Практически все соединения в современном интернете зашифрованы. Это одна из причин, по которой Россия (как впрочем и все остальные страны мира) начали требовать интернет-компании "приземлять" их сервера на территории этих стран - ведь ситуация, когда американские сервисы и американские спецслужбы все про нас знают, а отечественные спецслужбы нет - не нормальна.
Однако, если компания отказывается "приземляться", остается ее только блокировать. Вот только это бесполезно, потому что если весь мир пользуется ютубом, то и в России продолжат пользоваться ютубом.
Но есть другой путь. На самом деле, РКН вполне может читать весь трафик, даже зашифрованный. И нет, расшифровывать его для этого не придется. Все делается гораздо проще.
Когда вы заходите на сайт youtube.com, youtube.com превращается в IP-адрес - например, 1.2.3.4. Это адрес, на который реально передается трафик. Переводом человеческого адреса в IP-адрес занимаются специальные DNS-сервера.
Далее трафик шифруется на стороне вашего компьютера и расшифровывается в гугле, а потом ответ зашифровывается в гугле и расфровывается у вас. И вроде бы перехватить информацию нельзя.
Но. В России недавно появилась НСДИ - национальная система доменных имен. Это российские DNS-сервера. И эти DNS-сервера могут переводить youtube.com не в 1.2.3.4, а в 5.6.7.8. Это будет сервер, принадлежащий Роскомнадзору.
И далее ваш компьютер будет думать, что соединяется с youtube.com, но на самом деле будет соединяться с Роскомнадзором. Роскомнадзор запишет всю нужную ему информацию, отфильтрует то что надо и уже сам соединиться с настоящим youtube.com. И потом точно так же получит ответ и передаст его вам.
Ну да, те кто хорошо разбирается, может сказать, что браузер забьет тревогу. А почему он забьет тревогу? Потому что есть система сертификатов.
Когда вы заходите на защищенный шифрованием сайт, браузер показывает вам около его адреса замочек. Если вы нажмете на замочек, то увидите надпись "сертификат youtube.com выдан компанией Google.inc. Сертификат действительный". Стоп, погодите. А откуда браузер знает, что сертификат действительный?
А все дело в том, что все сертификаты в интернете выдает определенная группа компаний. Эта группа компаний имеет договоренности с производителями операционных систем. И при установке операционных систем вам в комплекте устанавливаются корневые сертификаты, принадлежащие этой группе компаний. И именно они подтверждают, что сертификат сайта является действительным.
А теперь самое главное. Уже несколько лет как Минцифры создало свой корневой сертификат. Без него, например, не открывается сайт Сбербанка.
И если у вас установлен корневой сертификат Минцифры, то все просто. РКН - это подразделение Минцифры. И оно может получить сертификат на сайт youtube.com на основе этого корневого сертификата Минцифры.
И что это значит для вас?
А это значит что в один прекрасный день вы проснетесь - и обнаружите, что youtube - работает. Без VPN, просто работает.
Вот только если вы попытаетесь открыть канал какого-нибудь иноагента - он почему-то не откроется. А все остальное будет прекрасно работать.
И если вы нажмете на замочек рядом с адресом сайта, то обнаружите, что сертификат youtube.com почему-то выдан Минцифры.
И большинство пользователей это устроит. Ну да, теперь РКН читает весь их трафик - но зато youtube работает!
А меньшинство, которое будет параноить - просто продолжит пользоваться VPN, как и сейчас.
И если вы думаете, что РКН до такого не додумается - то он уже это успешно делает.
Вот появился мессенджер Телега - клон Телеграма. И почему-то в нем работают все звонки и видео. И РКН его почему-то не блокирует. И на Хабре уже разобрали, что в этом мессенджере присутствует корневой сертификат Минцифры и отключены некоторые проверки, связаны с подтверждением сертификатов. Хотя в Телеге это может быть и избыточно - она и так видит все ваши сообщения - но явно зачем-то нужно.
А еще недавно Билайн тестировал "неофициальный" клиент ютуба, который тоже не блокируется.
В общем, такое будущее нашего интернета. Компании будут либо приземляться добровольно, либо их трафик будут читать принудительно.
И да, разумеется, в других странах будет точно так же.
Как пишет Антюр - всем будет хорошо.
Комментарии
Ну читает и читает.
Колос тоже всё читает, некоторое выкладывает потом в виде цитат, что-то в архивы.
Чем РКН хуже Колоса?
Вопрос доверия.
Сегодня читает, завтра информацию у кого сколько денежек под матрасом или кто на кошкодевок дрочит неверным ментам продаст.
А иностранные спецслужбы... Ну узнают допустим в ЦРУ что слесарь-сантехник Иван Петров любит себе пощекотать очко. Шанс что они выйдут на его мать чтобы содрать с нее бабла за помощь в разведении Ивана с нелюбимой невесткой околонулевой.
А что, так можнА было?!
нельзя
Сертификаты MiTM - если они публичные и используются для перехвата пользовательского трафика - выявляются тем же гуглом и немедленно банятся вместе с сертификатами центра сертификации, который допустил такое использование выданных им сертификатов.
как результат, в большинстве браузеров это сразу работать перестанет.
Останется, конечно, браузер Амиго, но то такое...
Не, ну такой цифровой концлагерь меня устраивает.
Спасибо за информацию о Telega! Установил, проверил, всё работает даже лучше, чем старый телеграм. Появилась стена, в которой собираются всё новые сообщения.
Это пока не почистили через сбербанконлайн. Будешь потом следователю про мышефикаты рассказывать.
А в РКН будет сидеть специальный человек который будет определять какое видео можно а какое нельзя?
Это нереализуемо)
Вы не сможете выдрать из ютуба нелегальный контент. Тем более на лету.
Это как смотреть какой-то сайт и при этом не видеть часть контента на сайте потому что он запрещен.
Скрипач не нужен. Он только лишнее топливо жрётСпециально обученный человек уже не нужен...
Решение суда о том кого считать ино-агентом отсылается на сайт с работающим на нем ИИ, для исполнения.
И всё...
Технология стремительно совершенствуется.
***
Сегодня статья была на эту тему:
https://aftershock.news/?q=node/1590998
Норм компромисс. Смирились же мы с колосом, как выше отмечено. Пускай протоколирует.
Интересно КАК и чем это зашифровано.
Кругом заявляют что шифры непробиваемы, но кто проверял?
Надо быть либо математиком либо криптоаналитиком что-б понимать как работают алгоритмы шифрования, можно-ли их взломать, есть-ли там бэкдоры заложенные разработчиками...
То что вы называете шифрованием, ssl трафик, в теории может быть вскрыт. Ключи длинны 256 вскрыли лет 15 назад за неделю группа энтузиастов.
А 256 еще кто-то использует?
Я для своих нужд создаю ключи 4096 через алгоритм Ed25519
Но опять-же, кто даст гарантию что у него нет бэкдора?
> Я для своих нужд создаю ключи 4096 через алгоритм Ed25519
Странно. А разве в Ed25519 можно выбирать произвольную длину ключа?
Нельзя)
Это я перепутал со своими старыми длинными ключами)
Например все гражданские рации с шифрованием, те же кирисаны которые поставляло МО в войска.
Ничего не смущает в этой схеме? В чем смысл сертификата и для чего он выдается, вы знаете?
Сразу же станет понятно, если подобная схема запустится... чтоб не вставили рекламу... да ни в жизть не удержатся. Открываешь свой любимый канал про рыбалку, а оттуда на весь экран реклама вафлябанка.
Спасибо. Интересная статья. Пожалуй закину себе в закладки
Кто-то совсем не читал про варианты взаимодействия Алисы и Боба. Если бы все было так просто, никто бы интернет-банкинг и не запускал, например )
—✀— В России недавно появилась НСДИ - национальная система доменных имен. Это российские DNS-сервера. И эти DNS-сервера могут переводить youtube.com не в 1.2.3.4, а в 5.6.7.8. —✀—
ну не так уж и недавно, но это неважно.
да, эти dns сервера могут переводить имя в другой адрес.
но. вы не обязаны ими пользоваться.
(и вообще, их для другой ситуации создавали: кто-то когда-то решил что нас могут отключить от всемирной dns системы и надо бы иметь свою копию.)
Хм.. а кому фактически принадлежит инфраструктура Google Global Cache и Google Front End? Плюс там же наверняка специфический гугловский софт... РКНу придется этот софт заменить своим?
А не втюхивают ли мне благую весть пользуясь моей безграмотностью?
Именно. Благую и совершенно дикую весть, ибо всё совсем не так.
Не то и не так.
Блин
и ведь никто даже не шелохнулся
Данная технология - называется MiTM - Man-In-The-Middle - широко используется для вскрытия трафика в офисных сетях. Поднимается свой центр сертификации, им выпускается сертификат подчинённого центра сертификации, который устанавливается на пограничном оборудовании, устраивается доверие станций локальному центру сертификации и всё работает. Пограничное оборудование на лету выпускает сертификаты для посещаемых из офиса сайтов, станции доверяют подмене и всё работает. Данная схема широко используется как для блокировки нежелательных в офисе сайтов, так и для проверки на вредоносный контент на этом самом пограничном оборудовании.
Однако, это всё живо только до тех пор, пока центр сертификации выпускает сертификаты с локальным доверием. Если этот центр выпускает сертификат с глобальным доверием, его немедленно банят во всех браузерах (хром/файрфокс/опера/и тд). У Гугла для этого есть специальный реестр,
Так что данная история очень уныла. Особенно она уныла тем, что вы знать не будете, идёт ли трафик госуслуг/банков через систему подмены или нет.
Как то попал на тг Инфобомба, заинтересовало. Видел сообщения, что службы предлагали деньги, кто подскажет владельцев этого тг. То есть, как бы не могли вскрыть. Но после того, как я стал больше там читать, и что-то цитировать на других - канал замерз, встал, перестал обновляться. То есть, вычислили. И могу предположить как. Есть такие операторы телепаты у служб. Александр Глаз 15 лет работал на КГБ, темсамым занимаясь, поиском и считывание , думаю, внедрением и ведением.