V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
domosekai
V2EX  ›  问与答

国家级证书进行强制 MITM 有可能吗?

  •  
  •   domosekai · 2020-07-19 20:39:24 +08:00 · 3052 次点击
    这是一个创建于 1617 天前的主题,其中的信息可能已经有所发展或是发生改变。
    哈萨克斯坦去年启用了国家级证书进行 MITM,好像还没有强制,未来这个如果成真,是不是科学工具都要挂了??
    现有的某些服务可能会一时用不了,但如果国家强制要求所有厂商兼容,到底可行吗?
    19 条回复    2020-07-20 14:14:58 +08:00
    Osk
        1
    Osk  
       2020-07-19 21:43:11 +08:00 via Android
    怀疑你暗示某几家 ca 。

    如果目标价值足够大,为啥不能用来 mitm 呢,然后称失误发错证书了。

    不过我总觉得没必要,如果该 ca 发生过一两次 mitm, 估计搞事儿的会毫不犹豫地把该 ca 拉黑。

    另外,很多工具用的是自签证书,根本不会理会系统的 ca 列表
    snw
        2
    snw  
       2020-07-19 22:13:29 +08:00 via Android   ❤️ 1
    你要担心的不是梯子,而是各种更新被加料。

    梯子大不了玩套娃,外层套个可被 MITM 的证书,里面再用自己的加密方式和信任列表。
    但系统更新和软件更新很难控制,劫持之后塞个木马进来防不胜防(参考临侦)。
    domosekai
        3
    domosekai  
    OP
       2020-07-19 22:14:34 +08:00
    @Osk 我说的不是个别情况,是强制每个人安装证书,手机出厂内置国家证书,不安装不让上网,哈萨克一开始就是这样,没有国家证书的一律 redirect 去安装,只是后来被叫停了。。。
    domosekai
        4
    domosekai  
    OP
       2020-07-19 22:20:48 +08:00
    @snw 这是个问题,但如果梯子可以里面套自己的加密,厂商也可以,或者用其他方法校验。我担心的是里层的加密被限制,毕竟大部分普通流量都变成明文后,剩下的目标就容易锁定多了
    SecureCode
        5
    SecureCode  
       2020-07-19 22:36:28 +08:00   ❤️ 4
    以前不可能,以后不排除。
    小学生什么是都做得出来
    wevsty
        6
    wevsty  
       2020-07-19 22:45:08 +08:00
    完全可以,只看人家是不是想这么做而已。
    当然,这样做以后的效果怎么样另论。
    domosekai
        7
    domosekai  
    OP
       2020-07-19 23:16:44 +08:00
    @wevsty 我在想当 encrypted SNI 普及的时候,现有过滤就没用了。。然后总要想新的方法吧。。
    WordTian
        8
    WordTian  
       2020-07-19 23:19:44 +08:00 via Android
    加就加呗,传输层加密还能拦住我在应用层加密啦?
    MrCurly
        9
    MrCurly  
       2020-07-19 23:24:14 +08:00 via iPhone
    这东西大概率为了监控之类的吧,不过看来楼主不知道啥叫合法监听。我一直认为终端级别的监控无意义,因为权力可以通过命令让私企配合开后门,不光高效成本还低。就像微信我认为是一定有后门系统给 zf 的,甚至微信自己都不可以用这个系统
    iloveoovx
        10
    iloveoovx  
       2020-07-19 23:27:11 +08:00 via Android
    @MrCurly 不需要认为,这个几年前就已经确定了吧,疼逊想调用记录得向相关部门申请
    domosekai
        11
    domosekai  
    OP
       2020-07-19 23:30:34 +08:00
    @MrCurly 你说的对,但 MITM 是全局式的做法,不需要一个个部署,和特定系统的后门互为补充。另外也是针对国际流量,比如这样一来收发邮件就全部明文,除非对内容再加密
    ClericPy
        12
    ClericPy  
       2020-07-19 23:34:14 +08:00
    突然就想起那个带 QQ 号的新闻了, 虽然不知道为啥想起来的...
    azh7138m
        13
    azh7138m  
       2020-07-20 01:11:52 +08:00
    商密算法是双私钥,其中一份由**持有,可以直接解密,不需要做中间人攻击。
    该算法虽然普及度低,但也不是没有强制使用的那一天(
    elfive
        14
    elfive  
       2020-07-20 07:29:48 +08:00 via iPhone
    你们还记得当年 12306 的证书吗?有几个人卸载了的?
    alfchin
        15
    alfchin  
       2020-07-20 07:54:57 +08:00 via iPhone
    @elfive 根本就没安装好么
    可以直接无视警告用的
    PbCopy111
        16
    PbCopy111  
       2020-07-20 09:07:19 +08:00
    如果强制 MITM 了,跟不加密有什么区别。。。那就直接透明着跑呗。。。以后就改成了纸质加密,你发电报文,我用书翻译,哈哈哈。
    alalida
        17
    alalida  
       2020-07-20 10:37:08 +08:00
    这东西一出,权力部门手里那份密钥泄漏的可能性就是百分之一百,所有密码和敏感都变成纸糊的。相当于全民退回 http 时代,那黑产恐成最大赢家。
    domosekai
        18
    domosekai  
    OP
       2020-07-20 12:16:44 +08:00
    @alalida 你让我想起很多年前谷歌还没被封还是 http 的时候,只要一搜江爷爷和宋 xx 就被 reset 了,哈哈哈哈
    alalida
        19
    alalida  
       2020-07-20 14:14:58 +08:00
    @domosekai 还行啦,江爷爷还是心胸开阔滴。你现在试试,被 reset 的就不只是 connection 了😂
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4475 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 01:08 · PVG 09:08 · LAX 17:08 · JFK 20:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.