※ 本文轉寄自 ptt.cc 更新時間: 2023-11-13 22:30:20
看板 PC_Shopping
作者 標題 Re: [新聞] 歐盟打算監聽所有人的網路連線
時間 Sun Nov 12 01:08:16 2023
大概講一下我的認知跟理解,我不是搞資安的所以有錯請不吝指教
現代網路會透過一個機制來確保傳輸的內容只有你跟對方看到的
方法是透過所謂的不對稱加密,這種加密機制會同時生成公鑰跟私鑰兩種密碼,其中公鑰是
可以任意洩漏的,而私鑰必須保密。而公鑰加密的內容只能用私鑰解密,私鑰加密的內容也
只能用公鑰來解密
可以任意洩漏的,而私鑰必須保密。而公鑰加密的內容只能用私鑰解密,私鑰加密的內容也
只能用公鑰來解密
以連線到PTT為例,流程大概是
1. 我生成一組公鑰跟私鑰,把我的公鑰交給PTT,同時PTT也會給我他的公鑰
2. 我發送訊息前先用PTT的公鑰把訊息加密,再用我的私鑰再加密一次後跟PTT
3. PTT收到後先用我的公鑰解密,再用他的私鑰解密,這樣可以確保這個訊息是我發送的,
同時只有PTT能看懂訊息內容
4. 反之亦同,我也會用這種機制確保送來的訊息是PTT發送的
但這種機制有個問題,假設有個壞人決定假冒PT
T並且想辦法讓你的ptt.cc連接到壞人的伺服器,然後再把你的訊息轉發給真正的PTT,並把
真正的PTT傳來的訊息回覆給你,那你永遠不會發現跟你的話的人根本不是PTT,因為這種狀
況下你一開始拿到的公鑰就是壞人的公鑰,這種手法叫做中間人攻擊
真正的PTT傳來的訊息回覆給你,那你永遠不會發現跟你的話的人根本不是PTT,因為這種狀
況下你一開始拿到的公鑰就是壞人的公鑰,這種手法叫做中間人攻擊
因此我們用另一個協定來確保PTT真的是PTT
(先不討論中繼憑證)
要實現這樣的機制必須要有一種被叫做CA的第三方機構,可能是公司也可能是政府機關
流程大概是
1. PTT的伺服器管理員會拿自己的公鑰去跟CA買一張憑證,這張憑證會寫:這張憑證由某某
CA簽發,以及一段被某某CA的私鑰加密過的PTT公鑰。請注意:用這個公鑰加密的訊息只有
真正的PTT的私鑰能夠解密,這是關鍵
CA簽發,以及一段被某某CA的私鑰加密過的PTT公鑰。請注意:用這個公鑰加密的訊息只有
真正的PTT的私鑰能夠解密,這是關鍵
2. 你連上PTT ,PTT的伺服器會給你看他的憑證。請注意,這張憑證是公開的,因此任何人
都可以讓自己的伺服器出示PTT的憑證
3. 如果你的瀏覽器信任某某CA(要取得瀏覽器的信任很不容易),那你的瀏覽器會用內建
的某某CA公鑰來解密那段被某某CA的私鑰加密過的ptt.cc公鑰
4. 接著瀏覽器會比對這組解密出來的公鑰跟送來的公鑰是否一致,如果不同就表示這是壞
人的公鑰,會跳出警告或是直接不讓你連線
另外,即使壞人用真正的PTT憑證成功跟你建立連線(前面有說任何人都可以出示PTT的憑證
),他也無法解密你用PTT 公鑰加密的訊
息,從而保證安全
但如果今天某某CA決定跟壞人合作呢?
那你的瀏覽器解密出來的公鑰就會是壞人的公鑰,這時比對就會是一致的,然後你就用壞人
的公鑰加密訊息建立連線,於是壞人就可以看懂你的訊息了
一直到有一天有人發現:為什麼我拿到的公鑰跟真正的PTT公鑰長的不一樣,然後把事情鬧
大為止
有什麼技術上的預防方法嗎?目前沒有。
那我們是怎麼克服的呢?
答案是資本主義
如果CA被發現亂搞,那所有瀏覽器廠商就會不信任這個CA所簽發的憑證,網站管理員就不會
去跟他買憑證,然後就會倒閉,所以這類CA不太敢亂搞
那如果是政府機關類型的CA呢?
沒辦法,只能取消信任他然後讓他自己玩沙去
例如中國政府的一張憑證CNNIC之前就被發現亂搞,於是主流瀏覽器都不信任他。現在應該
只有中國國
產的那些東西會信任吧
原文也提到一堆國家的憑證都被取消信任了
BTW台灣的政府憑證TWCA目前還是受信任的喔
那這個法案危險在哪裡呢?就是規定瀏覽器廠商不可以取消信任歐盟成員政府的憑證這樣,
嚴不嚴重你各位自己判斷
以下個人心得
我是覺得原文那篇標題稍微有點聳動啦
個人覺得EFF跟Mozilla 的聲明比較合適
但歐盟確實就是我心目中地球第二G8噁心組織
第一是聯合國這樣
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.73.236.14 (臺灣)
※ 作者: FXW11314 2023-11-12 01:08:16
※ 文章代碼(AID): #1bJxK2HR (PC_Shopping)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1699722498.A.45B.html
※ 同主題文章:
11-11 21:56 ■ Fw: [新聞] 歐盟打算監聽所有人的網路連線
● 11-12 01:08 ■ Re: [新聞] 歐盟打算監聽所有人的網路連線
11-12 16:10 ■ Re: [新聞] 歐盟打算監聽所有人的網路連線
※ 編輯: FXW11314 (42.73.236.14 臺灣), 11/12/2023 01:09:58
※ 編輯: FXW11314 (42.73.236.14 臺灣), 11/12/2023 01:15:09
我是覺得原文那篇標題稍微有點聳動啦
個人覺得EFF跟Mozilla 的聲明比較合適
但歐盟確實就是我心目中地球第二G8噁心組織
第一是聯合國這樣
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.73.236.14 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1699722498.A.45B.html
※ 編輯: FXW11314 (42.73.236.14 臺灣), 11/12/2023 01:09:58
※ 編輯: FXW11314 (42.73.236.14 臺灣), 11/12/2023 01:15:09
![]()
--
※ 編輯: FXW11314 (42.73.236.14 臺灣), 11/12/2023 01:15:09
推 : 公鑰加密私鑰解密乃不對稱加密基礎4F 112.104.65.134 台灣 11/12 01:19
→ : 私鑰加密公鑰解密,這是?
→ : 應該是每個人都有加密公鑰和解密私鑰
→ : 私鑰加密公鑰解密,這是?
→ : 應該是每個人都有加密公鑰和解密私鑰
→ : 數位簽章的情況下是反過來的,公鑰解密7F 42.73.236.14 台灣 11/12 01:24
→ : 私鑰加密,用來確保內容是私鑰持有人發
→ : 出
以下個人心得→ : 私鑰加密,用來確保內容是私鑰持有人發
→ : 出
我是覺得原文那篇標題稍微有點聳動啦
個人覺得EFF跟Mozilla 的聲明比較合適
但歐盟確實就是我心目中地球第二G8噁心組織
第一是聯合國這樣
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.73.236.14 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1699722498.A.45B.html
※ 編輯: FXW11314 (42.73.236.14 臺灣), 11/12/2023 01:09:58
※ 編輯: FXW11314 (42.73.236.14 臺灣), 11/12/2023 01:15:09
推 : 公鑰加密私鑰解密乃不對稱加密基礎4F 112.104.65.134 台灣 11/12 01:19
→ : 私鑰加密公鑰解密,這是?
→ : 應該是每個人都有加密公鑰和解密私鑰
→ : 私鑰加密公鑰解密,這是?
→ : 應該是每個人都有加密公鑰和解密私鑰
→ : 數位簽章的情況下是反過來的,公鑰解密7F 42.73.236.14 台灣 11/12 01:24
→ : 私鑰加密,用來確保內容是私鑰持有人發
→ : 出
→ : 私鑰加密,用來確保內容是私鑰持有人發
→ : 出
推 : 數位簽章的邏輯確實有點繞XD10F 36.229.111.89 台灣 11/12 01:28
※ 編輯: FXW11314 (42.73.236.14 臺灣), 11/12/2023 01:31:31→ : …手機把文改壞了有空再來修11F 42.73.236.14 台灣 11/12 01:32
推 : 不準換CA就換瀏覽器 沒瀏覽器換就換政府12F 124.11.129.176 台灣 11/12 01:34
推 : 簡單翻譯 https 加密和CA數位簽章都掰掰13F 223.137.233.93 台灣 11/12 01:35
→ : ?
→ : ?
→ : 沒有,技術上歐盟沒有新增任何問題,今15F 42.73.236.14 台灣 11/12 01:38
→ : 天沒有這個法案TLS的問題還是存在。而
→ : 最簡單的解決方法就寫個plugin讓拿歐盟
→ : 政府CA憑證的網站通通跳警告就好
→ : 天沒有這個法案TLS的問題還是存在。而
→ : 最簡單的解決方法就寫個plugin讓拿歐盟
→ : 政府CA憑證的網站通通跳警告就好
→ : 用ptt當例子不太好19F 112.78.65.181 台灣 11/12 01:58
→ : 欸對欸我自己是都用wss連線,忘了PTT還20F 42.73.236.14 台灣 11/12 02:07
→ : 有SSH…
→ : 有SSH…
推 : 感謝22F 111.82.109.225 台灣 11/12 02:33
推 : 有解說推25F 114.27.44.28 台灣 11/12 03:18
推 : 現在瀏覽器幾乎都開源的,要寫死CA彈性26F 36.231.0.129 台灣 11/12 03:21
→ : 很容易就被破解了,而且有了CT憑證透明度
推 : 亂簽假憑證很容易被抓到
推 : 其實訊息本身通常是用對稱式加密的
→ : 非對稱key用來加密那把對稱key
→ : 很容易就被破解了,而且有了CT憑證透明度
推 : 亂簽假憑證很容易被抓到
推 : 其實訊息本身通常是用對稱式加密的
→ : 非對稱key用來加密那把對稱key
推 : 推31F 36.230.137.106 台灣 11/12 06:51
推 : 推,把原po黑單了,專業帶風向的32F 125.230.39.220 台灣 11/12 07:13
推 : 推 知識文必推33F 223.136.86.80 台灣 11/12 07:57
推 : 不能取消可以跳警告吧,或跟多個CA確認34F 103.208.221.133 日本 11/12 08:06
推 : 其實SSL憑證蠻貴的,我是希望歐盟來個35F 111.71.116.97 台灣 11/12 09:34
→ : 免費的福利,不然萬用一張一萬很痛
→ : 免費的福利,不然萬用一張一萬很痛
→ : 沒辦法,就像我說的這種信任是用資本主37F 42.73.236.14 台灣 11/12 09:42
→ : 義($)堆出來的,你用免費的就是比較
→ : 難讓人信任
→ : 義($)堆出來的,你用免費的就是比較
→ : 難讓人信任
推 : 媽的原來CA都會亂搞 忄白40F 114.42.56.218 台灣 11/12 09:44
推 : 文章內容可以小修,一般會說41F 36.231.109.191 台灣 11/12 10:27
→ : 非對稱式加密:公錀加密-私鑰解密
→ : 簽章會直接改稱:私鑰簽章-公鑰驗章
→ : 非對稱式加密:公錀加密-私鑰解密
→ : 簽章會直接改稱:私鑰簽章-公鑰驗章
→ : 所以這種狀況用VPN能解決嗎44F 36.233.111.23 台灣 11/12 11:41
→ : 不能的話 那你也只能接受了 XD
→ : 不能的話 那你也只能接受了 XD
→ : 有本事出來混的VPN廠商不會低能到被中46F 42.73.236.14 台灣 11/12 11:52
→ : 間人攻擊吧,這樣四捨五入也算是解決了
→ : 間人攻擊吧,這樣四捨五入也算是解決了
推 : 但VPN還是不能跳過CA吧48F 136.23.34.69 台灣 11/12 12:43
→ : 就...如果你的最終目的是防止連線被偽造49F 57.140.96.44 台灣 11/12 13:27
→ : 而你的VPN廠商也能保證這點,那直接不管
→ : CA也不是不行
→ : 而你的VPN廠商也能保證這點,那直接不管
→ : CA也不是不行
推 : 等法案過了再來煩惱52F 59.127.190.36 台灣 11/12 13:55
推 : 想法很理想 現實的話 當美中還有其他非53F 218.166.96.225 台灣 11/12 15:16
→ : 歐盟的G7是吃素的就對了
→ : 歐盟的G7是吃素的就對了
推 : 現在申請CA也不一定要給錢啊...55F 36.231.8.141 台灣 11/12 16:13
推 : LE出來後已經可以讓每個人免費使用
推 : LE出來後已經可以讓每個人免費使用
推 : 西台灣不會反對吧,美國肯定會反對就57F 223.137.118.136 台灣 11/12 16:30
→ : 是了
→ : 是了
推 : 基本上只要DNS有辦法被改掉,加上SAN憑證59F 114.37.42.238 台灣 11/12 17:12
→ : 的話,從中強行插入proxy來解密https封包
→ : 是有可能的
→ : 但是有辦法公然覆蓋DNS詢答的,多半都是政
→ : 府機關才做得到,一般駭客只能針對受害的
→ : 單獨電腦來動手腳
→ : 用VPN的話重點在於DNS是用誰的,如果DNS還
→ : 是設到已經被動過手腳的伺服器,就算繞路
→ : 也是無妨。但是大多數VPN都會改用自己的
→ : DNS server,但這又牽扯到一個問題是,如
→ : 果這個VPN已經被滲透的話,那反而自投羅網
→ : 的話,從中強行插入proxy來解密https封包
→ : 是有可能的
→ : 但是有辦法公然覆蓋DNS詢答的,多半都是政
→ : 府機關才做得到,一般駭客只能針對受害的
→ : 單獨電腦來動手腳
→ : 用VPN的話重點在於DNS是用誰的,如果DNS還
→ : 是設到已經被動過手腳的伺服器,就算繞路
→ : 也是無妨。但是大多數VPN都會改用自己的
→ : DNS server,但這又牽扯到一個問題是,如
→ : 果這個VPN已經被滲透的話,那反而自投羅網
推 : DNSSEC只能保證168.95.1.1 台灣會拿到不造假的72F 114.37.42.238 11/12 20:27
→ : NS解析資料,但是如果168.95.1.1 台灣要給我們
→ : 科科過的IP,還是可以的74F 114.37.42.238 台灣 11/12 20:28
→ : 簡單來說下面某篇有網友大大有提到如果ISP75F 114.37.42.238 台灣 11/12 20:28
→ : 要陰你,就是有很大機率被陰76F 114.37.42.238 台灣 11/12 20:29
推 : 之前就有CoinMarketCap被「誤鎖」的事件77F 114.37.42.238 台灣 11/12 20:40
→ : DNSSEC並沒有甚麼用,不給你看就不給你看78F 114.37.42.238 台灣 11/12 20:41
→ : 明明有IP但是就傳解析失敗也是要另尋他法79F 114.37.42.238 台灣 11/12 20:42
→ : NS解析資料,但是如果168.95.1.1 台灣要給我們
→ : 科科過的IP,還是可以的74F 114.37.42.238 台灣 11/12 20:28
→ : 簡單來說下面某篇有網友大大有提到如果ISP75F 114.37.42.238 台灣 11/12 20:28
→ : 要陰你,就是有很大機率被陰76F 114.37.42.238 台灣 11/12 20:29
推 : 之前就有CoinMarketCap被「誤鎖」的事件77F 114.37.42.238 台灣 11/12 20:40
→ : DNSSEC並沒有甚麼用,不給你看就不給你看78F 114.37.42.238 台灣 11/12 20:41
→ : 明明有IP但是就傳解析失敗也是要另尋他法79F 114.37.42.238 台灣 11/12 20:42
→ : 可以換 DNS 啊 看要8888,1111或999980F 36.228.244.140 台灣 11/12 20:47
推 : 沒錯就是要換,但是ISP有可能會擋8888,這81F 114.37.42.238 台灣 11/12 20:49
→ : 個google一下也可以找到以往的「嘗試」,
→ : 還美其名是為你好。
→ : 真的被封就剩下自己架DNS而且用DNS over
→ : HTTPS來克服,而且自己的DNS IP要強行寫在
→ : host文件裡面
→ : 個google一下也可以找到以往的「嘗試」,
→ : 還美其名是為你好。
→ : 真的被封就剩下自己架DNS而且用DNS over
→ : HTTPS來克服,而且自己的DNS IP要強行寫在
→ : host文件裡面
推 : isp要搞你的話,就算你拿到正確ip87F 36.231.8.141 台灣 11/12 21:30
→ : routing那邊也可以動手腳
→ : 你只能再找個跳板跳出去,很麻煩就是了
→ : routing那邊也可以動手腳
→ : 你只能再找個跳板跳出去,很麻煩就是了
推 : 自建代理伺服器吧,天助自助了90F 114.37.42.238 台灣 11/12 22:05
→ : CHINA:FIRST TIME?91F 49.216.131.232 台灣 11/13 10:28
--
※ 看板: PC_Shopping 文章推薦值: 0 目前人氣: 0 累積人氣: 46
→
guest
回列表(←)
分享