Vilket skydd innebär HTTPS/SSL mot brottsbekämpande myndigheter?

Säg att det beslutas om hemlig avlyssning av elektronisk kommunikation på en internetuppkoppling. Har t.ex. svenska polisen (eller FBI) tillgång till nycklarna som används för kryptering i HTTPS/SSL? Om ja, förtydliga gärna huruvida de måste begära ut nycklarna i någon slags formell process (typ beslut om husrannsakan) eller om t.ex. NSA:s hackande av olika organisationer ger nycklarna på olovligt vis ibland.

"tillgång till nycklarna?" NEJ.

Med det finns andra sätt att se vad du gjort.
T.ex om/de webbservar som står inom deras "jurisdiction", kan föreläggas att ge ut dina loggar.

Det finns också utrustning/system ("brandväggar") som lägger sig som en proxy mellan dig och servern, och så gott de kan försöker göra det så att du inte ska upptäcka det.
Då fär de alltså tillgång till okrypterad http i proxyn.
Om det förekommer vid utdömd avlyssning av svensk bostad, låter jag vara osagt.

Och det förmodligen 'enklaste'/vanligaste är att installera sin egen trojan på DIN dator.

Så om jag förstår dig rätt så innebär HTTPS/SSL som utgångspunkt ett ganska bra skydd, och det krävs lite arbete för att komma runt det? Är krypteringen i HTTPS/SSL så stark att den inte knäcks? (Det talas ju ibland om att t.ex. mobilnäten har svag kryptering så vore bra att få bekräftat att det inte förhåller sig på samma sätt här).

Vilken skyldighet har ISP:erna att hjälpa till? Har inte kollat så noggrant i lagen om elektronisk kommunikation (LEK) men jag förutsätter att de bara får göra vad som följer av lag och inte kan hjälpa till "lite extra" eller om de "tycker det är rätt". Vanligtvis när det gäller information insamlad genom datalagring så är det just så; den får inte lämnas ut på frivillig basis. Omfattas man inte av LEK, t.ex. Google, Facebook, Apple, Spotify så får man däremot hjälpa till bäst man vill. (Däremot kan de ju vilja följa sina användaravtal, där det ofta står att de bara lämnar ut om de tvingas av domstol eller liknande).

Ang. det fetmarkerade: När det ibland dyker upp en varning i webbläsaren om att anslutningen inte är säker (kanske i kombination med att den man kommunicerar med inte är den som den utger sig för att vara eller hur det nu skulle formuleras) så antar jag att den typen av varning är vad man i bästa fall skulle få om man utsattes för en sådan metod?

Till sist, gjorde inte NSA ett hack som skulle ge tillgång till den organisation som utfärdar något viktigt med avseende på HTTPS/SSL, typ nycklar eller vad det kan tänkas vara? Är inte så insatt i hur det fungerar men någon kanske vet vad jag tänker på.

Tack för svar

Och varför tror du att inte de omfattas av LEK? Mmm. Men när du märker nåt så är det i princip alltid certifikatsslarv av sajtägaren.

Men på typ hotellkedjor/McDonalds/SJ/flygplatser så skulle jag inte nöja mig med https för hemligheter. (Men internetbank kör jag gärna, då mina besparingar är försumbara belopp för dem.)

När jag säger att de inte omfattas av LEK menar jag att de inte driver ett sådant elektroniskt kommunikationsnät som är anmälningspliktigt enligt LEK och därför inte är skyldiga att datalagra. Med andra ord gäller samma regler som för vem som helst; man får hjälpa polisen utan hinder, så som jag och du får (där t.ex. mobiloperatörer och internetoperatörer istället måste följa ordningen i LEK).

Övriga dator- och IT-diskussioner --> Övervakning och integritet
/Moderator

Någon som har mer att tillföra?

https://en.m.wikipedia.org/wiki/RSA_Factoring_Challenge

SSL anses än idag, 40 år efter dess introduktion vara en av de absolut säkraste krypterings / överföringsmetoderna.

Kombineras detta dessutom med authentication / TLS sa......

Att "terminera" TLS om man antingen har nycklar eller rootcert är trivialt. Din IT-tekniker på jobbet har inte möjlighet till det, men myndigheter gör detta på rutin, och underrättelser inom "fourteen eyes" delar med sig av dessa friskt. Jag tänker inte gå in på mer detaljer kring detta även om någon frågar.

För polisen är det säkert, men för SÄPO/FRA, nej, inte det minsta.

Du behöver lära dig nyckelhantering. Läs på om PGP, "chain/circle of trust" och "end-to-end encryption".