Утвержден порядок передачи ключей шифрования ФСБ

Что? Я не понял. Меня могут по этому закону заставить пароль от vpn подключения запросить? Или это только для владельцев серверов?

на магнитном носителе

Кто-то из депутатов купил старый завод, а там оказался цех по производству НГМД?

Правильно, чопиков на вас не напасёшься, одни террористы и наркоманы в ваших интернетах.

Ну так они ж угрохали 4 миллиона на 25-киллограмовый винчестер. Чего бы нет?

Тебя - нет. Только если будешь держать сервер.

Ну хоть что то. Хотя думаю они потом и простых юзеров прижмут.

Не факт. Согласись, как-то странно запрашивать информацию о террористе у самого террориста. Хотя, наши могут все. Их бомбит от того, что есть неподконтрольная им зона, но они не могут понять, что это бесконечная игра, которую невозможно выиграть. Да и, если абстрагироваться от прав на приватность и прочей фигни, можно сказать, что такая стратегия борьбы с терроризмом неэффективна.

Ты недооцениваешь чиновников. Писать на себя доносы - норма.

при использовании протокола HTTPS ключи шифрования хранить нельзя технически.

Ну сделают RussiaHTTPS Cheburator edition, который будет самым безопасным и заботящимся о приватности данных пользователей (путем их сбора и пересылки на хранение в надёжные дата-центры ФСБ) и все дела.

запрашивать информацию о террористе у самого террориста

Наши так могут думаю. А причина проста, суть не в террористах, а в отсутствии контроля государства над интернетом. Вот они и пытаются восполнить этот пробел.

Ну, собственно, про контроль я здесь уже писал. И еще, про неэффективность данной техники борьбы с террором: когда случилось 11 сентября о его исполнителях узнали все (переписку, разговоры), но уже постфактум. Потому что это собиралось в автоматическом режиме и никто это не читал.

Поставил на VPS сервер vpn и сразу будешь обязан...

А еще бабахи во Франции свои теракты обговаривали с помощью смс, обычных причем, не шифровались никак. Такие дела.

Ну а трудно наверно выловить бабахов в рядах психов, которые каждый день такое пишут. И да. Тут уже даже не надо ничего обговаривать, они теперь в поездах овец режут, а те даже не сопротивляются.

при использовании протокола HTTPS ключи шифрования хранить нельзя технически

почему?

при использовании протокола HTTPS ключи шифрования хранить нельзя технически

А что мешает? Пишешь middle-ware между https и кишками, и сохраняешь все, что угодно.

Как думаешь, почему мозилла послала в /dev/null казахов с их сертификатом для MITM?

При чем тут это? Ты думаешь что ФСБ для расшифровки сессии будет использовать браузер МазилаФурефокс с настройками по дефолту?
На сервере, принимающем HTTPS-запросы, какие есть препятствия для сохранения ключей?

Потому что совсем оборзели и страх потеряли. Вот сломают всему руководству Mozilla ноги, они сразу поймут что к чему.

Ясно. Ты просто перепутал слова middle-ware и MitM... Забавный.

Чет я не могу понять - это я ничего не понимаю в асимметричном шифровании или ты? Сервер при отправке трафика клиенту пользуется открытым ключом клиента, а не своим. А клиент использует открытый ключ сервера. +ещё есть сессионные ключи, которые после разрыва соединения по идее бесполезны. Скажем если задача сервера просто перекинуть трафик от одного клиента к другому (а они пользуются ассиметрией) - то он может только сохранить зашифрованный трафик, ключей для расшифровки у него нет.

Поправь меня если не так.

И что в этой схеме мешает серверу сохранять ключи сессий?

можно сказать, что такая стратегия борьбы с терроризмом неэффективна.

А кто вам сказал что ФСБ вообще с терроризмом борятся? Последние их успешные победы это захват 25 ящиков коньяка курвуазье 100летней выдержки и 4 тонны раздавленных бульдозерами яблок из Польши

А еще бабахи во Франции свои теракты обговаривали с помощью смс, обычных причем, не шифровались никак. Такие дела

Да даже старый грушник вышедший на пенсию, давно уже в этих инторнетиках объяснил что бесполезно заниматься перехватом и расшифровой траффика. Потому что условные бабахи ничего не станут писать открытым текстом, а во первых используют свои, национальные языки, переводчиков с которых не напасешься, во вторых используют наречия этих языков, в третьих используют слова-эвфемизмы и подобные методы конспирологии. Так что все что увидит условный майор в переписке этих французских бабахов будет что-то вроде «Вечером будем продавать славянский шкаф»

Насколько я вкуриваю - это сработает только если сработает возобновление соединения, т.е. session id окажется одинаковым. И ЕМНИП с последними версиями TLS такое уже не проканывает, как впрочем и с правильно настроенным сервером.

https://ru.wikipedia.org/wiki/TLS

Ну а трудно наверно выловить бабахов в рядах психов, которые каждый день такое пишут.

Не трудно, если всех расстрпеливать. Пошутил - труп. Планировал - труп.

100% безопасность, разве не она нужна безмозглым гражданам РФ?

Игра на перехват. Расстрелять всех.

Сервер знает открытый ключ клиента, сохраняет его, как и ключи сессии. На сервере лежит закрытый ключ и он сам генерирует открытые ключи для сессии. Весь траффик между сервером и клиентом записан.
Какая разница, какой протокол и сколько миллионов рукопожатий и прочего дерьма встроено в протокол, если все что нужно для расшифровки сессии известно. Пишешь утилиту, которая делает реплей трафика между клиентом и сервером, вставляешь грязные хаки где нужно, и получаешь расшифрованный текст.
Или в TLS есть что-то что не даст это сделать?

Они говорят, что при использовании протокола HTTPS ключи шифрования хранить нельзя технически.

Но ведь можно требовать у всех приватный ключ к сертификату и делать mitm?

Нормальные браузеры (не осёл) на такое как минимум ругаются и не дают подключиться к серверу.

Нормальные браузеры (не осёл) на такое как минимум ругаются и не дают подключиться к серверу.

А как они узнают-то? У ФСБ будет валидный сертификат от сайта, а не самоподписный как в Казахстане.

Тут что? Одни бармалеи и любители цп собрались? Чего боитесь, паникёры?

Какая разница, какой протокол и сколько миллионов рукопожатий и прочего дерьма встроено в протокол, если все что нужно для расшифровки сессии известно. Пишешь утилиту, которая делает реплей трафика между клиентом и сервером, вставляешь грязные хаки где нужно, и получаешь расшифрованный текст.

Или в TLS есть что-то что не даст это сделать?

Ну вот ты владелец https-сервера, ты что сделаешь, если придет такой запрос? Будешь непонятные утилиты писать, после которых все-равно надо регулярно данные отсылать и все-равно у тебя еще не факт, что согласятся такие данные принять или вырубишь этот https ?

Это уже не передача ключей получается, а СОРМ какой-то.

Или в TLS есть что-то что не даст это сделать?

Клиент? Со стороны клиента же передается случайная последовательность для генерации сессионного ключа. Тогда надо бэкдор и на стороне клиента иметь, или вообще подпихивать свой собственный сертификат. Ну или заставить всех ходить только по HTTP.

Запрос направляется заказным письмом с уведомлением о вручении.

По факту это означает, что такую информацию будут требовать только у большого крупняка, хостящегося в РФ. Но потенциально попасть могут все.

Зачем нам закрытый ключ клиента, если все что он присылает, можно расшифровать при помощь нашего закрытого ключа. А то, что мы ему отсылаем, тоже, наверное, можно при помощи нашего закрытого ключа, расшифровать. Хотя тут я не уверен.

Нифига - то что сервер шлёт клиенту может расшифровать только сам клиент своим закрытым ключом (который само собой есть только у него). А зашифровать то что мы ему шлём можно только его открытым ключом.

Не знаю. Я бы сделал HTTP и подключил шифрование на JS. И сохранял бы ключи и отправлял бы в ФСБ, а пользователям говорил бы, что ничего такого не делаю. Ну как Телеграмм короче.

А то, что мы ему отсылаем, тоже, наверное, можно при помощи нашего закрытого ключа, расшифровать. Хотя тут я не уверен.

Я чуть выше, когда писал про утилиту, протупил. В том-то и смысл, что информацию, отсылаемую клиенту, расшифровать можно только закрытым ключом КЛИЕНТА, а не сервера. Иначе говоря, mitm при наличии сертификата сервера учинить можно, сохранять информацию на сервере можно, но постфактум расшифровать весь сохраненный без mitm трафик не получится.

Но я просто не в курсе подробностей TLS, если в сессии далее применяется симметричное шифрование, то тогда можно и расшифровать, если сохранять сессионные ключи.

Вот не в курсе, основной трафик шифруется симметричным алгоримом, на основе сессионных ключей или весь ассиметрично? Иначе все-таки достаточно сохранять сессионные ключи, хотя это тоже маразм.

Тогда имея все ключи кроме закрытого ключа клиента, нам будет не известно только то, что сервер шлет клиенту. Но это не трудно узнать, проанализировав весь трафик сервера. Если это мессенджер, то мы находим с кем общается клиент и смотрим, что он прислал на сервер. А то, что приходит на сервер, мы можем расшифровать, потому что у нас есть его закрытый ключ.

Они это декларируют. Яблоки из Польши? Разве уничтожением не Россельхозянадзор занимается?

Кстати, спор вообще бессмысленный в некотором роде, тем более про какие-то свои утилиты.

Читайте внимательнее:

В запросе указаны формат и адрес предоставления информации для декодирования.

То есть, ЧТО потребуют, ТО и обязан будешь передавать.

Ну а самое важное положение даже не это

Как вариант, можно согласовать с ФСБ доступ специалистов к информации для декодирования.

То есть, на практике это означает, что придут специалисты и скажут чего и как нужно установить у себя и сколько и кому ты должен заплатить за это. Да-да, попахивает сормом для сервера.

Безопасность нужна всем и не только гражданам РФ. Расстреливать никто никого пока не будет. Не то время и элита. А безмозглые люди недостойны титула гражданина страны. И наверно безопасность дело не только государства, но и всего общества. К примеру, граждане ЕС, думаю, легко могли бы обезвредить нападавших на них в поездах психопатов и тогда жертв было бы меньше. Но такие действия требуют ответственности и готовности.

Будь в ЕС разрешено ношение оружия для белых - могли бы.

Ну вот и приехал Чебурашка.

Они это декларируют.

Яблоки декларируют? Непонятно о чем

Яблоки из Польши?

стоит ввести в поисковик и получаем

не Россельхозянадзор занимается?

Конечно РСХН, под контролем той же фсб. Отвлекают от грандиозной задачи борьбы, паимаишь

А кто вам сказал что ФСБ вообще с терроризмом борятся?\

У нас нет такого размаха терроризма, как в цивилизованных странах. ФСБ и МВД регулярно мочат в сортире зверьков-аллахбабахов.

ассиметричная криптография используется только для аутентификации и установления сеанса, в процессе работы генерируются сеансовые ключи для симметричного шифрования, вот их и можно сохранить

хотя собственно нахрена это всё делать, если сервер как конечная точка соединения и так имеет доступ к открытым данным и может писать сразу их, а не ключи TLS сессий

Вроде бы частных лиц это требование не касается.