这是一个创建于 1580 天前的主题,其中的信息可能已经有所发展或是发生改变。
哈萨克斯坦去年启用了国家级证书进行 MITM,好像还没有强制,未来这个如果成真,是不是科学工具都要挂了??
现有的某些服务可能会一时用不了,但如果国家强制要求所有厂商兼容,到底可行吗?
现有的某些服务可能会一时用不了,但如果国家强制要求所有厂商兼容,到底可行吗?
 |
1
Osk 2020-07-19 21:43:11 +08:00 via Android
怀疑你暗示某几家 ca 。
如果目标价值足够大,为啥不能用来 mitm 呢,然后称失误发错证书了。 不过我总觉得没必要,如果该 ca 发生过一两次 mitm, 估计搞事儿的会毫不犹豫地把该 ca 拉黑。 另外,很多工具用的是自签证书,根本不会理会系统的 ca 列表 |
 |
2
snw 2020-07-19 22:13:29 +08:00 via Android  1
你要担心的不是梯子,而是各种更新被加料。
梯子大不了玩套娃,外层套个可被 MITM 的证书,里面再用自己的加密方式和信任列表。 但系统更新和软件更新很难控制,劫持之后塞个木马进来防不胜防(参考临侦)。 |
 |
3
domosekai OP @Osk 我说的不是个别情况,是强制每个人安装证书,手机出厂内置国家证书,不安装不让上网,哈萨克一开始就是这样,没有国家证书的一律 redirect 去安装,只是后来被叫停了。。。
|
|
4
domosekai OP @snw 这是个问题,但如果梯子可以里面套自己的加密,厂商也可以,或者用其他方法校验。我担心的是里层的加密被限制,毕竟大部分普通流量都变成明文后,剩下的目标就容易锁定多了
|
 |
5
SecureCode 2020-07-19 22:36:28 +08:00 4
以前不可能,以后不排除。
小学生什么是都做得出来 |
 |
6
wevsty 2020-07-19 22:45:08 +08:00
完全可以,只看人家是不是想这么做而已。
当然,这样做以后的效果怎么样另论。 |
 |
8
WordTian 2020-07-19 23:19:44 +08:00 via Android
加就加呗,传输层加密还能拦住我在应用层加密啦?
|
 |
9
MrCurly 2020-07-19 23:24:14 +08:00 via iPhone
这东西大概率为了监控之类的吧,不过看来楼主不知道啥叫合法监听。我一直认为终端级别的监控无意义,因为权力可以通过命令让私企配合开后门,不光高效成本还低。就像微信我认为是一定有后门系统给 zf 的,甚至微信自己都不可以用这个系统
|
|
11
domosekai OP @MrCurly 你说的对,但 MITM 是全局式的做法,不需要一个个部署,和特定系统的后门互为补充。另外也是针对国际流量,比如这样一来收发邮件就全部明文,除非对内容再加密
|
 |
12
ClericPy 2020-07-19 23:34:14 +08:00
突然就想起那个带 QQ 号的新闻了, 虽然不知道为啥想起来的...
|
 |
13
azh7138m 2020-07-20 01:11:52 +08:00
商密算法是双私钥,其中一份由**持有,可以直接解密,不需要做中间人攻击。
该算法虽然普及度低,但也不是没有强制使用的那一天( |
 |
14
elfive 2020-07-20 07:29:48 +08:00 via iPhone
你们还记得当年 12306 的证书吗?有几个人卸载了的?
|
 |
16
PbCopy111 2020-07-20 09:07:19 +08:00
如果强制 MITM 了,跟不加密有什么区别。。。那就直接透明着跑呗。。。以后就改成了纸质加密,你发电报文,我用书翻译,哈哈哈。
|
 |
17
alalida 2020-07-20 10:37:08 +08:00
这东西一出,权力部门手里那份密钥泄漏的可能性就是百分之一百,所有密码和敏感都变成纸糊的。相当于全民退回 http 时代,那黑产恐成最大赢家。
|
Select Language