这是一个创建于 2106 天前的主题,其中的信息可能已经有所发展或是发生改变。
哈萨克斯坦去年启用了国家级证书进行 MITM,好像还没有强制,未来这个如果成真,是不是科学工具都要挂了??
现有的某些服务可能会一时用不了,但如果国家强制要求所有厂商兼容,到底可行吗?
现有的某些服务可能会一时用不了,但如果国家强制要求所有厂商兼容,到底可行吗?
 | 1 Osk 2020 年 7 月 19 日 via Android 怀疑你暗示某几家 ca 。 如果目标价值足够大,为啥不能用来 mitm呢,然后称失误发错证书了。 不过我总觉得没必要,如果该 ca 发生过一两次 mitm, 估计搞事儿的会毫不犹豫地把该 ca 拉黑。 另外,很多工具用的是自签证书,根本不会理会系统的 ca 列表 |
 | 2 snw 2020 年 7 月 19 日 via Android  1 你要担心的不是梯子,而是各种更新被加料。 梯子大不了玩套娃,外层套个可被 MITM 的证书,里面再用自己的加密方式和信任列表。 但系统更新和软件更新很难控制,劫持之后塞个木马进来防不胜防(参考临侦)。 |
 | 3 domosekai OP @Osk 我说的不是个别情况,是强制每个人安装证书,手机出厂内置国家证书,不安装不让上网,哈萨克一开始就是这样,没有国家证书的一律 redirect 去安装,只是后来被叫停了。。。 |
| 4 domosekai OP @snw 这是个问题,但如果梯子可以里面套自己的加密,厂商也可以,或者用其他方法校验。我担心的是里层的加密被限制,毕竟大部分普通流量都变成明文后,剩下的目标就容易锁定多了 |
 | 5 SecureCode 2020 年 7 月 19 日 4 以前不可能,以后不排除。 小学生什么是都做得出来 |
 | 6 wevsty 2020 年 7 月 19 日 完全可以,只看人家是不是想这么做而已。 当然,这样做以后的效果怎么样另论。 |
 | 8 WordTian 2020 年 7 月 19 日 via Android 加就加呗,传输层加密还能拦住我在应用层加密啦? |
 | 9 MrCurly 2020 年 7 月 19 日 via iPhone 这东西大概率为了监控之类的吧,不过看来楼主不知道啥叫合法监听。我一直认为终端级别的监控无意义,因为权力可以通过命令让私企配合开后门,不光高效成本还低。就像微信我认为是一定有后门系统给 zf 的,甚至微信自己都不可以用这个系统 |
| 11 domosekai OP @MrCurly 你说的对,但 MITM 是全局式的做法,不需要一个个部署,和特定系统的后门互为补充。另外也是针对国际流量,比如这样一来收发邮件就全部明文,除非对内容再加密 |
 | 12 ClericPy 2020 年 7 月 19 日 突然就想起那个带 QQ 号的新闻了, 虽然不知道为啥想起来的... |
 | 13 azh7138m 2020 年 7 月 20 日 商密算法是双私钥,其中一份由**持有,可以直接解密,不需要做中间人攻击。 该算法虽然普及度低,但也不是没有强制使用的那一天( |
 | 14 elfive 2020 年 7 月 20 日 via iPhone 你们还记得当年 12306 的证书吗?有几个人卸载了的? |
 | 16 PbCopy111 2020 年 7 月 20 日 如果强制 MITM 了,跟不加密有什么区别。。。那就直接透明着跑呗。。。以后就改成了纸质加密,你发电报文,我用书翻译,哈哈哈。 |
 | 17 alalida 2020 年 7 月 20 日 这东西一出,权力部门手里那份密钥泄漏的可能性就是百分之一百,所有密码和敏感都变成纸糊的。相当于全民退回 http 时代,那黑产恐成最大赢家。 |
Select Language