Dato tutto ciò che è sospetto di accesso agli utenti NSA (e GCHQ, DGSE, ecc.):
Evitando le speculazioni, possiamo e sappiamo se l'azione recente di Google per fare tutte le ricerche utilizza la crittografia SSL in realtà impedirà detto spionaggio?
In caso contrario, cos'altro (oltre a cosa abbiamo visto ) avremmo bisogno di sai, per saperlo?
HTTPS, ovvero SSL, protegge solo i dati in transito. Google passa automaticamente da HTTP a HTTPS significa che la query di ricerca dal tuo browser al server di Google viene crittografata. Ma sul server di Google, il tunnel SSL termina e viene decodificato. Ciò impedirà lo spionaggio solo nelle due condizioni seguenti:
Il secondo caso è contro spie attive che farebbero un Man-in -il-attacco medio , che è altamente fattibile su HTTP (senza SSL). Poiché il reindirizzamento verso HTTPS avviene a livello HTTP, prima (ovviamente) qualsiasi SSL si verifica effettivamente, quindi il MitM può certamente bloccarlo e mantenere l'illusione di un server Google non SSL.
In ogni caso, per una grande agenzia governativa americana come la NSA, chiedere l'aiuto di alcune persone a Google, per ottenere una copia dei dati della query, sarebbe probabilmente molto più facile ed efficiente del lavoro riluttante di spiare linee di rete. Google, essendo una società con sede negli Stati Uniti, si conformerebbe o si sarebbe dovuta conformare per una (piccola) frazione del costo implicato dallo spionaggio generalizzato. Recuperare da sé i dati delle query da Google funzionerebbe anche per le query che sono scomode da spiare, ad es. per una connessione da un paese non statunitense a un server Google non statunitense.
Pertanto, trovo poco plausibile che l'abilitazione dell'HTTPS sia davvero pertinente alla presunta spionaggio della NSA. "HTTPS per tutti" è più una mossa di marketing / pubbliche relazioni che un effettivo miglioramento della sicurezza, nel contesto di Google e presupponendo che il "nemico" sia l'NSA.
Supponendo che tu voglia parlare con Bob, una qualsiasi delle seguenti ipotesi annullerebbe (o indebolirebbe sostanzialmente) qualsiasi protezione concessa da HTTPS contro qualche avversario in agguato:
L'avversario ha accesso ai record del server di Bob (tramite cooperazione, coercizione o compromissione), in modo che possano vedere le tue comunicazioni con Bob dopo il fatto.
L'avversario può impersonare con successo Bob, sia per possesso della chiave segreta di Bob o per fallimento del sistema PKI (ad esempio, ottiene un certificato / keypair che afferma di essere Bob, firmato da una CA che il computer si fida ).
L'avversario ha in qualche modo rotto SSL.
Nessuna di queste possibilità sembra terribilmente inverosimile per un importante programma di intelligence nazionale.
Una preoccupazione più debole è che un attaccante man-in-the-middle potrebbe eseguire un attacco di stripping SSL. Si tenta di visitare il sito di Bob su HTTP e il sito di Bob promuove tutte le connessioni in entrata verso HTTPS. Tuttavia, un utente malintenzionato ti impedisce di raggiungere il sito di Bob. Invece, l'utente malintenzionato ti fornisce i contenuti del sito di Bob su un semplice HTTP, mentre non sei il più saggio che la tua connessione dovrebbe essere stata eseguita su SSL.
Questo problema viene attenuato dai siti che utilizzano Sicurezza del trasporto rigoroso HTTP (HSTS), che indica al tuo browser di richiedere risorse da quel dominio solo su HTTPS. La tua prima visita al sito è aperta a un attacco MITM SSL-stripping, ma le visite future non lo sono, perché le richieste HTTP si trasformano automaticamente in richieste HTTPS prima che lascino il tuo browser. Alcuni browser dispongono di istruzioni HSTS pre-caricate per determinati siti, eliminando ulteriormente il problema di prima visita per tali siti.
Tenendo conto di tutto ciò che ho detto sopra, il passaggio a per HTTPS ti protegge da un curioso snoop che esegue uno sniffer di pacchetti sulla rete wireless del tuo bar.
Lascia che ti dica che le agenzie speciali come la NSA hanno protocolli diretti a Google, Facebook, Yahoo e alla maggior parte delle grandi e famose compagnie (specialmente le società che possono raccogliere dati su di te).
Non hanno bisogno della tua password o crittografia per accedere al tuo account.
E persino alcuni degli standard di crittografia erano modificati dalle agenzie, tra cui SHA e persino alcuni (vecchi) standard di crittografia GSM (che erano molto diffusi nel mondo e molti fornitori in tutto il mondo li hanno usati).
Quindi, queste crittografie non ti rendono più sicuro dallo spionaggio.
Ma ti proteggono dai singoli hacker (a meno che non siano ben preparati).
Ecco alcune fonti:
NSA ha progettato SHA-2, la famiglia di SHA-256 e SHA-512
Interferenze NSA in standard, NIST e ISO
Leggi altre domande sui tag encryption google privacy tls nsa