and decrypted their SSL traffic by compromising a backbone router
No, è sbagliato (ma non influisce sul resto della domanda). Secondo tale affermazione, l'NSA ha compromesso un router appartenente all'obiettivo (non che ciò sia veramente importante). Ancora più importante, la compromissione del router non ha aiutato la decodifica del traffico SSL da parte della NSA: tutto ciò ha consentito alla NSA di eseguire un attacco man-in-the-middle sul flusso crittografato e firmato. Se tutti gli aspetti di SSL fossero stati mantenuti, quell'attacco sarebbe stato rilevato e la NSA non sarebbe stata in grado di decifrare il traffico legittimo.
La parte decisiva dell'attacco era che la NSA poteva creare un falso certificato per Google. Un certificato SSL contiene approssimativamente le seguenti parti:
- Una descrizione di chi è il certificato (Google)
- La chiave pubblica di quell'entità
- Una descrizione di chi garantisce il certificato (CA)
- Alcune magie matematiche che assicurano che solo il detentore della chiave privata della CA possa creare quel certificato
Sembra che la NSA conoscesse la chiave privata della CA, quindi potevano creare un certificato contenente una chiave pubblica diversa, che corrispondeva a una chiave privata creata dalla NSA invece della chiave privata detenuta da Google.
Poiché il certificato falso è diverso da quello originale, ha un'impronta digitale diversa. (Nota che questo potrebbe non essere il caso per le impronte digitali MD5: La resistenza alle collisioni di MD5 è sufficientemente rotta per consentire la creazione di due certificati con la stessa impronta digitale - ma non creare un certificato con la stessa impronta digitale di un certificato esistente, ma non è nota alcuna vulnerabilità di questo tipo per SHA-1. Pertanto, se si rileva che l'impronta digitale SHA-1 del certificato è errata, si sei attivamente uomo-in-the-middled.
Ciò ha un'importanza pratica limitata, perché devi essere in grado di recuperare il valore di SHA-1 in qualche modo in modo affidabile. Dove troverai una connessione affidabile per recuperare queste impronte digitali?
Diffusione della verifica tra più parti
è un modo per resistere al compromesso di un piccolo numero di CA consentendo al contempo la navigazione in siti fino a quel momento sconosciuti.