовать.

Да, дорогие лоровцы. Где-то есть власть ещё более технически неграмотная. Введут и не смогут сами этим пользоваться. Уже такое было.

Браузер оповестит.

Он шифрованное их сертификатом. Просто под ним ещё один слой.

А если не 443?

думаешь, никто не догадается проверить, а нет ли там второго слоя?

Это же им еще certificate pinning обходить придется. Я не уверен, что во всех приложениях он отключаем.

Можно через вконтакт тунель придумать какой-нибудь

и как dpi распознает если я качаю бесконечный зашифрованный rar архив, и на этотже ip заливаю другой такойже ?

Да никак. Закроет канал да и всё.

Вантуз ещё блин заставят ставить на компы.

ну т.е. скачать будет ничего нельзя? 8)

Ну, наверное, сделают отдельную файлопомойку на базе министерства Правды для тех, кому ну уж очень нужно. Напишешь заявку, оплатишь таксу, через пару дней заберёшь файл. Что, думаешь в правительстве совсем звери сидят?

По какому критерию?

Интересно, будет ли сам dpi проверять сертификат?
Возможно ли будет зайти на сайт с самоподписным сертификатоми при установленном сертификате dpi?

Ящитаю, после этого всякий уважающий себя гражданин Казахстана должен всячески способствовать свержению этого кровавого режима

Нас потрут, но я поправлю: США должны немедленно принять меры для свержения кровавого диктаторского режима и принести светлые идеи демократии в Казахстан. Как-то так, да.

Это же им еще certificate pinning обходить придется. Я не уверен, что во всех приложениях он отключаем.

ну не будет интернет работать у тех, кто слишком о своей безопасности печется, делов то

если я качаю бесконечный зашифрованный rar архив

а тогда ты наверняка пират и педофил, так что тоже блокируем. Тот, у кого власть, может делать что-угодно и вводить любые ограничения, какие только в голову ему взбредут. Ты не знал?

«Пользователю необходимо зайти на сайт http://www.telecom.kz и установить на своих устройствах выхода в сеть Интернет данный сертификат, следуя пошаговой инструкции по установке»

Да... А в серьезных странах пользователи от этого избавлены — там корневые сертификаты для государственных MitM-атак каждый поставщик, от Микрософта и Гугля до свободных операционных систем типа Дебиана, сам всем распространяет.

/usr/share/ca-certificates/mozilla$ l China* CN*
China_Internet_Network_Information_Center_EV_Certificates_Root.crt  CNNIC_ROOT.crt

Да-да, внутри Китая эти сертификаты используются в частности именно для этого.

https://www.google.com/search?q=china population
https://www.google.com/search?q=kazakhstan population

Просто у Казахстана нет своего доверенного ROOT CA и с соседями договориться не удалось, власти выкручиваются как могут.

Пользователям предлагается поучаствовать в создании национального ROOT CA.

over дохрена трафика нельзя надёжно распознать. Например, вещание какое-нибудь по UDP, особенно за DRM'ленное. Ну то есть, начало сессии определить обычно можно, но что потом творится без серьёзного анализа - нет.

ты эльф, власть может все что угодно, она может взять и отрубить тебе интернет, или просто тебя физически уничтожить, но если в разговоре про шифрование ты думаешь об этом то тебе надо лечиться.

Правительство Казахстана решил выхватить золотую статуэтку «Цензуропидоры года»? Я думал, статуэтка достанется РКН с их блокировками Википедии.

Судя по новости получается, что в Казахстане сейчас пока самый незондированный интернет, и ssl-решето там реально от чего-то защищало. В отличии от всяких цивилизованных стран.

ну можно и так, хотя и наоборот, дурная идея может сшанским правителям понравиться

Ну а что, раз свои 95% проглотили не поперхнувшись - значит, их можно.

Ну так сразу такое блочить

но если в разговоре про шифрование ты думаешь об этом то тебе надо лечиться.

Если ты думаешь, что тут разговор о шифровании, а не принципиальной позиции властей, то лечиться надо тебе

Это тебе голоса в голове нашептали?

Нет, это очевидный факт, что проблема не техническая а социальная, и дело не в шифровании как таковом, а в позиции властей.

Ты выдумываешь какието факты, называешь их очевидными и пристаешь с ними ко всем.

А если сделать двойное шифрование, сначала своим протоколом, а потом государственным, то какой новый закон напишут?

внутри Китая эти сертификаты используются в частности именно для этого

А пруфы есть?
Если есть, почему всё ещё распространяется? Думаю, если бы всплыл валидный сертификат, например, для google.com, подписанный этим CA, было бы нехорошо

Ну так расскажи, о чем по-твоему разговор? Не о технических же особенностях шифрования?

Больной, вы забываетесь.

Думаю, если бы всплыл валидный сертификат, например, для google.com, подписанный этим CA, было бы нехорошо

Ровно это и произошло восемь месяцев назад, после чего Гугль выкинул этот сертификат из своих продуктов. А пока это минимум пару лет касалось других, Гугль даже и не чесался.

Я пропустил эту новость, извините. Мой комментарий выше должен теперь частично читаться в прошедшем времени. Хотя, к примеру, из Дебиана он пока никуда не делся.

Класс :-)

Скоро!

Ужасно косноязычно сказано, но суть в том, что внутренний криптортрафик не режется. Все внешние соединения пропускаются только, если они сделаны с использованием этого сертификата.

На практике означает глобальный MtM для всех внешних соединений.

да ради бога. Стеганографию никто не запрещал еще.

шифруешь 2 раза => блокировка соединения

никто не мешает шифрованное выдавать за нешифрованное.