인터넷 트래픽을 해독하는 “ 블랙 박스 ”와 같은 것이 있습니까?

예. 중간자 공격이라고합니다. 중간 지점에서 SSL 세션을 종료하여 암호화 키를 얻은 다음 대상 서버에 대한 새 세션을 만들면 해당 암호화 키도 갖게됩니다. 이제 데이터 경로는 사용자-> MitM-> 서버로 이동합니다. 여기서 각 화살표는 암호화 된 연결입니다. 서버에서 반환 된 데이터는 다시 서버-> MitM-> 사용자로 이동합니다. 여기서 각 화살표는 암호화되지만 다른 지점은 암호화되지 않습니다. .

이 기능이 작동하지 않도록하는 방법이 있지만 정부에서 위임 한 시스템의 경우 이러한 시스템을 특별히 피할 가능성이 높습니다. 회사에서 “에 대한 유효한 인증서를 제공하는 규정이있을 수 있습니다. 예를 들어, HPKP가 계속 작동하도록합니다. 이러한 규칙이 영국에서 직접 운영되지 않는 회사에 적용되는지 또는 이러한 규칙을 우회하려는 시도에 대한 벌칙이 있는지 여부 (예 : 다른 국가에 기반한 VPN 사용).

통신 기반 수정 ents : 이러한 기기를 만드는 것이 기술적으로 가능하지만 문제는 대부분 많은 당사자의 협력이 필요하기 때문에 발생합니다. 정부는 소규모 행위자에게는 불가능한 옵션을 사용할 수 있습니다. 예를 들어, 영국에서 판매되는 모든 인터넷 연결 장치가 정부에서 발급 한 루트 CA 인증서로 사전 구성되어 제공되도록 요구하는 것이 가능합니다 (가능성이 없을 경우). , 그리고 이것이 설치되지 않은 장치를 사용하는 사람을 기소합니다. 이것은 인터넷 보안에 끔찍할 수 있지만 전체적인 개념도 그렇기 때문에 보안 전문가가 정부에이 아이디어가 얼마나 나쁜지 설득하는 데 달려 있습니다.

댓글

• ISP ‘가이 “를 구현하는 경우 블랙 박스 ” 모든 요청에 대해 Man in the Middle 공격을 수행하면 ‘ 이로 인해 암호화가 쓸모 없게되지 않습니까?
• @ user1 SSL을 쓸모 없게 만듭니다.그러나 페이로드가 독립적으로 암호화되고 MitM에 키를 넘겨주지 않은 사람이 서명 한 경우 페이로드 ‘의 암호화는 손상되지 않으며 발신자로부터 온 것인지 확인할 수 있습니다. .
• CA가 위조 된 인증서를 정부 기관 (영국)에 제공하도록 강제하는 규정을 언급 할 때 뒷받침하는 증거가 있습니까? 아니면 실제로 일어난 일에 대한 단 하나의 보고서라도? 저는 ‘ 믿기 어렵지만 틀렸다는 것을 증명하고 싶습니다.
• HPKP (인증서 고정)가 어떻게 계속 작동 할 수 있는지 확장 할 수 있습니까? 이 시나리오를 방지하도록 설계 되었습니까 ?
• @Aron ” 특정하게 설계된 AGAINST MITM 공격 ” : True; 하지만 전제 조건은 MITM이 ‘ 그를 끝점으로 부정하게 인증하는 인증서가 없다는 것입니다. 즉, 사용자는 secure.site.com 에 연결하고 블랙 박스는 해당 사이트 인 것처럼 가장합니다 (” 증명 “). 분명히 Symantec (CA)은 BlueCoat에 중간 인증서 를 발행했습니다. iiuc 이렇게하면 bluecoat가 모든 브라우저 (즉, Symantec을 신뢰하는 모든 브라우저)에서 신뢰하는 임의 도메인 (gmail.com)에 대한 인증서를 발급 할 수 있습니다.

아니요, 그런 것이 존재할 수있는 방법은 없습니다. .

기사 자체에는 두 가지 큰 힌트가 있습니다.

많은 기술 전문가들이 타당성에 대해 똑같이 심각한 의문을 제기하고 있습니다.

홈 오피스 대변인은 다음과 같이 말했습니다.“우리는 하드웨어 또는 소프트웨어 사양을 발표하지 않았습니다.

적절하게 보안 된 웹 사이트에서 이것이 작동 할 수있는 유일한 방법은 다음 중 하나입니다.

• 사용자가 감시에 협조했습니다
• 웹 사이트는 정부와 협력했습니다.
• 세계의 모든 정부는 모든 사람을 감시하기 위해 협력하기로 결정했습니다.

분명히, 여전히 안전하지 않은 웹 사이트 수가 많지만 감소하고 있습니다 . 그리고 전화 시스템은 암호화 관점에서 완전히 안전하지 않습니다 . 그러나 인용 된 예인 Gmail은 가능한 한 안전합니다.

일반적으로 Snooper의 헌장이 보안에 얼마나 많은 소음을 유발했는지 고려합니다. 이러한 ” 블랙 박스 “가 설계되어 있어도 실제로 사용되기 훨씬 전에는 쓸모가 없습니다.

이유는 이해하기 조금 복잡하지만 자세한 내용에 관심이 있다면 계속 읽어보세요.

다른 답변에서 언급했듯이 설명하신 메커니즘은 잘 연구 된 중간자 공격 과 유사합니다.

^{Miraceti 의 다이어그램}

실제로 어떻게 작동하는지 살펴 보겠습니다. 여기에서 Alice (예 : 사용자)와 Bob (예 : 웹 사이트)은 기밀로 통신하기를 원합니다. 그들은 Mallory가 제어하는 통신 매체를 통해 통신합니다. 분명히 메시지가 암호화되지 않은 경우 Mallory는 모든 메시지를 읽고 변경할 수 있습니다 .

Alice와 Bob이 적절하게 보안 된 채널을 사용하면 어떻게 되나요?

• Mallory는 메시지를 전혀 읽을 수 없습니다 .이 속성을 기밀성

  , 일반적으로 대칭 암호화 에 의해 제공됩니다.

• Mallory는 메시지를 변경할 수 없습니다 . 이 속성은 무결성 이라고하며 일반적으로 메시지 인증을 통해 제공됩니다. 코드
• Mallory는 메시지 전달을 최대한 차단할 수 있습니다.

이제 까다로운 부분이 있습니다. 이러한 모든 메커니즘이 작동하려면 Alice와 Bob이 비밀 키 에 동의해야합니다. -무작위로 생성 된 긴 암호와 유사한 것입니다. Alice와 Bob은 이전에 통신하지 않았을 수 있으므로 일반적으로 비대칭 암호화 를 통해 이루어집니다.

Alice와 Bob이 이전에 통신 한 적이 없다고 가정합니다.Mallory가 배울 수없는 방식으로 사용할 비밀 ” 암호 “에 어떻게 동의 할 수 있습니까? 이전 우편 시스템과의 비유 를 사용하겠습니다.

• Alice는 Bob에게 의사 소통을 원한다는 편지
• Bob은 메시지를 받고 Alice에게 open 자물쇠
• Alice는 자물쇠를 받고 ” 비밀번호 “를 생성하고 상자에 넣고 잠급니다. 자물쇠가 달린 상자를 Bob에게 보냅니다.
• Bob은 잠긴 상자를 가져 와서 잠금을 해제하고 ” 암호 .

분명히 Mallory는 Bob의 자물쇠 키 없이는 자물쇠를 열 수 없습니다. 그러나 Mallory가 할 수있는 일은 Bob이 Alice에게 자물쇠를 보낼 때 자물쇠를 가로 채 자신의 자물쇠로 교체 하는 것입니다.

이 쉬운 공격을 방지하기 위해 일반적으로 신뢰할 수있는 제 3 자 가 있습니다.-그녀를 Faythe라고 부르 자 . Faythe는 ” 모든 사람의 자물쇠를 촬영 “하고이를 배포하는 일을 담당합니다 (매우 상세 ) 사진. Alice는 Faythe를 신뢰하기 때문에받은 자물쇠를 사진과 대조하여 Bob의 소유인지 확인할 수 있습니다.

웹 세상에서 Faythe는 인증 기관 (CA) 및 사진을 인증서 (기술적으로 서명 된 인증서)라고합니다.

이제 정부의 계획이 어떻게 작동 할 수 있는지 명확 해졌습니다. Alice (사용자) 또는 Bob (웹 사이트)을 강요 할 수 없기 때문입니다. ) 협력 (일반적으로)하려면 Faythe (CA)가 Alice에게 ” 위조 인증서를 ” 보내도록 설득 할 수 있습니다.

보안 커뮤니티의 연구원은이 시나리오를 알고 있으며이를 방지하는 몇 가지 메커니즘 (기술적 및 사회적)이 있습니다.

• 이 작업을 수행하는 CA를 부끄럽게 여기십시오 . 이것은 매우 기본적인 것처럼 들리지만 매우 강력합니다. CA는 일반적으로 상업 기관입니다. 그들의 명성은 말 그대로 유일한 자산입니다. 명성이 훼손되면 “본질적으로 쓸모가 없습니다. 인증서를 위조 한 CA 매우 빨리 불신이됩니다 . Alice가 더 이상 CA를 신뢰하지 않으면 정부 공격이 작동을 멈 춥니 다.

• 인증서를 확인합니다 . 실제로 특정 웹 사이트에 대한 인증서는 자주 변경되지 않으며 일반적으로 잘 정의 된 간격으로 만 변경됩니다. 예상 간격을 벗어나 변경되면 인증서가 손상되었다고 가정 할 수 있습니다.이 기술을 인증서 고정 .

• 인증서 교차 확인 . 특정 웹 사이트의 인증서는 전 세계적으로 일정하게 유지되므로 사용자가 전 세계에서받는 인증서를 교차 확인하여 손상된 CA를 감지 할 수 있습니다. Google의 인증서 투명성 , EFF의 SSL Observatory 를 포함하여이를 수행하는 여러 프로젝트가 있습니다. a>, MonkeySphere , 컨버전스 , 관점 및 내가 알지 못하는 다른 것

이러한 모든 메커니즘은 정부가 생각하기 전에 공개적으로 수행합니다.

이 모든 지식을 제공하고 더 나쁜 경우를 가정합니다 (” 블랙 박스 )- 자신을 보호하기 위해 무엇을 할 수 있습니까?

• 문제에 대한 인식을 높입니다. 더 많은 정보를 알수록
• HTTPS Everywhere 브라우저 확장 프로그램을 설치합니다. 해당 ” 블랙 박스 “가 배포 된 경우 경고를 표시합니다. . EFF (일반적으로 이러한 문제에 대해 잘 알려져 있음)를 신뢰하는 경우에만이 작업을 수행해야합니다.

댓글

• 아직 아무도 언급하지 않은 것이 있습니다. 정부 (그들!)는 CA 또는 subCA가되어 SSL 세션이 생성 될 때마다이를 사용하여 즉석에서 인증서를 생성 할 수 있습니다. 블랙 박스는 그에 따라 SSL 핸드 셰이크를 가로 채서 수정하기 만하면됩니다.Peoble은이 CA를 신뢰하지 않기로 선택할 수 있지만, 블랙 박스는 항상 인증서를 해당 인증서로 대체하기 때문에 지금까지 본 모든 인증서가이 불길한 CA에 의해 서명 된 것으로 밝혀졌습니다. 예, 사용자로서 블랙 박스를 감지 할 수는 있지만 정부가이를 사용하겠다고 한 것은 큰 문제가 아닙니다.
• 다른 두 답변을 읽은 후 이러한 장치가 ‘ 불가능하다는 답변 (많은 다른 당사자 간의 대규모 협력없이). 귀하의 답변은 문제를 매우 잘 설명하고 CA 기반 PKI의 작동 방식에 대한 훌륭한 설명을 포함합니다. 이것은 정말 받아 들여지는 대답이어야합니다.
• @ user1129682 매우 사실입니다. 이것은 ” 사용자가 감시에 협조합니다. ” 시나리오. 사실 대부분의 사용자는이 문제를 전혀 알지 못합니다. 저는 ‘ 정부가 갑자기 모든 사람을 ‘ 브라우저가 비명을 지르면 “라고 생각합니다. 연결이 안전하지 않습니다. “, 부정적인 홍보의 양으로 인해 곧 연결이 철회 될 것입니다. ‘ t가 아니더라도 단일 CA가있는 SSL / TLS는 곧 더 안전한 것으로 대체 될 것입니다.
• @ user1129682 가능 “-여러 정부에서 이미 브라우저에서 신뢰하는 CA를 실행하고 있습니다. 당황하고 싶다면 브라우저에서 CA 목록을 자세히 살펴 봐야합니다 …
• Mallory의 경우 +1 !! 나는 ‘ 이브에게 공범자가 있다는 것을 몰랐습니다! = O

블랙 박스는 이론적으로 가능하지만 사실상 불가능합니다. 이것이 작동하려면 CA는 협력해야하며 모든 웹 사이트에 대한 합법적 인 인증서를 블랙 박스에 제공해야합니다. 이메일 서비스를 제공합니다. 그렇지 않으면 최종 사용자는 브라우저에서 MITM 공격이 발생하고 있음을 경고하는 인증서 경고를 받게됩니다. 또한 CA가이를 수행하기로 동의하더라도 (그리고 그렇게 할 것 같지는 않은데) 특정 국가로 라우팅 된 트래픽에만 작동하므로 모든 사용자가 해당 국가 외부에있는 VPN을 사용할 수 있으며 블랙 박스가 우회됩니다. . 일부 국가에서는 알려진 IP를 블랙리스트에 추가하여 외국 VPN에 대한 액세스를 차단하려고 시도했지만 VPN이 빠르게 이동하는 경향이 있기 때문에 VPN 사용을 방지하는 유일한 효과적인 방법은 정부에서 승인 한 IP 차단을 제외한 모든 것을 차단하는 것뿐입니다. 해당 수준의 검열을 피할 수 있습니다.

댓글

• @ user1-It ‘는 http를 통해 MITM 공격을 감지하기 어렵지만 https를 통해 ‘ 제시된 인증서가 올바른 사이트에서 제공되고 승인 된 사이트에서 인증되었는지 여부를 브라우저가 감지 할 수 있기 때문에 훨씬 쉽습니다. CA. ‘가 아닌 경우 브라우저에 빨간색 막대 오류 또는 기타 경고가 표시됩니다. 이것이 CA와 유료 SSL 인증서가 존재하는 주된 이유입니다. SSL이 사용될 때 MITM 공격을 탐지하기 위해서입니다.
• @TTT-논의중인 경우 (예 : 인증 기관이있는 경우) 합법적 인 인증서를 발급하는 경우), 웹 브라우저에서도 ‘ 제공되는 인증서가 실제로 합법적으로 서명 된 인증서이므로 경고하지 않습니다.
• 정부는 같은 국가에있는 CA 만 협력하도록 강요합니다. 그러나 그렇게하면 브라우저는 신뢰할 수있는 CA 목록에서 해당 CA를 신속하게 제거합니다. 따라서 달성 할 수있는 모든 것은 해당 국가의 모든 CA를 사업에서 제외하고 SSL이 다른 국가의 CA를 사용하여 보안을 유지하도록 허용하는 것입니다. 따라서 정부는 주요 브라우저 공급 업체의 도움없이 정부가 승인 한 CA의 루트 인증서를 강제로 설치해야합니다.
• @immibis 브라우저는 CA가 설정 한 규칙을 위반할 때 해당 CA를 제거하는 경향이 있습니다. 브라우저 생산 회사. 그리고 전국적인 mitm 공격이 알려질 것입니다 . 예를 들어 최근에 Mozilla와 Google은이 국가-국가 -mitm 시나리오에 비해 웃기는 위반 행위로 인해 브라우저가 StartCom을 더 이상 신뢰하지 않도록 결정했습니다. (그들은 ‘ 모든 인증서에 대한 신뢰를 제거하지 않고 새 인증서에 대해서만 신뢰를 제거하여 최종 사용자에게 영향을주지 않고 효과적으로 회사를 중단했습니다. I ‘ 실제 보안 위반이 있었다면 신뢰를 완전히 제거했을 것입니다.)
• @ThatBrazilianGuy Netflix는 VPN을 통해 자신의 서비스 를 사용하지 못하도록 차단합니다. 인터넷 사용을 금지하는 정부는 약간 다른 문제입니다.

개념적으로 이것은 미국 애국 법 의 영국 버전입니다. . 영국 법에 따라 쉬운 ISP와 주요 메일 제공 업체의 협력이 필요합니다. 후자의 경우 많은 사용자가 주로 SMTP / IMAP를 사용하는 경우 공급자의 사서함을 사용합니다. 암호화되지 않은 모든 이메일은 서버 측에서 암호화되지 않고 쉽게 BlackBox 로 전달 될 수 있습니다.

일부 사용자는 Google과 같은 국제 (미국) 회사의 웹 메일을 직접 사용합니다. . 이 경우 애국 법 에 따라 모든 암호화되지 않은 데이터를 법적 규제를 담당하는 미국 기관에 제공 할 수 있습니다. 이 경우 서버는 일반적으로로드 균형을 맞추기 위해 다른 국가에 이식됩니다. 여기에 두 가지 가능성이 있습니다. 영국의 서버에서 수신 된 모든 메일을 BlackBox에 제공하도록 메일 서버에 요청하거나, Man In The Middle 공격을 수행 할 수 있도록 메일 회사에 유효한 키를 백 박스에 제공하도록 요청합니다.

이것은 정말로 기밀 유지에 대한 새로운 위협입니까? SSL은 발신자와 서버 사이의 메일 만 보호하기 때문에 서버가 미국 회사 인 경우 미국 정부 기관에서 이미 사본을 보유 할 수 있습니다. 종단 간 암호화를 사용하는 경우 ( 데이터 자체가 암호화 됨) BlackBox는 암호화 된 데이터 만 가져옵니다.

댓글

• 미국 정부 기관에 이미 사본이있을 수 있으므로 ‘ 영국의 기관이 문제가되지 않습니까? 나에게 이메일 사본도 보내 줄 수 있나요?
• @goncalopp 애국자 행위로부터 개인 정보를 보호하기 위해 아무것도하지 않는다면, 왜 행동해야하는지 알 수 없습니다. 영국에서는 다릅니다. 내가 아는 한 개인 데이터에 Gmail이나 미국 조직을 사용하지 않을 것입니다. 내 ISP가 이러한 BlackBox를 사용한다는 것을 알고 있으면 내 메일을 암호화합니다.
• @goncalopp하지만 동일한 수준의 미국 및 영국 기관에서 고려하겠습니다. 아마도 내가 ‘ 미국 시민이 아닙니다.
• 대문자는 PATRIOT Act 로 표기해야합니다.

일반적으로 Google, Facebook과 같은 모든 웹 사이트가 개인 키를 정기적으로 제출하는 경우에만 인터넷 트래픽을 해독 할 수 있습니다. 이는 Google과 Facebook이 개인 정보를 보호하는 미국 회사이기 때문에 실행할 수 없습니다. 엄청난 양의 트래픽을 복호화하면 개인 정보가 크게 손상 될 수 있습니다.

그러나 를 수행 할 가능성이 높습니다. 인증 기관 (CA)을 사용하는 MITM 공격은 이러한 방식으로 사례 별 암호 해독을 구현할 수 있습니다. 예를 들어 특정 이메일 주소로 전송되는 이메일을 MITM하고 암호를 해독 할 수 있습니다.

이는 CA가 키를 얼마나 보호하고 있는지, 키를 공유하지 않는지에 대한 매우 중요한 질문으로 이어집니다. 다른 당사자들과 MITM 공격을 수행하기 위해 당국과 협력하는 경우. Rooot CA가 대부분 중국 등을 제외한 영어권 카운티에 있기 때문에 중요한 질문입니다. 따라서 정부가 모든 공용 CA를 MITM 할 수 있는지 여부 암호화 된 트래픽을 지원하며 유일한 해결책은 자체 CA를 사용하여 데이터를 암호화하는 것입니다.

사설 CA는 공용 웹 사이트에서 SSL을 설정하는 데 도움이되지 않지만 내부 기업 시스템에서는 완벽하게 작동합니다. . 또 다른 한 가지는 루트 키가 보호되는 방법과 인증서가 발급되는 방법입니다. Windows 업데이트가 구성된 Windows 시스템에서이 작업을 수행하는 것은 현명하지 않습니다. 이렇게하면 정부가이 시스템에 계속 액세스 할 수 있기 때문입니다. 최소한의 보안 시스템 중단 실행

이러한 장치 중 한 가지 유형이 정기적으로 회사 LAN 용으로 판매 및 배포되지만 IT 부서가 모든 클라이언트 PC에 배포해야하는 추가 인증서 집합으로 작동합니다. 이러한 장치는 소유자가 제어하는 인증서를 사용하여 트래픽을 다시 암호화합니다.

이러한 시스템을 전국적으로 설정하는 것은 CA를 통해 규정 준수를 확인하거나 사용자를 검색하여 해당 인증서를 설치하도록하거나 다음을 통해 MITM 인증서를 배포하여 발생할 수 있습니다. PC 및 OS 공급 업체 (전체 설치 기반을 포함하지는 않지만 상당한 양)

다른 유형의 장치, 그리고 영국이 귀하의 설명에 따라 도입 할 계획입니다. ISP 데이터 센터에 배포되고 메일 (또는 다른 응용 프로그램) 서버 자체에 직접 액세스 할 수 있으므로 암호를 해독 할 필요가 없습니다. 이러한 기능은 일부 유럽 국가에서 실제로 사용되고 있습니다 (받은 편지함이 10,000 개 이상인 독일 이메일 제공 업체에 이러한 장비를 의무화하는 독일 TKüV 법을 확인하세요!) 꽤 오랫동안.

연결된 채널 4 질문의 기사 는 2016 년 조사 권한 법 에서 실제로 제안 된 내용을 잘못 설명합니다. 기사의 시작 부분에 다음과 같은 단서가 있습니다.

정부는 메시지의 실제 내용이 저장되지 않을 것이라고 주장했습니다. 그러나 지금까지 통신 회사가 메시지의 발신자 및 수신자와 같은 “헤더 데이터”에서 콘텐츠를 분리 할 수있는 방법, 메시지가 전송 된 날짜가 명확하지 않았습니다.

2016 년 조사 권한 법 에 따라 통신 회사는 1 년간 소스 및 대상 IP 주소 및 대상 도메인을 추출해야합니다. (전체 URL은 아님) 인터넷을 통해 전송 된 패키지의 실제 패키지 콘텐츠가 아닙니다 . 이 작업을 수행하는 방법에 대해 명확하지 않은 아무것도 없습니다. 이것은 패킷에 대한 라우팅 정보이며 암호화되지 않습니다 . 실제 콘텐츠 가 암호화 된 경우에도 (기사 아래에 예시로 사용 된 Gmail의 경우처럼 SSL / TLS를 사용)

따라서 전체 채널 4 이야기는 조사 권한 법 2016 이 통신 회사가 암호화되지 않은 메타 데이터를 유지하는 대신 콘텐츠를 해독하도록 요구한다는 잘못된 가정을 기반으로합니다. (기록을 위해 : 저는 정부가 메타 데이터를 무차별 적으로 수집하도록 요구해서는 안된다고 생각합니다. 따라서이 행위는 악의적입니다.하지만 그것이 콘텐츠 를 해독해야한다는 것이 아니라 제안 된 것입니다.)

따라서 2016 년 수사권 법 에서 요구하는 “블랙 박스”는 암호 해독에 필요하지 않습니다. 필요한 메타 데이터 를 1 년 동안 보관하십시오.

Gmail (기사에도 언급 됨)에 관해서는 Snowden에서 NSA가 콘텐츠에 액세스 할 수 있다는 것을 알고 있습니다. 이후 수신 측에서 암호가 해독되고 NSA가이 데이터를 GCHQ와 공유하므로 Gmail 콘텐츠가 의심의 여지없이 손상되지만 ” 블랙 박스 는 메시지를 경로 해독합니다.

질문 : 영국 ISP 인프라의 일부로 MitM을 구축하고 배포하는 것이 가능 정부가 그런 일을하면 SSL / TLS를 해독하는“블랙 박스” 필수?

SSL / TLS를 사용한 키 교환은 대역 내에서 발생하기 때문에 가능합니다. 웹 서비스가 요청한 것처럼 가장하는 MitM을 삽입하고 DNS를 처리하는 모든 사람 (ISP가 자신의 고객에 대한 기본값)이 올바른 위치에 있습니다. 그러나이 기능을 사용하려면 또한 DNS 캐시 중독 및 DNSSEC 불법화와 같은 무질서한 요소를 혼합에 추가해야합니다. 그러면 영국이 비정부 사이버 범죄의 천국이 될 수도 있습니다. 따라서이 시나리오를 바랍니다.

영국 정부가 영국 ISP가 자신의 고객을 대상으로 MitM 공격을 수행하도록 의무화하는 경우 개인 정보 보호에 대해 진지하게 생각하는 사람들은 여러 가지 구제 조치를 취할 수 있습니다. . 가장 간단한 방법은 ISP의 DNS 서비스 신뢰를 중지하는 것입니다 (이 기능이 작동하려면 손상되어야하므로). 좀 더 고급 사용자는 보안 채널을 통해 (예 : 정부 또는 ISP의 통제를받지 않는) 키 교환이 수행되는 종단 간 암호화 (SSL / TLS가 아닌)를 사용합니다. 사용하기 쉬운 PKI 구현이 이미 많이 있습니다 ( Enigmail for Thunderbird는 내가 사용하는 것입니다) 자신의 키 관리에 관심이있는 사람은 누구나 그렇게 할 수 있습니다.

댓글

• ” Snowden에서 NSA가 수신 측에서 해독 된 후 콘텐츠에 액세스 할 수 있다는 사실을 알고 있습니다. ” 정답이 아닙니다. 우리는 그들이 일반 텍스트로 데이터가 흐르는 Google 트랜스 데이터 센터 링크에 액세스 할 수 있다는 것을 알고 있습니다. 또한 Google은 데이터 센터간에 전송되는 모든 데이터를 암호화하기 시작했다고 주장 합니다. 나는 ‘ 그것이 실제로 암호화되어 있고 / 또는 국가 국가의 적들이 암호화를 깰 수 없다는 것을 확실히 알 수 있다고 생각하지 않지만 Google이 암호화하지 않는다는 사실이 알려지면 ‘ 정리하기에는 꽤 큰 PR 엉망이됩니다.
• ” 소스 및 대상 IP 주소와 대상 도메인 (전체 URL은 아님) ” 따라서 IP 헤더와 SNI 데이터 (일반 텍스트). DNS 트래픽 모니터링을 추가하면 SNI를 사용하지 않는 ‘ TLS 트래픽의 작은 부분도 꽤 잘 다루었습니다. 그것에 액세스하기 위해 MITM을 사용할 필요가 없습니다.
• 다른 답변도 훌륭하지만이 답변이 최고입니다. 환상이 아닌 실제 문제를 해결하고 ‘ MitM 공격을 수행하는 것이 불가능하다고 설명했습니다. 사용자와 상대방이 정부가 ‘ 모니터링 할 수없는 보안 채널을 사용하여 키를 공유하는 데 동의하는 경우

데이터 전송 방식에 따라 다르며, 일반적으로 고정되어 있지만 다양한 종류의 데이터를 잠금 해제하는 새로운 방법이 항상 발견됩니다. 저는 이전 Gov Job (미국)을 통해 프록시 서버가 자동으로 MITM 공격을 수행했음을 알고 있습니다. HTTPS의 S는 실제로 원격 서버가 아닌 프록시로 설정되었지만 인증서 체인을 쉽게보고 누구를 모두 확인할 수 있습니다. 서명했습니다. (그들은 PC를 소유하고 루트 Gov에서 발급 한 인증서를 신뢰하도록 설정했습니다.)

다른 사람들이 컴퓨터가 신뢰할 수있는 루트로 간주하는 서명 인증서를 가져야하기 위해 프록시가 필요하다고 말한 것처럼 정부가 사용 된 암호화 유형의 보안 결함을 알고 해당 정보를 비밀로 유지하는 경우를 제외하고는 오류 메시지가 표시됩니다. 많은 음모 이론가들은 NSA가 일반적으로 최상의 형태로 간주되는 AES를 만드는 데 도움이 되었기 때문에, 아직 아무도 발견하지 못한 백도어로 설계 할 수있었습니다. 때로는 지난 15 ~ 20 년 동안 소프트웨어 프로그램의 모든 버전에 거의 즉각적으로 액세스 할 수있는 보안 허점이 발견됩니다.

그리고 저는 거의 작지만 가능한 마지막 기회라고 말하기 시작했습니다. 만약 Gov가 매우 빠른 컴퓨터를 가지고 있다면, 지금부터 10 년 동안 평균적으로 모든 사람의 집에있을 수있는 것과 같은 것입니다. 온라인에서 사용되는 거의 모든 암호화는 시간이 지남에 따라 디코딩 될 수 있습니다. 지금 당장 10 년에서 100 년이 걸리는 것은 보통 컴퓨터에서 쉽게 해독 할 수 있습니다.

아닙니다. 간단한 이유에서 Google 및 정부 기관과의 협력 + 모든 다른 ISP는 새로운 코드를 도입해야합니다. 많은 새로운 코드 버그가 있고 결함이있을 수 있습니다.

이 시나리오가 실제 시나리오라면 Google 보다 각 사용자에 대해 다른 인증서를 사용해야합니다 (간단한 프로그램 또는 브라우저 확장을 사용하여) 각 연결 / 계정에 서로 다른 SSL 인증서가 있음을 알 수 있습니다.

이 경우 방대한 양의 인증서를 사용하는 이유는 한 정부 기관의 조사 때문입니다. 인증서가 유출 된 경우 모든 국가의 전 세계 모든 사용자를 위해 Google의 모든 메일을 읽을 수 있도록 다른 모든 정부에 “문”을 열 것입니다.

• If 시나리오는 실제입니다.

예, 전적으로 가능하며 현재 이미 완료되었으며 영원히 완료되었습니다.

그것을 말하는 모든 사람들 “불가능은 상상력이 부족하다는 것입니다. & 유령들이 수년 동안 사용해온 다양한 멋진 기술과 교활한 속임수에 대한 연구입니다.

많은 것은 새로운 것이 아닙니다. &는 전직 간첩 및 조직 책임자가 무료로 구할 수있는 책입니다. 그것은 그들이 열린 사람들의 봉투를 찌르고 타자기를 도청하고 있었기 때문에 어떤 식 으로든 행해졌습니다. 그러나 그 활동을 앞으로 외삽하고 당신은 “결론을해야합니다”모든 것이 전적으로 영역의 영역 내에 있습니다. 가능한 & 가능성이 높습니다. 솔직히 대부분의 사람들은 국가 안보를 위해 국가 스파이 기관이 수행 할 것으로 기대하는 것입니다.

기타 세부 정보, 자세히 최신 버전 등스노 든 씨 등이 & 모니터링 통화와 인터넷 트래픽을 가로채는 일이 유출되었습니다. 나는 그것에 대해 깊이 탐구하지는 않았지만 그들이 필요하다면 모든 것을 볼 수 있다는 것이다. 나는 그들이 원하는 것을 볼 수 있다고 가정한다. 당신의 정부가 보지 않더라도, 러시아인이나 중국인은 확실히 따라서 모든 사람이 귀하의 콘텐츠를 볼 수 있다고 가정하는 것이 가장 안전합니다.

부수적으로 CIA 기술 서비스 사무소의 역사 인 H. Keith Melton과 Henry Robert Schlesinger의 Spycraft 책을 추천합니다. 이런 종류의 헛소리를 다룹니다.

댓글

• 올바르게 사용하면 현재 세대의 대칭 암호가 깨지지 않으며 예측 가능한 동안 유지 될 것이라고 믿을 수있는 구체적인 수학적 이유가 있습니다. 미래. 귀하의 입장은 너무 비관적입니다.
• @zwol 귀하의 말에는 동의하지만 ‘ 당신의 말에는 다음과 같은 큰 경고가 있습니다. 사용시 너무 많은 사람들이 ‘ 보안 업데이트를 설치하지도 않습니다. 이제 Microsoft가 비 엔터프라이즈 버전의 Windows를 강제 합니다. 업데이트 설치 보안 결함이있는 오래된 코드를 실행하면 엔드 포인트 보안이 크게 약화됩니다. 그리고 저는 ‘ 우리가 ‘ 모든 주요 브라우저에서 마지막 보안 관련 버그를 본 적이 없다고 생각합니다. 즉, 적극적인 공격은 높은 위험을 수반합니다. 시스템이 완전히 꽉 차지 않는 한 누군가가 올바른 위치를 쳐다 보면 탐지 할 수 있기 때문입니다.
• 왜 반대 투표를 하는가? ? 나는 그들이 가진 능력 (특히 눈에 떴을 때)이 꽤 널리 알려져 있고 (특히 안보 계에서), 정부가 이런 일을하고 싶다면 & 의지.