淘客熙熙

主题:我所了解的中国“棱镜”情况 -- 汴梁牛二

共:💬146 🌺1539 🌵8
分页树展主题 · 全看首页 上页
/ 10
下页 末页
    • 家园 补充一下

      “也许他们攻破了MD5或者SHA-1”

      SSL协议采用非对称算法交换通讯密钥,哈希算法是用来完整性保护和机密性无关;政府一级的中间人攻击可以非常简单,使用电信运营商的proxy和ns即可。

      具体来说,政府可以在自己proxy上放置google的假证书,因为用户的浏览器其实也就是去默认的CA验证证书的真假,而CA的寻址是通过NS服务器的,只需要改变DNS解析到政府伪造的CA,浏览器端就会验证为google的证书无误;然后,proxy再替代用户去和google交互就完成了整个中间人攻击。

      上述实现起来其实很简单,如果你共享一个免费的wifi信号出去,在自己的网络里面照着做一次,也可以把所有逞你网的小白的信息一览无遗。所以,去咖啡馆那些什么的,接入wifi后最好自己再拨一次VPN。

      SKYPE一开始,其实美国政府也很头痛。FCC曾经对其发出最后通牒,限期提供可以被监控的技术途径。所以,比流氓美国政府一点都不差。

      从技术对比来讲,我们实在处于太大的劣势,从芯片、操作系统、网络全是别人的,现在能做的只能是先用我们信得过的设备把边界守起来,再慢慢替换。

      • 家园 这个不对

        "而CA的寻址是通过NS服务器的,只需要改变DNS解析到政府伪造的CA,浏览器端就会验证为google的证书无误"

        NO, CA是你的OS或者browser预加载的。而且Chrome现在有pinning,你就算从一个真正的CA那里设法拿到一个gmail的证书也没用

        • 家园 是的,CA的根证书是预设的;但靠DNS不能搞定

          但是,CA是可以再安装的,而通常普通人在使用电脑的时候,都CA根证书的安装很少仔细去看是装了神马。

          现在网银、国内预装的操作系统,甚至是一些商业软件,都可以成为植入政府证书的途径。

          实际中,很多企业都对员工的上网行为进行记录,其中包括SSL数据;使用的方法就是,在企业的终端上增加一个预制的CA根证书(企业通常可以直接通过AD域推送),让浏览器信任企业自签发的证书,再在监听网关上安装一个企业自签发的证书。而实际这一块的问题是,SSL加解密非常消耗性能,如果这样做必须配置昂贵的硬件加解密设备,所以企业中采用的较少。但是,政府在这块的经费应该不是问题。

          另外,SSL协议本身是足够安全的,现在可以采用中间人的是针对其只认证服务器端的模式,对于客户端和服务器双方都必须进行身份验证的模式,几乎无法进行攻击。所以,带证书客户端的VPN是足够可信任的。

      • 家园 伪造CA不行吧,这是预置在浏览器里面的

        但是国家层面,应该可以强制要求国内的证书颁发单位认可这个中间人攻击。我怀疑美国政府也会要求Verisign这么干。

    • 家园 真的吗

      真的吗??那就什么都不安全了。

    • 家园 建议哥么到钓鱼岛上去揭露中国棱镜项目:)
    • 家园 说到底,美国利用IT技术的垄断地位

      来监控全球的信息,随着大数据技术的发展,无论是针对特定人群、社团、思潮,......,一切原来物理社会难以监控的活动,现在通过虚拟世界能够发现、跟踪、分析、干扰乃至控制。这就是默克尔也要急的原因,要么你别监控,要么监控的原始信息大家共享。

    • 家园 补充几句:关于电话、传真、数据通讯的监听

      电话监听自自贝尔发明电话之时就有了。土八路在军用电话线加挂一个话机,就能监听日军的通讯。军统、中统这样的机构都对监听电话很在行,不要说TG的社会部以及总参下属某部了,小儿科。解放战争中,陈赓本人百忙之余就经常很休闲地亲自监听国军的无线通讯。

      90年代模拟电话变成程控电话之后,国内设备商自从有了开发程控电话交换机的能力,也就有了自动全面监听通过网络交换的通话的能力。现在监控不仅廉价、成熟,更是智能化了。可以把某些敏感号码的全部通话自动录成MP3格式存储起来,可以全面分析语音通话中敏感词(比如您突然说了一句“李老师托我带了一本书”,鬼知道计算机会如何识别解析这句话),还可以根据号码之间的通话记录,自动计算分析其中的关系以增加监听号码。存储的语音信息自然是海量的。

      手机语音通讯,除非专门加密,比有线更容易监听。可以在网络交换侧监听,可以监听同一个蜂窝小区的无线信号,可以监听传输(含光缆)及信号接口(比如如果中移动在南沙设了一个GSM基站,用Abis口联系卫星,美国可以轻松截获通过A口与卫星的通讯获知我海军陆战队士兵与家人的通话)。不仅强力部门可以监听你,你的商业竞争对手以及关系不睦的同事也可以监听你,您基本是裸奔。

      不过上述裸奔是被动裸奔。假如您用了苹果iphone,又开通了手机的无线数据服务,那您是主动在苹果面前裸奔。当然裸奔的人多了,光屁股看花眼了,就不叫侵犯隐私,而叫datamining了。苹果很善意地分析一下众多屁股蛋数据的差异、关联性并分析您扭屁股姿势的可预测性。

      传真是很落后的机器,需要实现信号的同步才能传输模拟图像。老式的传真机有时未放到接收传真状态,对方就要电话打过来,要求“给个信号”。然后你一按接收键,传真机稀里哗啦一阵乱叫,这其实就是解决信号的同步问题。但恰恰这个信号经常是手动给出的模拟信号,同步问题成了大问题,国内的传真监听比交换机监听晚解决好几年。不过现在已完全没有技术问题。您的传真不管模拟的数码的,会丝毫不差地自动存储到监听系统的硬盘上。

      真正比较难监听的是数据通讯。问题就在于楼主提到的,数据通讯是数据分散打包。这个问题楼主已经讲得很详尽,本人就不赘述了。不过,在这里强调一点,对FACEBOOK\apple的主动裸奔,然后加上上述厂商对美国政府的半推半就、投怀送抱,省了美国政府多少事、多少经费啊。中国的大小贪官们,只要在海外有账户(哪怕是用开曼匿名公司在瑞士银行开的离岸账户),手机及网上有活动,美国政府会把他们了解得门清的。有些人说中国的贪污犯胃口太大,美国根本没有那么多钱把他们收买过来。其实错了,很多人根本不用收买,只要拿出贪腐证据恐吓一下,就被策反了。所谓的微博反腐--其实就是纵容公知们打一些倒霉的小苍蝇如“表叔”之流,真正的大鱼是要CIA登门拜访的。

      中国有世界最大的防火墙(GFW),但中国的网络绝不是公知们污蔑的所谓的中华大局域网。至少物理上中国的网络和互联网是有很多大型接口的。真正保密的网络,是物理上断绝关系的独立网络。比如我国军方全国的光纤网络,是和民用网络可以物理断绝关联的。核武、防空、军事科研,都是有物理完全隔绝的网络的。据说美帝在开发非常科幻的技术,可以介入物理隔绝的网络。这个我真不懂,如果连我都懂了,就不叫科幻技术了。

      就扯到这里吧。

      通宝推:Leono1,五角星帽子,foureyes,半江瑟瑟半江红,迷途笨狼,
分页树展主题 · 全看首页 上页
/ 10
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河