五千年(敝帚自珍)

主题:我所了解的中国“棱镜”情况 -- 汴梁牛二

共:💬146 🌺1539 🌵8
全看分页树展 · 主题 跟帖
家园 补充一下

“也许他们攻破了MD5或者SHA-1”

SSL协议采用非对称算法交换通讯密钥,哈希算法是用来完整性保护和机密性无关;政府一级的中间人攻击可以非常简单,使用电信运营商的proxy和ns即可。

具体来说,政府可以在自己proxy上放置google的假证书,因为用户的浏览器其实也就是去默认的CA验证证书的真假,而CA的寻址是通过NS服务器的,只需要改变DNS解析到政府伪造的CA,浏览器端就会验证为google的证书无误;然后,proxy再替代用户去和google交互就完成了整个中间人攻击。

上述实现起来其实很简单,如果你共享一个免费的wifi信号出去,在自己的网络里面照着做一次,也可以把所有逞你网的小白的信息一览无遗。所以,去咖啡馆那些什么的,接入wifi后最好自己再拨一次VPN。

SKYPE一开始,其实美国政府也很头痛。FCC曾经对其发出最后通牒,限期提供可以被监控的技术途径。所以,比流氓美国政府一点都不差。

从技术对比来讲,我们实在处于太大的劣势,从芯片、操作系统、网络全是别人的,现在能做的只能是先用我们信得过的设备把边界守起来,再慢慢替换。

全看分页树展 · 主题 跟帖


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河