анонимный просмотр

513
davidk01

Я только что посмотрел видео Эбена Моглена о том, как усиливается слежка за нашими подключенными сетевыми устройствами, и многое из того, что он сказал, звучит правдоподобно. Видео можно найти здесь, если вам интересно. Я не новичок в сети, но мне любопытно, как работает анонимный и зашифрованный просмотр, потому что в настоящее время я понимаю, что это невозможно. Вот мое текущее понимание.

Мой провайдер всегда находится посередине, и независимо от того, какой трафик я отправляю и какой трафик я получаю, он всегда проходит через моего провайдера. Даже если я туннелирую свой трафик через зашифрованное соединение через какой-либо другой сервер, мой провайдер все равно будет привязан к обмену ключами, который установил начальный зашифрованный туннель, так что любой последующий трафик, проходящий через зашифрованный туннель, также мог бы быть незашифрованным. Правильно ли я понимаю вещи или мне не хватает части, которая фактически делает мой аргумент неверным?

3

3 ответа на вопрос

5
jcrawfordor

Первоначальный обмен ключами структурирован таким образом, что ваш провайдер не может определить ключ, даже если он перехватил весь процесс обмена ключами. Это возможно из-за асимметричной криптографии с открытым ключом.

В асимметричной криптографии данные шифруются и дешифруются с использованием разных ключей (в отличие от симметричной криптографии, где один и тот же ключ используется для обоих). Ключи шифрования и дешифрования связаны между собой таким образом, что на современных компьютерах непрактично вычислять одно из другого.

Криптография с открытым ключом является типичным случаем асимметричной криптографии, где один ключ является «открытым», а другой - «закрытым». Когда вы подключаетесь к компьютеру через Интернет по протоколу SSL, у сервера есть закрытый ключ, а у вашего компьютера - закрытый ключ (сгенерированный вашим браузером для соединения). Ваш компьютер и сервер обмениваются открытыми ключами, но не нужно отправлять друг другу закрытые ключи. Затем ваш компьютер шифрует данные с помощью открытого ключа сервера, и данные могут быть расшифрованы только с помощью закрытого ключа сервера. Обратное также работает: сервер шифрует данные с помощью вашего открытого ключа, и только ваш личный ключ может быть использован для его расшифровки.

Поскольку закрытые ключи никогда не передаются по проводам, ваш провайдер не может их видеть. Ваш Интернет-провайдер видит открытые ключи, но невозможно расшифровать информацию с помощью открытых ключей (только для ее шифрования), поэтому ваш Интернет-провайдер не может расшифровать обмениваемую информацию.

Интересно отметить, что системы с открытым ключом, как правило, также работают в обратном порядке: закрытый ключ можно использовать для шифрования чего-либо, и затем его можно расшифровать только с помощью открытого ключа. Вот как работают «цифровые подписи» - если открытый ключ человека или устройства успешно расшифровывает информацию, то вы знаете, что она была создана кем-то или чем-то, кто владеет закрытым ключом.

Обратите внимание, что асимметричное шифрование требует гораздо больше ресурсов процессора, чем симметричное шифрование. Чтобы максимизировать производительность, SSL использует асимметричное шифрование только на этапе обмена ключами - ваш компьютер и сервер создают временное соединение, защищенное асимметричным шифрованием, для обмена ключом, который будет использоваться для симметричного шифрования действительного соединения. Симметричный ключ никогда не раскрывается в виде открытого текста, поэтому ваш провайдер никогда его не увидит.

Асимметричное шифрование - это очень интересная система, которая жизненно важна для безопасности в Интернете: она обладает мощным свойством, позволяющим двум сторонам безопасно общаться без необходимости доверять мессенджеру.

3
LawrenceC

Существует методика, называемая «Обмен ключами Диффи-Хеллмана», которая решает проблему перехвата ключей шифрования промежуточной стороной. SSH и многие другие протоколы используют его.

Однако ваш провайдер и другие промежуточные хосты могут видеть, что вы делаете обмен ключами и / или настраиваете зашифрованный сеанс.

Тем не менее, любой из них:

  • просто наличие зашифрованных протоколов на вашем проводе
  • задействованы конкретные IP-адреса источника или назначения
  • время передачи
  • количество отправленного зашифрованного трафика

может быть раскрыть информацию перехватывающей стороне, даже если шифрование защищает ваш реальный транспорт.

1
ubiquibacon

Оратор в видео упоминает лучшее программное обеспечение безопасности, доступное сегодня, хотя PGP не для просмотра, это для электронной почты. Тем не менее, PGP обеспечивает все три основные проблемы безопасности, целостность сообщения (никто не изменил сообщение), конфиденциальность сообщения (никто не может видеть то, что вы отправили) и аутентификацию сообщения (сообщение приходит от человека и места, в котором оно написано). это исходит от).

Просмотр в сети это отдельная история. Использование SSL-соединения (https вместо http) не позволит вашему провайдеру видеть, что вы отправляете / получаете, но не мешает им видеть, кто / куда вы отправляете и получаете от / до. На данный момент единственным способом анонимного просмотра является использование прокси-сервера, который не может быть отслежен вами, или подмена IP-адреса (который в большинстве случаев является незаконным).

В одном примечании по SSL, SSL не указывает, какой уровень шифрования должен использоваться, сервер и клиент должны согласовать используемый алгоритм шифрования. Если используется алгоритм слабого шифрования, и человек посередине перехватывает сообщение, то возможно, что сообщение будет дешифровано.