アカウント名:
パスワード:
斜め読みするとそういう事になる。
公的なCAが鍵を提供したとしても、意味があるとは思えません。テログループ自身が俺様CAを立てて仲間内のみで運用していたら、解読できないのではないでしょうか。
すいません。きちんと書かなかったので趣旨が間違って伝わってしまったようです。FBIやNSAがマスター暗号化キーを要求したって事は、SSLにはバックドアが無い、安全な暗号だって事です。
いやいや、穿った見方をすれば「どうせ暗号化キーなんか出してこないだろう」というGoogleなんかを狙い撃ちにしているだけかもしれんぞ。
これでホイホイ渡しちゃうような企業が出てきたら「入手した暗号化キーで何やってるんだよ!」って国民に追求されるが、断られたのであればそこまで激しく叩かれずに済む。
そして、要求したけど拒否られて、結果的に暗号化キーの入手に失敗している、と報じられれば「なんだ、FBIやNSAはSSL通信の情報を盗めないのか」と皆が安心してSSLを使う。それこそが奴らの狙いなのかもしれない。
#ただの陰謀論
公的なCAが鍵を提供
そんな話は誰もしてないようだけど。
CAの秘密鍵ではなく、HTTPSの秘密鍵の話をしてるんじゃない?
補足:
*CAの秘密鍵が漏洩した時に発生する事象:偽物のウエブサイトの構築。例えば偽物のwww.google.co.jpやwww.microsoft.comが構築出来ます。CAの秘密カギは通常CAのみが持つ情報。
*SSLのマスター暗号化キーが漏洩した時に発生する事象:SSLで暗号化された通信内容の盗聴。またSSLのマスターキーは全てのhttps対応サーバが持っている固有の情報。そのためFBI等はCAに提供を求めてはいない。サーバの管理者に提供を求めている。
*CAの秘密鍵が漏洩した時に発生する事象:偽物のウエブサイトの構築。
それとリバースプロキシを組み合わせると、本物とまったく見分けのつかないサイトを構築することができて、さらにDNSを誤魔化すことが中間者攻撃が可能です。つまり、盗聴可能になるってことではあります。
こういう製品 [bluecoat.com]だとフォワードプロキシでも中間者攻撃ができるので、社外に出て行くSSL通信を全部検閲するなんてことをやっている会社もあるようです。(必要な証明書はActive Directoryとかで配布)
CAの秘密鍵を突っ込んだこれをISPレベルの回線に(透過モードで)仕込むと・・・
テログループがペイロードを暗号化してたらもっと意味がなくなる。テログループが暗号化をしようしていて~、という話をあまり聞かないのはなぜだろう。
(FBIやNSAによる)ブラフでなければ、この話題の真に重要なところかもしれんね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
じゃぁSSLは安全なんだ (スコア:1)
斜め読みするとそういう事になる。
Re:じゃぁSSLは安全なんだ (スコア:2)
公的なCAが鍵を提供したとしても、意味があるとは思えません。
テログループ自身が俺様CAを立てて仲間内のみで運用していたら、解読できないのではないでしょうか。
Re:じゃぁSSLは安全なんだ (スコア:1)
すいません。きちんと書かなかったので趣旨が間違って伝わってしまったようです。
FBIやNSAがマスター暗号化キーを要求したって事は、SSLにはバックドアが無い、安全な暗号だって事です。
Re: (スコア:0)
いやいや、穿った見方をすれば「どうせ暗号化キーなんか出してこないだろう」というGoogleなんかを狙い撃ちにしているだけかもしれんぞ。
これでホイホイ渡しちゃうような企業が出てきたら「入手した暗号化キーで何やってるんだよ!」って国民に追求されるが、断られたのであればそこまで激しく叩かれずに済む。
そして、要求したけど拒否られて、結果的に暗号化キーの入手に失敗している、と報じられれば「なんだ、FBIやNSAはSSL通信の情報を盗めないのか」と皆が安心してSSLを使う。それこそが奴らの狙いなのかもしれない。
#ただの陰謀論
Re:じゃぁSSLは安全なんだ (スコア:1)
公的なCAが鍵を提供
そんな話は誰もしてないようだけど。
CAの秘密鍵ではなく、HTTPSの秘密鍵の話をしてるんじゃない?
Re:じゃぁSSLは安全なんだ (スコア:2, 参考になる)
補足:
*CAの秘密鍵が漏洩した時に発生する事象:
偽物のウエブサイトの構築。
例えば偽物のwww.google.co.jpやwww.microsoft.com
が構築出来ます。
CAの秘密カギは通常CAのみが持つ情報。
*SSLのマスター暗号化キーが漏洩した時に発生する事象:
SSLで暗号化された通信内容の盗聴。
またSSLのマスターキーは全てのhttps対応サーバが
持っている固有の情報。
そのためFBI等はCAに提供を求めてはいない。
サーバの管理者に提供を求めている。
Re:じゃぁSSLは安全なんだ (スコア:2)
*CAの秘密鍵が漏洩した時に発生する事象:
偽物のウエブサイトの構築。
それとリバースプロキシを組み合わせると、本物とまったく見分けのつかないサイトを構築することができて、さらにDNSを誤魔化すことが中間者攻撃が可能です。つまり、盗聴可能になるってことではあります。
Re:じゃぁSSLは安全なんだ (スコア:1)
こういう製品 [bluecoat.com]だとフォワードプロキシでも中間者攻撃ができるので、社外に出て行くSSL通信を全部検閲するなんてことをやっている会社もあるようです。(必要な証明書はActive Directoryとかで配布)
CAの秘密鍵を突っ込んだこれをISPレベルの回線に(透過モードで)仕込むと・・・
Re: (スコア:0)
テログループがペイロードを暗号化してたらもっと意味がなくなる。
テログループが暗号化をしようしていて~、という話をあまり聞かないのはなぜだろう。
Re: (スコア:0)
(FBIやNSAによる)ブラフでなければ、この話題の真に重要なところかもしれんね。