Доля зашифрованного трафика в общем объёме передаваемых и принимаемых данных постоянно увеличивается. Усиленная защита пользовательских сообщений становится стандартом для мессенджеров, растёт число интернет-ресурсов, гиперссылка у которых начинается с "https", пользуются популярностью VPN-подключения - всё это усложняет или делает невозможным анализ информации в трафике, который необходимо будет сохранять в соответствии с законом.
в феврале 2016 года, доля шифрованного трафика оценивалась в 15%
https://rg.ru/2016/02/17/zharov-absoliutnaia-svoboda-predpolagaet-absoli...
" В прошлом году в нашей стране было порядка 15 процентов шифрованного трафика. В этом году, я думаю, будет уже больше 20 процентов"
апрель 2016
http://www.rbc.ru/technology_and_media/19/04/2016/57163a459a79472b3512770d
"В Рунете объем шифрованного трафика составляет, по разным оценкам, от 30 до 50%, большая его часть приходится на протокол HTTPS, говорит главный аналитик РАЭК Карен Казарян. Эксперты Google сообщали, что доля шифрованного трафика в сервисах корпорации в среднем превышает 75% в мире, 81% — в России. У «Ростелекома» около 50% шифрованного трафика, говорит представитель оператора."
февраль 2017
http://www.vedomosti.ru/newspaper/articles/2017/02/16/678086-yarovoi-kly...
"Авторы документа ссылаются на подсчеты рабочей группы экспертного совета при правительстве: те указывают, что сейчас объем шифрованного трафика в сетях операторов составляет 49%, но уже через три года его доля в сетях операторов может достичь 90%. В то же время технология, позволяющая расшифровывать трафик, отсутствует"
По оценкам операторов шифрованный трафик уже превысли 60%.
Основной вклад сделали гугл и другие производетели браузеров. Нешифрованные сайты опускаются в поисковой выдаче. Браузеры в ближайшем будущем будут выводить предупреждения что "сайт небезопасен".
"Пару месяцев назад Google решила перевести весь интернет на HTTPS, стимулируя пользователей браузера Chrome посещать только HTTPS сайты.
Сейчас начался первый этап — пометка сайтов с https как безопасные.
Что там будет дальше?
Следующий этап стимулирования перехода на https намечен на конец января — в Google Chrome 56 версии. Тут уже будет однозначно сообщаться, что сайт не безопасен."
https://habrahabr.ru/post/319084/
на фоне этого смешно смотрятся предложения перенести исполнение "закона яровой" на 2023 год
http://nag.ru/news/newsline/29685/predlojeno-perenesti-s-2018-goda-na-20...
Следовательно, "избыточным трафиком" можно считать не только видеоконтент, доля которого в общем трафике весьма значительна, но и ту часть шифрованного трафика, которая будет недоступна для дешифрования. Исходя из технологических ограничений (невозможность расшифровки всего трафика) и с учётом финансовых затрат, которые также ограничены, получается, что объём "полезной" для спецслужб будет только часть общей информации.
Комментарии
люди в погонах могут себе позволить атаку man-in-the-middle и даже протолкнуть в законе обязательное исполнение таковой
технически нереализуемо. браузер будет ругаться. преступники увидят предупреждение
ругаться на что? на подписанный государственный сертификат? выходов из страны на пересчет, а каждый джихадист таскающий с собой спутниковую антену на передаче сам себе злобный буратино
а вы попробуйте :) посмотрим как быстро этот сертификат попадет в бан
прежде придется отправить в бан УК РФ
китайские сертификаты отправили в бан. почему российские не отправят?
1) Атака man-in-the-middle для https легко блокируется, если грамотно настроена безопасность.
2) Шифрованный трафик - серьёзная проблема для спецслужб, особенно если он нестандартный или с длинным приватным ключом(я работал с тупой симметричной "ксоркой"(проверка crc256)и ключом в 16Мбайт - расшифровать нереально, даже если у тебя будет мощность всех компьютеров на земном шаре).
3) https трафик еще очень сложно блокировать по url, что мешает провайдерам блокировать некоторую часть ресурсов(Зайдите сюда и сами посмотрите какие!) на больших публичных порталах.
Технически не смогут, да. Законодательно запретят анонимайзеры + обяжут установить сертификат ФСБ. Вот отличная теханалитика - невеликий русский файрволл.
что не возможно загнул - слишком простой алгоритм да дорого, но не невозможно......
вот в случае того же AES 1024 уже маловато будет да и RSA.......
Какое дело гуглу или другим разработчикам браузеров до ук рф?
Ругаться на скомпрометированный сертификат. Гуглите опыт таких "нововведений" в Казахстане.
Хочешь посмотреть на сайт - поставь браузер с госсертификатом. Толку-то с того, что браузер ругается...
Вам в Казахстан надо. Или Иран. Там такое уже в ходу.
Там, где я, такое в ходу было раньше, чем в означеных странах.
В США есть обязательные госсертификаты?
В смысле? У правительства США есть много возможностей узнать содержимое передаваемой информации.
Все CA подотчётны. Имея ключ CA, можно расшифровать любой пререхваченный https трафик сайта с сертификатом от этого CA. Был вот в Израиле, коотрый непонятно: подотчётен ли был, так его поймали "за изнасилованием негроафриканской горничной" - и вычеркнули из списков.
Разработка алгоритмов, используемых в https, - под контролем. Не задумывались, почему все алгоритмы шифрования Windows XP, которая, вроде как не очень древняя, и всех её сервиспаков - уже скомпрометированы, и их не принимает ни один современный https сайт? При этом старый алгоритм ГОСТ, которому уже много десятков лет, стоит как глыба. Это примерно как у политика, на которого нет хорошего компромата в надёжном шкафу, - шансов никаких.
В былые времена сильные алгоритмы шифрования нельзя было экспортировать из США. А потом, раз - и стало можно. Но с ограничениями: только после сертификации, без исходников, и без возможности подключать внешние алгоритмы. Этого тоже достаточно.
Операционка, на которой Вы работаете, запакована - где? А обновления к ней? Давайте Вам сделаем персональное обновление, имени MD295-MD32?
Ключи ваши для https-сервера где хранятся? В Циске? В F5? На операционке сервера в датацентре? Ну-ну.
Не говоря уже о том, что есть национальная Key Recovery Program, которая тупо требует сдавать копии ключей на хранение всем больше определённого размера.
Да, корпорации с США следят за https своих сотрудников "по казахскому методу". И никаких майданомаршей на этот счёт, знаете ли, не подымается.
Все CA подотчётны. Имея ключ CA, можно расшифровать любой пререхваченный https трафик сайта с сертификатом от этого CA
Нет, нельзя. Можно только отозвать, но в расшифровке это не поможет
Всё можно.
Имея ключ СА, которому клиент доверяет, можно, находясь на пути, представится клиенту тем сервером, на который клиент заходит. И классический main-in-the-middle.
Подробнее можно? Я что-то не в курсе.
https://habrahabr.ru/post/303736/
Про это читал, да и только. По факту - только ТОР выпилили. Больше ничего такого не замечено, да и не реализуемо. А ТОР жаль. Были интересные ресурсы.
Каждое 100% шифрованное соединение может быть расшифровано, 100%.
Так что всё будет работать. Точнее - уже работает.
Вопрос в ресурсозатратах. Ну будете вы мессенждер террориста расшифровывать на кластере пол года. Он взорвется раньше. Для этого и придумано ассимитричное шифрование.
Зачем расшифровывать, когда вполне достаточно следить за пациентом? Ресурсов точно надо меньше.
Никто не отменял закладки и хаки программ и девайсов. Что тоже требует меньше затрат.
А оупое дешифрование всего да еще и онлайн - согласен, тупое занятие. Опять же, лежит оно себе там, зашифрованное, ждет когда НУЖНО будет его дешифровать. Тут главное - записать все ходы.
вот когда станет "надо", на пол года зарядим кластер и расшифруем. согласен.
А вот и нет, если ключ шифрования равен длине сообщения, то дешифрация невозможна в принципе, ну или любое сообщение данной длинны может служить расшифровкой
Смешно. Я могу поспорить, что Вы не расшифруете даже сообщение в 256 бит.
Сделают государственный корневой сертификат и обязуют ставить на компы, иначе вообще https работать не будет. Будет классическая реализация хакерской атаки MITM. Вопрос в том, пойдут ли на это? В большом корпоративном секторе подобное давно уже реализовано для сотрудников
+ вот и я о том же толкую
фригейт и прочий тор сегодня стоит у каждого 3го пользователя :) спасибо за забанный рутрекер :)
наклепать законов об ответственности за установленный тор - ума много не надо, а о своем присутствии он сам свистит
Старшие товарищи говорят, что главный вопрос сыска во все времена - кто, где и когда. Без ответа на эти вопросы даже прослушка телефона смысла не имеет, ибо - ресурсы.
А запрещение тора - занятие бессмысленное, никакое законодательство за скоростью изменения технологий передачи данных не угонится.
Решение лежит в другой плоскости.
Даже упоминание тора как средства обхода блокировок собирались объявить вне закона, а Вы говорите не та плоскость
Так всегда бывает, когда некомпетентным сотрудникам поручают серьёзную задачу.
Зачастую обход блокировки сайта достигается двумя командами. В Линуксе. Фригей мне, например, вчера не помог посмотреть теорию большого взрыва на куражбамбей.
Однако это несколько разные задачи - узнать, что ты передавал и запретить тебе куда-то ходить
как далеки креакаклы от народа. Да...
У нас с точностью до наоборот. Тор не работает, а рутракер- пашет.
Это в Казахстане уже пробовали. Почему-то наткнулись на непонимание со стороны браузеров. Еще есть проблема с устройствами, которые не позволяют устанавливать произвольный корневой сертификат, они превращаются в тыкву. Ну и вся платежная информация при этом естественно компрометируется.
Так что надеемся, что наш взбесившийся принтер до такого не дойдет.
Каким образом владение корневым сертификатом позволяет декодировать пакеты, закрытые подписанным сертификатом?
Можно увидеть ссылку на какое-нибудь описание технологии?
все бы хорошо но вот график убивающая идею на корню:
И это ТОЛЬКО IX - не влючая Внутренний обмен провайдеров а там счет на 10-ки если не на Сотни ТБит/сек
Ресурсов на расшифровку через MITM надо будет не меньше чем на макисмум по проекту Яровой
У https есть затраты на установление соединения. Пакет уже установленного соединения расшифровывается легкой операцией, сравнимой по нагрузке с маршрутизацией пакета.Так что писать без особой разницы: что http, что https.
нуда а считать Хеш и зашифровывать расшифровывать трафик не надо оно само магический конвертится...... тов. если не вкурсах как оно на низком уровне работает лучше изучайте....
Не говорите глупостей. После установки SSL сессии обе стороны имеют shared secret, и вся шифровка-расшифровка идёт безо всяких тормозных "считать Хэш", а проводится быстрыми симметричными алгортимами.
дык вот когда ты атакуешь одну машину или хост нагрузки не очень заметны когда Хостов тысячи, а в проекте предпологаются миллионы..... то даже Легкие алгоритмы начинают "тяжелеть"
Затраты на симметричное шифрование сравнимы по нагрузке с затратами на маршрутизацию пакета. В переводе на понятный, вычислительные мощности для такого уже стоят в нужных местах.
стоять то они может и стоят. но чтоб они еще и MiM обрабатывали, их надо удвоить. они же там не в холостую стоят.
Не сделают, т.к. это автоматически приведет к тому, что владелец этого сертификата (см. недавние уголовные дела с сотрудниками центра компьютерной безопасности ФСБ РФ) будет иметь возможность влиять, например, на банковские транзакции. Грубо говоря, это почти то же самое, как и простой запрет HTTPS в пользу HTTP.
Оно и сейчас так. У правительства страны, где банк, есть возможность не просто откатить банковскую транзакцию, но даже заблокировать счёт целиком, "до выяснения" и конфисковать средства на нём.
То правительство, а то будет вообще какой-нибудь "shaltai-boltai" с доступом к ресурсам ФСБ.
Что для Вас "то правительство", для меня - "это". Разница разве что в том, вместо "шалтай-болтай" тут "рамеш-кулеш". В переводе - примерно то же самое.
Страницы