C'è qualcosa che impedisce alla NSA di diventare una CA radice?

È già fatto:

Èla FPKI root CA, sotto il controllo esplicito e completo del governo degli Stati Uniti. Windows si fida già di default.

Prima di capovolgere e iniziare a eliminare i certificati CA radice, masterizzare la scheda madre del computer o bere un gallone di vodka, pensa a cosa significa. Significa che il governo degli Stati Uniti potrebbe tecnicamente emettere un falso certificato per qualsiasi sito SSL che si sta navigando, ma con una catena di certificati che farebbe riferimento al governo degli Stati Uniti. Questo è il punto di avere una "CA affidabile" nel client: in modo che il client possa convalidare una catena di certificati. Pertanto, un sito di questo tipo non sarebbe un modo discreto per intercettare le comunicazioni. Basterebbe un singolo utente facendo clic sull'icona del lucchetto, esaminando la catena di certificati, notando la radice di FPKI e deridendo Obama su Twitter.

Spingere la tua CA radice nel "negozio fidato" delle tue vittime non è un modo adeguato per spiare le persone senza che loro se ne accorgano . Sebbene sia un'agenzia governativa, la NSA nel suo complesso non è di solito quella stupida.

L'NSA potrebbe e probabilmente è già andata - usando una lettera di richiesta USA PATRIOT Act, o un altro strumento legislativo simile - a tutte le principali CA negli Stati Uniti (ad esempio VeriSign, GeoTrust, ecc.) e ha chiesto che rimettere le loro chiavi radice private a "Nessuna agenzia di questo tipo", "ai fini della 'sicurezza nazionale'".

Naturalmente, tutte le richieste di questo tipo devono essere mantenute segrete (secondo la legge PATRIOT Act) e le autorità competenti devono mentire al pubblico in merito al fatto che hanno rispettato la richiesta, o agli amministratori delegati delle CA (e ai loro subalterni) coinvolti) sono soggetti a lunghe pene detentive (con il processo, se del caso, condotto a porte chiuse in tribunale segreto).

Nessuna delle precedenti è una speculazione infondata; si basa su note leggi americane, che due successive amministrazioni statunitensi (Bush e Obama) si sono rifiutate di cambiare in modo significativo, e in vista delle rivelazioni di Snowden sarebbe estremamente sciocco pensare che questo scenario non abbia già successo.

Quindi sì - la semplice risposta è, "la NSA non ha bisogno di fare nulla di speciale per configurare una CA radice, perché può facilmente impersonare qualcuno di quelli esistenti (americani), a volontà".

No. Oltre alle ovvie autorità di certificazione governative nei tuoi negozi fiduciari; l'NSA è un'agenzia di spionaggio e in quanto tale ha probabilmente già rubato le chiavi private di diverse altre CA. Se sono subdoli, ruberebbero le chiavi private di altre CA governative per potenziali operazioni di false flag.

Inoltre, a meno che tutti i sistemi operativi e i browser non blocchino esplicitamente i loro aggiornamenti solo a una CA o a un certificato specifici, potrebbero utilizzare qualsiasi CA radice di loro proprietà o controllo per aggiungere una nuova CA anonima (ad esempio Issuer: Voldemort ) a un trust store in modo tale quel futuro back-tracing va precisamente da nessuna parte.

Non hanno bisogno di offrire un altro certificato che punti a loro. Hanno solo bisogno della chiave privata del certificato del server per intercettare la comunicazione, che è probabilmente facile da ottenere se si dispone di quel tipo di risorse.