Citat:
Ursprungligen postat av al-hemar
det talas ju en del om säkerheten på FB, https och allt det där.
jag läste häromdagen om följande grunka: "Law enforcement appliance subverts SSL"
http://gizmodo.com/5501346/law-enfor...+%28Gizmodo%29
kan någon förklara för mig vad det där är för nåt och varför "law enforcement" ska behöva kunna omvandla SSL, o.s.v? tydligen något säkerhetsföretag som heter "Packet forensic" som har tagit fram den, man kan inte ens läsa om alla deras produkter på hemsidan utan får kontakta dem:
http://www.packetforensics.com/products.safe
Det som det hela handlar om är just avlyssning. De lyssnar av all din trafik som skickas osv.
Men vid HTTPS skickas trafiken krypterad mellan dig och servern du besöker. Det jag just skriver skickas krypterat till Flashbacks server och någon som avlyssnar vad jag skriver ser aldrig det.
Det som myndigheter vill göra är att kunna avlyssna krypterad (ssl) trafik också, det går att göras om de "byter ut" certifikatet du förväntat dig med ett de själva har eller har ett signerat som ej ger en varning. Om du besöker en hemsida som laddar HTTP:// data så kommer Firefox inte anse sidan som säker. Men om en hemsida BARA laddar HTTPS:// data (tex bilder osv) anses den säker och krypterad. Igenom riktlinjerna för SSL så ska inga andra kunna läsa informationen under SSL utan den ska gå direkt till servern. Med avlyssningen dom kör idag märker du aldrig av det på HTTP:// sidor men om dom är efterblivna (vilket de inte är) så kan man märka av det. Men oftast avlyssnar dom trafiken du skickar igenom din internetleverantör som ger myndigheten tillgång till all trafik du skickar till dem. Dom analyserar det då och kan därav "se" vad du gör. De kan inte se vad du gör på en HTTPS:// anslutning dock (om inte krypterings nycklarna är otroligt låga eller md5.. vilket ej stöds längre egentligen..). Flashback i fråga använder sig utav den starkaste krypteringsformen ute just nu, Camellia 256-bit. Men det kommer hela tiden nya som Hellfire finns även WHIRLPOOL, Skein (nya SHA-3 standarden) och SHA-512/384. Oftast krypteras allt som SHA-1 hasher och skickas till servern, servern håller i en nyckel som din webbläsare och servern har kommit överens om och servern kan därav läsa av datan du skickar medans andra som ej har nyckeln kan inte läsa din data. Det funkar även så tillbaka när du får svaret av servern. Av intresse kan vara att NSA (National Security Agency) har skapat SHA-krypterings formen, och därav borde de veta rätt mycket om den.
Du kan även läsa om ett förslag på att myndigheter förfalskar SSL certifikat för att kunna läsa av;
http://www.eff.org/deeplinks/2010/03...ments-fake-ssl
Därav göra en man-in-the-middle attack och få all information du skickar
Det finns också mängder med verktyg för att försöka avlyssna SSL eller hitta sårbarheter. De tänker jag inte ta upp här.
Men att myndigheter skulle kunna spåra dig är möjligt, om Flashback gav ut din IP skulle de veta vem du var direkt, eller om du länkar till t.ex dina egna hemsidor. Men igenom att vara "anonym" på flashback, posta över SSL (HTTPS) och inte outa dig själv klassas som säkert. Du kan ju ställa dig frågan; Hur säker är jag när jag betalar med mitt VISA? Det är mycket farligare att använda sitt VISA än att använda Flashback. VISA bygger också på kryptering, därav brukar korten "skimmas" via fakade paneler, avläsare osv så de får din kod. Ungefär samma sätt fungerar HTTPS här, de måste få tag på din "kod(nyckel)" för att kunna läsa av sessionen. Hoppas du har fått lite ljus i det hela, det är relativt enkelt skrivet och mycket "generelt", man kan gå mycket djupare. Att tillägga är: Så länge de som avlyssnar dig har ett signerat certifikat av en "betrodd" utgivare, kommer du aldrig märka av dom såvida du inte är expert på wireshark eller har stenkoll på din utgående trafik. Men det är överkurs och just du har inget att oroa dig för
Ha de gött!