The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

23.07.2017 19:16  Дебаты вокруг TLS 1.3 и совершенной прямой секретности

В настоящее время завершается процесс стандартизации TLS (Transport Layer Security) версии 1.3. В рамках новой версии, среди прочих изменений, предполагается полный отказ от методов шифрования (cyphersuites), не поддерживающих совершенную прямую секретность (PFS, Perfect Forward Secrecy).

Свойство совершенной прямой секретности гарантирует, что при утечке долговременных ключей не удастся расшифровать ранее зашифрованные сообщения. Очевидно, использование методов шифрования с этим свойством привлекательно для конечных пользователей. Однако это свойство создаёт проблемы при использовании в корпоративной среде: становится невозможным анализ проходящего трафика даже при наличии и потребности в таковом (например, для детектирования проблемных узлов). В связи с этим ряд крупных сетевых операторов всё настойчивее просит соответствующую рабочую группу IETF о том, чтобы не отказываться полностью от методов шифрования без поддержки совершенной прямой секретности.

Следует отметить что речь идёт именно о тех случаях, когда перехват трафика используется не для компрометации пользователей (для слежения за ними), а для обеспечения отказоустойчивости сетевых сервисов. На данный момент доминируют три точки зрения на вопрос:

  • Отказ от совершенной прямой секретности недопустим, так как ущемляет интересы пользователей и может использоваться во вред им.
  • В то время как для ряда задач совершенная прямая секретность важна и даже необходима, она не требуется всегда и везде. В то же время чрезмерное усложнение жизни для сетевых операторов может привести к естественному избеганию нового стандарта, от чего как раз пострадают пользователи. Здесь можно вспомнить IPv6, который до сих пор медленно внедряется из-за целого ряда ошибок.
  • Интернет — для пользователей, а не для сетевых операторов, и если интересы первых идут вразрез с интересами вторых, то это не проблема пользователей. Пусть сетевые операторы предлагают решения (в качестве варианта рассматривается, например, использование постоянных параметров для алгоритма Диффи-Хелмана).


  1. Главная ссылка к новости (https://www.cs.uic.edu/~s/musi...)
  2. OpenNews: Первый выпуск новой SSL/TLS-библиотеки BearSSL
  3. OpenNews: В Firefox 52 планируют по умолчанию включить поддержку TLS 1.3
  4. OpenNews: В Chrome добавлены средства шифрования, стойкие к подбору на квантовом компьютере
Автор новости: Вадим Жуков
Тип: Тема для размышления
Ключевые слова: tls, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, jOKer (ok), 21:52, 23/07/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +18 +/
    Ну, я бы сказал, что телега не должна быть впереди лошади, - интересы пользователей Сети важнее всего.
     
     
  • 2.8, qsdg (ok), 22:18, 23/07/2017 [^] [ответить]    [к модератору]
  • –25 +/
    Интересы тех, кто платит -- важнее. Так было и будет всегда, и это правильно.
     
     
  • 3.9, Олег (??), 22:27, 23/07/2017 [^] [ответить]    [к модератору]
  • +34 +/
    Надеюсь в суде к вам всегда такое же правило будут применять, а не смотреть на конституцию..
     
     
  • 4.18, arrnorets (ok), 00:21, 24/07/2017 [^] [ответить]     [к модератору]
  • –6 +/
    Странная аналогия При чем тут суд, когда речь идет о новой версии стандарта TLS... весь текст скрыт [показать]
     
     
  • 5.41, ананим.orig (?), 09:08, 24/07/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    > Интернет давно стал объектом коммерции

    внутренние органы тоже. И?

     
     
  • 6.66, arrnorets (ok), 20:53, 24/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Засада в том, что для внутренних органов это процесс абнормальный, а для Интерне... весь текст скрыт [показать]
     
     
  • 7.91, Аноним (-), 17:51, 31/07/2017 [^] [ответить]     [к модератору]  
  • +/
    идеализм - хорошо, но обслуживание интересов богатых в ущерб остальным развито н... весь текст скрыт [показать]
     
  • 5.55, X4asd (ok), 12:20, 24/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > не учитывать мнение тех, чьи финансовые вливания составляют значительный процент от общего оборота, просто не получится

    почему?

    почему это не получится? :-D

     
     
  • 6.67, arrnorets (ok), 20:58, 24/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Потому Смирись Либо донать ... весь текст скрыт [показать]
     
  • 3.12, Аноним (-), 23:17, 23/07/2017 [^] [ответить]    [к модератору]  
  • +23 +/
    Так платят-то как раз пользователи. Операторам.
     
  • 3.42, Андрей (??), 09:18, 24/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Оно не правильно. Но так оно и есть...
     
  • 3.43, Аноним (-), 09:51, 24/07/2017 [^] [ответить]    [к модератору]  
  • +/
    А за чей счет банкет? Юзеры и платят провайдерам.
     
  • 3.68, Аноним (-), 21:29, 24/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Ну а платит пользователь. так что, мимо.

    ЗЫ: третий вариант. Запилите тесты с постоянным шифврованием и тестируйте себе...

     
  • 2.49, all_glory_to_the_hypnotoad (ok), 10:42, 24/07/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    т е это ты так пользователей причислил к классу кобыл Ну в принципе оно так и ... весь текст скрыт [показать]
     
  • 2.56, А (??), 12:52, 24/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Кому важнее?
     
  • 1.2, Аноним (-), 21:55, 23/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А как на счет постквантового легковесного шифрования?
     
     
  • 2.4, Аноним (-), 21:58, 23/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Нужен гибриный. Квантовое ломают на классическом, классическое на квантовом.
     
     
  • 3.11, bircoph (ok), 23:02, 23/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Недоработанное квантовое можно сломать на классическом. Нормально проработанное нельзя. Тот же Нью-Рено хендшейк уже вполне неплох.
     
  • 3.92, Аноним (-), 17:55, 31/07/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    уже есть гугл использует экспериментальный хэндшейк с 25519 rlwp, ключи - от об... весь текст скрыт [показать]
     
  • 1.3, Аноним (-), 21:57, 23/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Лобби бесполезно, трафик не должен быть проанализирован или расшифрован.
     
     
  • 2.58, Аноним (-), 14:16, 24/07/2017 [^] [ответить]    [к модератору]  
  • –7 +/
    Попытка сокрытия информации - нарушение базового, основополагающего принципа свободы информации.
     
     
  • 3.93, Аноним (-), 18:27, 31/07/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    ты почему-то тоже написал что ты аноним, вместо того чтобы написать свой инн маб... весь текст скрыт [показать]
     
  • 1.5, User (??), 22:00, 23/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Совершенная секретность с упреждением!!! грамотеи, штоб вас!
     
     
  • 2.6, Аноним (-), 22:05, 23/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Совершенная прямая секретность - общепринятый перевод термина Perfect forward secrecy.
    https://ru.wikipedia.org/wiki/Perfect_forward_secrecy
     
     
  • 3.40, Аноним (-), 08:38, 24/07/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Текст в википедии не делает его «общепринятым»
     
     
  • 4.52, X4asd (ok), 11:47, 24/07/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    > Текст в википедии не делает его «общепринятым»

    да. всё наоборот -- общеприятная терминология описывается в Википедии

     
     
  • 5.65, Moomintroll (ok), 17:42, 24/07/2017 [^] [ответить]     [к модератору]  
  • +/
    К сожалению, так и есть 8212 https ru wikipedia org wiki Силиконовая_долина... весь текст скрыт [показать]
     
  • 2.81, t28 (?), 09:43, 25/07/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    Ага Читаешь такое 171 совершенную прямую секретность 187 , и глаза вытекают... весь текст скрыт [показать]
     
     
  • 3.95, www2 (ok), 17:18, 02/08/2017 [^] [ответить]     [к модератору]  
  • +/
    Приведите свои, правильные варианты перевода из коробки и бесшовный У слов ... весь текст скрыт [показать]
     
  • 2.82, Аноним (-), 12:48, 25/07/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Простите, я с момента знакомства с этим термином знал только английское написани... весь текст скрыт [показать]
     
  • 1.7, Аноним (-), 22:06, 23/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +7 +/
    о каких операторах речь? зачем им влазить в tls ?
     
     
  • 2.32, tensor (?), 05:14, 24/07/2017 [^] [ответить]    [к модератору]  
  • +10 +/
    В копроративной среде очень любят DLP, в провайдерской - DPI.
    Зачем? Чтобы иметь болт под каждую хитрую задницу с резьбой.
    А далее - уже знакомые отмазки вроде борьбы с террором, помощи следствию или борьбы с утечками коммерческой тайны.
     
     
  • 3.53, X4asd (ok), 11:50, 24/07/2017 [^] [ответить]    [к модератору]  
  • +7 +/
    > В копроративной среде очень любят DLP, в провайдерской - DPI.
    > Зачем? Чтобы иметь болт под каждую хитрую задницу с резьбой.
    > А далее - уже знакомые отмазки вроде борьбы с террором, помощи следствию
    > или борьбы с утечками коммерческой тайны.

    пусть сделают отдельный свой потокол Clown-TLS и свои отдельные clowntls-web-клиенты и сервера/сайты на нём -- и сидят себе радуются жизни внутри своего корпоративного сектора. вот там пусть и вставляют друг другу болты в зад или что они там любят делать..

    зачем они хотят насcрать в наш НЕкорпоративный TLS?

     
  • 3.69, Аноним (-), 21:31, 24/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Все, что зашифровано неправильно будут блочить, и нет проблем Почта корпоративн... весь текст скрыт [показать]
     
  • 1.13, th3m3 (ok), 23:21, 23/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Безопасность важнее всего. Чем лучше шифрование, тем довольнее пользователи.
     
  • 1.14, bircoph (ok), 23:48, 23/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    Сразу любители MITM повылазили. Всех бы их на заметку и в расход.
     
     
  • 2.35, Аноним (-), 07:33, 24/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > на заметку

    Да запросто. Половина провайдеров страдает этим для блокировки неугодных интернет-ресурсов.

    > и в расход

    А вот с этим сложнее...

     
     
  • 3.73, Аноним (-), 00:23, 25/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > Половина провайдеров страдает этим

    Пруф?

     
  • 1.15, L29Ah (ok), 23:48, 23/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Как мне снифать мой браузер и прочий гoвнософт с PFS? В GNU/Linux ещё понятно, можно LD_PRELOADнуть костыль для конкретной TLS-библиотеки, а в каком-нибудь б-гомерзком задроиде или шиндовс вообще не ясно чо делать.
     
     
  • 2.17, h31 (ok), 00:12, 24/07/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    man SSLKEYLOGFILE.
     
     
  • 3.23, Аноним (-), 02:32, 24/07/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    А менюшка или GUI есть?
     
  • 3.90, анон (?), 15:32, 28/07/2017 [^] [ответить]     [к модератору]  
  • +/
    в 99 9 случае приложухи которые используют nss и или которым не покласть на эту... весь текст скрыт [показать]
     
  • 2.19, Аноним (-), 00:48, 24/07/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    >а в каком-нибудь б-гомерзком задроиде или шиндовс вообще не ясно чо делать.

    Встраивать дллки в шиндошс запрещает только религия.

     
     
  • 3.20, Аноним (-), 01:05, 24/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Покласть рядом. DLL не может. :D
     
  • 2.22, Elhana (ok), 01:11, 24/07/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Если в софт не вшит свой сертификат, то MITM не составит труда сделать и без LD_PRELOAD, как это PacketCapture делает - добавляет свой сертификат и устраивает MITM через VPNService даже без рута
     
  • 1.16, Аноним (-), 23:49, 23/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    а как работает это самое обеспечение отказоустойчивости?
     
     
  • 2.21, Аноним (-), 01:09, 24/07/2017 [^] [ответить]     [к модератору]  
  • –3 +/
    Там в оригинальном тексте есть пояснения Вкратце 8212 речь идёт о системах а... весь текст скрыт [показать]
     
     
  • 3.24, Аноним (-), 02:43, 24/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Метаданные должны идти по разрешению клиента при нажатии кнопочки "Разрешить". Операторы идут в пень.
     
     
  • 4.57, А (??), 12:55, 24/07/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    > Метаданные должны идти по разрешению клиента при нажатии кнопочки "Разрешить".

    Кому должны? Вы свои хотелки не путайте с хотелкам провайдеров.

     
     
  • 5.60, Аноним (-), 16:01, 24/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > Вы свои хотелки не путайте с хотелкам провайдеров.

    А у провайдеров вообще не должно быть никаких хотелок. Они живут за счёт пользователей и должны работать в интересах пользователей.

     
  • 4.62, Аноним (-), 16:49, 24/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > Метаданные должны идти по разрешению клиента при нажатии кнопочки "Разрешить". Операторы
    > идут в пень.

    Вот тут вы вообще не поняли, о чём речь, похоже.

     
  • 3.27, Аноним (-), 02:44, 24/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > отслеживают аномалии и просто проблемы, позволяя купировать проблемы в зародыше

    Вы слишком много на себя берете, вам достаточно утилизировать порт клиента.

     
     
  • 4.63, Аноним (-), 16:54, 24/07/2017 [^] [ответить]     [к модератору]  
  • –4 +/
    Вы все сговорились, что ли, что так массово тупите и невнимательно читаете Речь... весь текст скрыт [показать]
     
     
  • 5.74, Аноним (-), 00:26, 25/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Чтобы что-то оттуда получить, надо иметь соответствующую бумажку А их мечта 8... весь текст скрыт [показать]
     
     
  • 6.83, Аноним (-), 12:50, 25/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Так прочтите же, наконец, новость, и осознайте, что об этих дядях и тётях речи н... весь текст скрыт [показать]
     
  • 3.54, X4asd (ok), 12:01, 24/07/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    а когда gmail запретит передавать электронную почту в формате OpenPGP -- из-за т... весь текст скрыт [показать]
     
     
  • 4.61, Аноним (-), 16:03, 24/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > а когда gmail запретит передавать электронную почту в формате OpenPGP

    Чего-чего? Это что это за формат почты такой, можно полюбопытствовать?

     
     
  • 5.64, Аноним84701 (ok), 17:09, 24/07/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    https tools ietf org html rfc4880 https www gnupg org ... весь текст скрыт [показать]
     
     
  • 6.75, Аноним (-), 00:27, 25/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Ты меня совсем за идиота держишь? Каким боком это "формат почты"?
     
  • 3.94, Аноним (-), 18:36, 31/07/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    оччнь можно уволить эникеев и ссэкономить, разок вложившись потом правда хит... весь текст скрыт [показать]
     
     ....нить скрыта, показать (14)

  • 1.25, mumu (ok), 02:44, 24/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +8 +/
    Объясните идиоту с 15-ти летнем стажем в ИТ, каким образом расшифровка трафика помогает в отказоустойчивости?
    Мы ведь имеем незашифрованные данные на обоих концах, можем их анализировать. И можем смотреть путь трафика. Зачем нам расшифровывать что-то посередине пути?
     
     
  • 2.28, Аноним (-), 02:45, 24/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > Зачем нам расшифровывать что-то посередине пути

    Для махинаций с трафиком и шпионажа. На самом деле не их дело что внутри канала.

     
  • 2.29, Kuromi (?), 02:57, 24/07/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    Имелась в виду государственная отказоустройчивость. Ради нее всем что угодно пожертвуют.
     
  • 2.36, яя (?), 07:49, 24/07/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    Доспустим есть некий сервис, который купили в лохматые годы, который работает на... весь текст скрыт [показать]
     
     
  • 3.44, XoRe (ok), 10:07, 24/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Вот она, бомба замедленного действия ... весь текст скрыт [показать]
     
  • 2.79, Аноним (-), 08:33, 25/07/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Расшифровка трафика посередине позволяет получать сведения о том, какой именно т... весь текст скрыт [показать]
     
  • 1.26, kvaps (ok), 02:44, 24/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Я так понимаю речь идёт и о системах автоматического выявления и купирования ddos-атак
     
     
  • 2.31, Андрей (??), 03:45, 24/07/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    Пока самый полезный комментарий, т к в новости отсутствуют важные именно для п... весь текст скрыт [показать]
     
  • 2.33, Аноним (-), 05:37, 24/07/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Им походу напел об этом какой-то админ, а пресс-секретарь в этом не бельмеса, по... весь текст скрыт [показать]
     
  • 2.34, Аноним (-), 05:51, 24/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    отличный комменарий, а теперь узнай что такое ddos и расскажи как поможет перехват трафика
     
     
  • 3.37, Аноним (-), 07:58, 24/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Возможность посмотреть внутрь пакета как раз и даёт возможность выявить признаки, по которым можно отличить полезный трафик от его имитации.
     
     
  • 4.46, тоже Аноним (ok), 10:28, 24/07/2017 [^] [ответить]     [к модератору]  
  • +/
    И что, много кто ддосит шифрованными пакетами Я, увы, не профи, и мне до сих по... весь текст скрыт [показать]
     
  • 4.76, mumu (ok), 04:39, 25/07/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Расшифровка всех пакетов с целью понять, какие из них ddos Вы вообще понимаете ... весь текст скрыт [показать]
     
  • 3.48, Онанимус (?), 10:41, 24/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Вы путаетесь в терминах Для dos анализ транзитных пакетов, как правило, не нуже... весь текст скрыт [показать]
     
     
  • 4.77, mumu (ok), 04:42, 25/07/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Отлично Вы пост-фактум расшифровали, что миллиард ип-шников со взломаных монгод... весь текст скрыт [показать]
     
     
  • 5.80, Аноним (-), 08:39, 25/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Запросы к картинке с котиком будут сильно отличаться у реального пользователя и ... весь текст скрыт [показать]
     
     
  • 6.86, mumu (ok), 14:33, 25/07/2017 [^] [ответить]    [к модератору]  
  • +/
    -
     
  • 6.97, J.L. (?), 14:51, 29/03/2018 [^] [ответить]    [к модератору]  
  • +/
    >[оверквотинг удален]
    > DDoS-бота.
    > Пользоавтель сначала заходит на конечный набор входных страниц, с некоторой вероятностью
    > авторизуется, затем переходит на страницу, куда вставлена картинка с котиком. Браузер
    > пользователя передаёт заголовки Referer, Cookie, исполняет javascript. Задержки между
    > переходами обуславливаются необходимостью прочитать текст и подвигать мышью. Пользователи
    > в большинстве своём используют рекурсивные DNS-запросы к серверам своего провайдера.
    > У бота же будет что-нибудь вроде while true; do curl http://example.com/cat.jpg; sleep
    > 0.1; done. На практике, конечно же, боты умнее, но всё равно
    > их можно отличить от людей, особенно имея запись трафика до начала
    > атаки.

    организовывается (шифрованный) канал от юзеров в мониторинг трафика и на официальном сайте нужной системы пишется "это правильный и наш айпи (мониторинга трафика)"
    а от мониторинга трафика любой канал до целевой системы

    защитой от ддос без согласия защищаемой системы занимается роскомнадзор

     
     ....нить скрыта, показать (11)

  • 1.38, zanswer CCNA RS and S (?), 08:11, 24/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Если они будут использовать постоянные параметры Diffie-Hellman, то в таком случае достичь Perfect Forward Secrecy не удасться. Хотя с точки зрения стандарта это не такой уж и плохой вариант. В корпоративной среде, администраторы смогут указывать в рамках групповой политики, чтобы DH использовал постоянные параметры, а домашние пользователи будут использовать настройки DH по умолчанию, позволяющие менять ключевой материал с течением времени или каких-то событий, например установки нового соединения.
     
  • 1.39, X2asd (ok), 08:21, 24/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    не понял. кто такие эти сетевые операторы?
     
     
  • 2.45, Аноним (-), 10:18, 24/07/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    ФСБ
     
  • 1.50, Онанимус (?), 10:49, 24/07/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • –3 +/
    Я вот чего подумал Это будет хорошей проверкой на наличие приватных сплоитов Е... весь текст скрыт [показать]
     
     
  • 2.51, ILoveIslam (?), 11:05, 24/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Совсем не факт, эту фичу просят братья поменьше.
     
  • 1.70, Аноним (-), 22:11, 24/07/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    ШИТО ... весь текст скрыт [показать]
     
  • 1.72, RnjNj (?), 23:49, 24/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > совершенной прямой секретности

    Википедисты все-таки не верно это перевели ИМХО. Perfect Forward Secrecy - это когда у тебя есть лог зашифрованных пакетов между клиентом и сервером, потом ты достаешь приватный ключ сервера - а расшифровать все равно не возможно, потому что был использован кратковременный сессионный ключ, который вскоре после использования был уничтожен. К "прямоте" никакого отношения не имеет. Forward - как-то в смысле "будущее", секретность от возможного слива приватного ключа в будущем.

     
     
  • 2.78, mumu (ok), 04:44, 25/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Именно. Речь именно о пост-фактум расшифровке. Она вообще нужна исключительно для слежения за частной жизнью. Никакого отношения к функционированию ИТ инфраструктуры она не имеет.
     
     
  • 3.84, Аноним (-), 12:54, 25/07/2017 [^] [ответить]     [к модератору]  
  • +/
    То есть вы предлагаете сессионные ключи для всех пользователей постоянно загружа... весь текст скрыт [показать]
     
     
  • 4.85, mumu (ok), 14:29, 25/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > наблюдатели трафика

    Наблюдатели трафика наблюдают трафик. Он весь есть в заголовках пакетов. А в новости обсуждаются наблюдатели содержимого трафика, который прошел когда-то давно. В пагонах такие наблюдатели.

     
     
  • 5.87, Аноним (-), 17:41, 25/07/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    В заголовках пакетов есть данные вплоть до L4. HTTP-заголовки, например, как смотреть прикажете?
     
     
  • 6.89, Аноним (-), 22:08, 26/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Нечего их кому-то смотреть.
     
  • 1.88, Ilya Indigo (ok), 19:25, 25/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > Интернет — для пользователей, а не для сетевых операторов!

    Тут и добавить нечего и незачем.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor