Já myslím že to šifrování je naopak dobrý nápad. Mediální domy by měli zavést https a O2 ukázat vztyčený prostředník.
Mimochodem toto je jeden z dobrých důvodů pro "https everywhere". Zaručení integrity provozu - operátor https traffic od webů změnit nemůže protože nemá privátní klíč od certifikátu aby změněná data opět zašifroval.
To šifrování neberu, protože když to umí dešifrovat koncový počítač, tak to bude umět dešifrovat i počítač operátorův.
To jste ovšem nepochopil, k čemu šifrování slouží. Šifrování bylo před stovkami let vynalezeno právě proto, aby si zprávu mohl přečíst jen adresát, ale nikoli posel nebo někdo, kdo se k šifrované zprávě nějak dostane. Veškeré šifrování třeba vojenských zpráv během válek se nedělalo jen tak pro zábavu, ale právě proto, aby se k obsahu zprávy nedostal nikdo cestou, ale aby si jí mohl přečíst jen koncový adresát.
Mám tu teď otevřené dvě SSH spojení na mé servery, k tomu mám ve webovém prohlížeči HTTPS spojení na banku.
Můžete mi prosím sdělit, jak tyto spojení rozšifruje můj ISP?
V čem má pán přede mnou pravdu? V tvrzení, že když něco dokáže rozšifrovat moje PC, tak ISP to dokáže taky?
Já netvrdím, že zabezpečení je všespásné pro nepoučeného uživatele. Vy tvrdíte, že když něco dokáže rozšifrovat moje PC, tak to dokáže i můj ISP. To rozporuji.
"Bude umět dešifrovat i počítač operátorův" - jistě, použije k tomu techniku MITM a výsledkem bude, že uživatel nebude mít žádné informace o certifikátu druhé strany, nemůže ověřit vydavatele... To je cesta do pekel. A dělají to i některé antiviry, fuj!
Jenže u toho antivirus si to aspoň můžu vypnout.
A proč bych tam měl CA od O2? Seznam svých CA v system storage či v prohlížečích (pokud nevyužívají system key storage) pravidelně nekontroluji a ani není důvod. Vecpat tam cizí CA není v moderním systému/prohlížeče žádná triviální záležitost, která by prošla bez povšimnutí uživatele.
A občas zámeček rozkliknu, jen tak ze zvědavosti.
Ta poznámka s known_hosts se vztahovala jen k SSH, to jste snad z toho textu pochopil, že to nemyslím k HTTPS.
Vidíte to jak Hurvínek válku. Rozhodně O2 nebude blokovat CDN jen proto, že poskytovatel reklamy přesunul své servery tam.
Reklama není totéž jako spam. Reklama Vám sama "nevleze" do browseru. Reklamu si vyžádá webový server, který vám ji pak "dodá" v rámci stránky, kterou jste si sám dobrovolně vyžádal svým browserem.
Jestli tohle nepoberete, tak zjevně nechápete psaný text. ;-)
Co to plácáte za nesmysly? Veřejný klíč je veřejný právě proto, abych ho roztruboval do světa, stejně jako např. vizitky.
Pokud šifruji asymetricky, zprávu zašifruji veřejným klíčem příjemce a zpráva je pak rozšifrovatelná pouze privátním klíčem příjemce. Rozhodně zpráva nejde rozšifrovat veřejným klíčem odesílatele.
Dále plácáte nesmysly, že zprávy se šifrují 2x. Zpráva se sice šifruje veřejným klíčem příjemce (zpráva lze pak rozšifrovat pouze privátním klíčem příjemce), ale privátním klíčem šifrovanou zprávu podepisuji, aby si příjemce veřejným klíčem odesílatele mohl ověřit, že zpráva přišla opravdu od odesílatele.
Doporučuji Vám, abyste si přečetl základy kryptologie. Máte v tom pěkný guláš.
Milý Tomáši2,
nijak nerozporuji tvůj výklad, pouze jsi dopodrobna rozepsal, jak funguje reálná komunikace po TLS/SSL.
Já jsem popsal základy asymetrického šifrování a především jsem rozporoval předchozí nesmysly typu "vím veřejný klíč odesílatele, takže mohu rozšifrovat odeslaná data odesílatelem" či že "data jsou šifrovaná dvakrát, jednou veřejným a podruhé privatním klíčem odesílatele".
Asi to chce umět více česky a porozumět psanému textu a kontextu dialogu.
Nevyčítám ti to, to se stává.
A co myslite, projde sifrovany traffic pres firewall, na kterem je na blacklistu IP (nebo cely rozsah)? Ona se totiz ta reklama neprenasi od poskytovatele obsahu, ale prave od distrubutora te reklamy, takze staci odstrelit prave ty. Nebude to sice 100%, ale fungovat to bude obstojne.
Fajn. Reklamář zašifruje data a pošle je. Teď ještě jak to udělat, aby je příjemce dokázal dešifrovat? Protože když to příjemce nebude umět, nebo nebude chtít umět, tak se mu reklama nezobrazí, což by bylo naprosto super! Prostě si z počítadla vyhodím dešifrovací klíč a jsem v pohodě.
Ano, celé vlákno je o SSL, tys ho rozšířil do obecné roviny a uvedl jsi nepřesnosti a zavádějící informace, snažil jsem se popsat problematiku opět k SSL a doplnit tvoje nepřesnosti.
2x šifrování není nesmysl, již jsem o tom ve spojení s SSL slyšel několikrát, je možné, že to tak nějaký ciphersuit dělá, neznám všechny z hlavy, možné to ale je a rozhodně bych to nevylučoval hned jako nesmysl, spíše jako nepodloženou přejatou informaci.
běžně se opačným způsob šifrování používá právě u RSA a technicky je jedno, jestli zprávu zašifruješ veřejným nebo soukromým klíčem, rozdíl je pouze v účelu. Z tvého výkladu vyznívá, že asymetrické šifrování == schování informací a šifrování veřejným, otevření soukromým, to ale není vždy pravda, naopak častější využití je právě ověření integrity a autenticity dat.
To, aby to se k datum nemohl dostat nikdo mezi vasim pocitacem a serverem, je jeden ze zakladnich duvodu, proc se sifruje.
Ano, operator by se k tem datum pravdepodobne mohl dostat, ale tim, ze by odstranil sifrovani.
Cenou za odstraneni reklamy by bylo odstraneni 20 let vyvoje bezpecnosti na internetu.
V článku je citát z onoho nařízení: operátoři „…nakládají při poskytování služeb přístupu k internetu s veškerým provozem stejně, bez diskriminace, omezení nebo narušování a bez ohledu na odesílatele a příjemce, na obsah, ke kterému se přistupuje nebo který se šíří, na používané či poskytované aplikace nebo služby nebo na použité koncové zařízení.“
Toto je vykládáno tak, že operátor nemá právo zasahovat do přenášených dat ani na výslovný požadavek zákazníka/příjemce.
Šifrování je právě od toho, aby informaci mohl přečíst pouze odesílatel a příjemce. Pokud by kdokoliv po cestě mohl číst šifrovaná data, tak to není šifrování.
Problematice absolutně nerozumíte (neberte to prosím osobně, to je fakt) a neberte si inspiraci z amerických filmů, kde rozšifrování komunikace trvá ne déle než lusknutí prstů.
Odesílatel (web server) a příjemce (Vy, resp. Váš počítač) jsou jedinými držiteli šifrovacích klíčů, takže operátor, který nezná tento klíč, nemůže "jen tak" cokoliv rozšifrovat.
Takže likvidovat reklamu půjde třemi způsoby: 1/ klasicky, t. j. Adblock, flahblock, better privacy, ghostery. 2/ v počítadle najdu a vymažu dešifrovací klíče a 3/ odsouhlasím O2 nabídku, že mi reklamu odstraní on sám, aniž bych ji musel stahovat. Protože nejde o to, že O2 bude reklamu blokovat všem, ale o to, že ji bude blokovat těm, kteří si to budou výslovně přát, což drtivá většina čtenářů tohoto článku nejspíš nepochopila. A pokud půjde o službu, se kterou zákazník vyslovil souhlas, můžete se s kecy o neutralitě internetu jít klouzat.
také ti doporučuji nastudovat základy kryptologie, ikdyž jsi spíše myslel kryptografii. No efense.
Bavíme-li se o ssl/tls (tls je jen přejmenované ssl kvůli licenci myslím k Netscape). Na začátku spojení si server a klient dohodnout protokol, ciphersuite a další drobnosti, poté server pošle svůj certifikát (tady je slabé místo a možnost ho podvrhnout nebo změnit ciphersuite na slabší), klient ověří jeho platnost a důvěru k němu. Ano, doteď vše putuje nešifrovaně.
Následuje výměna klíčů podle zvoleného ciphersuite (nemusí se jednat striktně o public key) a ano, tady máme první a jedinou možnost, kde se objeví asymetrické šífrování. Poté si dohodnout MAC ("heslo" pro symetrickou šifru) a následně je veškerý provoz šifrován právě tímhle dohodnutým heslem. Certifikáty, veřejné a soukromé klíče již nehrají žádnou roli, platí zásada, že věřím heslu, protože jsem věřil certifikátu, protože jsem věřil tomu kdo ho podepsal atd.
Pokud jde o veřejné/soukromé klíče, je fakticky jedno čím zprávu zašifrují, platí že jí mohu přečíšt jen pomocí druhého klíče. Podepísování zdrojových kódů nebo RSA je přímo na zašifrování soukromým klíčem a ověření (otevření) veřejným založeno.
Prosím, neurážej jiné diskutující jen kvůli jejich neznalosti, ač jí sám také nemáš, ale nevyčítám ti to.
Jak sleduji diskusi, PF dostal za úkol trollit a celkem úspěšně se mu to podařilo. Spousta lidí ztratila tak čas snahou ukorigovat jeho "hurvínkovské války", a další spousta jejich čtením, a všichni vlastně snahou pochopit, o čem se tu snaží diskutovat.
Nemá cenu to dále pitvat a především ztrácet čas ;-)
HSTS Preloading se nepoužije, pokud má uživatel ve svém prohlížeči vlastní kořenový certifikát vlastní CA :)
Kontrolujete pravidelně seznam všech u vás nainstalovaných kořenových CA? Ručíte, že žádný z desítek nainstalovaných programů tam nic vlastního nepřidal? Rozklikl jste si "zámeček" u toho https spojení na banku? Fingerprint certifikátu jste zkontroloval jiným kanálem?
SSH běžní uživatelé nepoužívají. Bylo-li by elektronické bankovnictví přes terminál, cítil bych se bezpečněji :)
https nic jako known_hosts nemá :)
Jeden o koze, druhý o voze. Každopádně dle Vaší definice spamu je reklama z webu rovněž spam. Nebo e-mailový spam není spam, to si už v hlavě srovnejte sám/sama/samo.
Reklamu si vyžádá mailový server, který vám ji pak "dodá" v rámci spojení, které jste si sám/sama/samo dobrovolně vyžádal/a/o svým dotazem o novou poštu.
Demagogie by Vám šla... ale příště k věci!
Zatím jsem nepostřehl, že by za mnou přišel někdo z reklamních webů mi do počítače nainstalovat jejich klíč, aby můj počítač ty reklamy mohl ty reklamy zobrazovat.
Prostě připojím počítač k síti, a ono se to tak nějak dešifruje samo. Předpokládám, že to samé může udělat i operátor a identifikovat tím, který paket je co.
V počítači máte nainstalované klíče certifikačních autorit, které jste si v lepším případě nainstaloval vy sám, v horším případě vám je nainstaloval distributor webového prohlížeče nebo operačního systému.
Váš předpoklad, že operátor může dešifrovat komunikaci určenou vám, je chybný. Kdyby byl pravdivý, bylo by šifrování k ničemu.
To, že se to „dešifruje samo“, je zařízené tak, že váš webový prohlížeč si vymyslí tajný klíč, kterým bude šifrována celá komunikace, a pošle ho zašifrovaný veřejným klíčem toho serveru, se kterým chce komunikovat. Poslaný klíč dokáže rozšifrovat jenom server (operátor nemá odpovídající privátní klíč, takže tu zprávu od klienta nerozšifruje). V tom okamžiku jsme v situaci, kdy váš webový prohlížeč a server znají tajný klíč, a nezná ho nikdo jiný. Tím pádem si mezi sebou můžou vesele přenášet šifrovaná data, a operátor má smůlu. Operátor si klidně může se serverem vyměnit svůj klíč, ale ten bude jiný, než klíč vašeho prohlížeče.
On původní pisatel bere naivní verzi šifrování. Předpokládá situaci, kdy server má vlastní privátní klíč a pak klíč veřejný. Ten si může stáhnout kdokoliv, vy i váš provider. Cokoliv, co server zašifruje, si pak můžete přečíst nejen vy, ale i váš provider. Co váš provider nemůže, je tu zprávu změnit a vám ji předat tak, abyste nepoznal, že ji změnil.
To samé platí pro vás: dokážete sice šifrovat, ale všichni, kdo znají váš veřejný klíč, si mohou zprávu přečíst. Nemohou ji změnit, ale číst ano.
Takže v zásadě má pisatel pravdu. Jenže takhle se to v praxi nepoužívá. Já totiž serveru nepošlu zprávu šifrovanou jen jednou. Já ji zašifruji svým privátním klíčem (to ještě může kdokoliv přečíst), ale pak i veřejným klíčem adresáta. A to už si pak nikdo jiný, než právě ten server, přečíst neumí.
Ten fakt, že se zprávy šifrují dvakrát (můj privátní + veřejný druhé strany), brání počítačům na cestě si to přečíst. Ale to málokdo ví. Laici tak nějak předpokládají, že se šifruje jen vlastním privátním klíčem. V takovém případě by pak měli pravdu: tohle by si mohl přečíst každý, kdo zná můj veřejný klíč. Naštěstí ty protokoly nedělají laici, ale odborníci. Ti vědí, že tento krok tu zprávu akorát podepíše - pozná se, že jsem ji šifroval já. Na opravdové zabezpečení je potřeba použít veřejný klíč druhé strany, protože pak to přečte jen příjemce. Když oboje zkombinuji, tak to přečte jen druhá strana a ještě si ověří, že jsem to poslal opravdu já. Juchů.
BFU si nevybere nic! Ten tyhle detaily neřeší.
Obyčejný BFU vezme počítač tak, jak ho koupil (včetně nesmyslů od výrobce) a pracuje.
Když dočasné nesmysly od výrobce vyprší, poslušně zavírá okna, která to říkají.
Breberky přibývají a přibývají. Pak BFU zavolá kamaráda a ten mu udělá novou instalaci s free antivirem v default nastavení.
A pracuje dál.
Veškeré poznání se omezuje na "internet jede" a "internet nejede". Zkoumat jestli je spojení https nebo jakou barvu má zámeček? Ani ve snu. A zkuste před takovým člověkem (75 % populace (?)) říct slovo "certifikát".
blokovat "profláknuté" reklamní weby (protože významná část těch největších rekkamních příšerností je stahována extra ze zvláštních adres). To šifrování neberu, protože když to umí dešifrovat koncový počítač, tak to bude umět dešifrovat i počítač operátorův.
Pokud by to fungovalo jako "předsunutý adblock", rak by to asi spousta lidí, co si takový soft neumí nainstalovat a nastavit, brala.
Pochopitelně, hlavní problém je na straně těch, co vnucují uživatelům internetu agresívní a informačně bezcennou reklamu.