Oltre alla risposta di @ Petris.
Inoltre, ecco alcuni motivi per cui i servizi di sicurezza governativi non obiettano a voce troppo alta su HTTPS:
- Hanno bisogno di usarlo da soli
- Il costo per il paese di non utilizzare comunicazioni sicure per il commercio sarebbe immenso
- Spesso è altrettanto facile attaccare un punto finale piuttosto che intercettare le comunicazioni altrove.
In alcuni paesi, i punti 1 e amp; 2 può portare meno peso. 1 perché possono fare quello che vogliono senza doversi preoccupare troppo dell'opinione pubblica. 2 perché controllano centralmente l'economia.
Come capita, il punto 3 è interessante in parte perché mostra il livello di insicurezza nei sistemi moderni. Ma anche al di là della tecnologia, gran parte dello spycraft ha sempre avuto a che fare con la manipolazione delle persone.
Anche così, vedrete ripetuti tentativi da parte del governo degli Stati Uniti (ce n'è uno in questo momento) per provare ad aggiungere back-door "sicuri" ai prodotti di crittografia. Ce ne sono ancora troppi - principalmente politici, ma anche alcuni responsabili di spie - che credono che sia possibile per la tecnologia creare qualcosa di sicuro nell'uso generale, ma con una porta di servizio accessibile solo a un numero limitato di persone autorizzate. Questa è ovviamente spazzatura come è stato dimostrato più e più volte. Anche se non lo fosse, chi ha il controllo di "autorizzazione" - ovviamente, non può funzionare correttamente, specialmente quando è responsabile solo 1 paese con alcuni interessi acquisiti seriamente.
Se sei interessato a questo argomento, il sito web Techdirt ha spesso articoli interessanti.
Riguardo alle tue domande specifiche:
-
Se è consentito dalla maggior parte delle politiche governative (USA, Europa, ...), vuol dire che è sufficientemente debole per gli hacker specializzati per decifrare i dati?
Non esiste una sicurezza perfetta. L'HTTPS ben implementato è abbastanza sicuro, ma è difficile implementarlo correttamente e facilmente sbagliare. Se gli attaccanti non riescono a ottenere in , andranno round . Realisticamente, si può solo rendere la sicurezza troppo costosa e / o dispendiosa in termini di tempo per preoccuparsi di rompere, se qualcuno vuole davvero entrare, è probabile che alla fine lo faccia.
Naturalmente, se riesci a rallentare un attaccante abbastanza a lungo, il valore per loro generalmente scompare. Ma anche questo non è totalmente scontato. L'NSA e altri hanno raccolto molte informazioni per molto tempo. Probabilmente sono costretti a buttare via la maggior parte a causa del costo dell'archiviazione, ma le informazioni crittografate qualche anno fa che non potrebbero essere facilmente spezzate possono certamente essere ora se il desiderio è lì.
-
Quanto tempo impiegherebbe un esperto hacker per trovare la chiave?
Ci sono altre fonti per queste informazioni, dipende dall'implementazione, ma sono disponibili molte ricerche che ti mostreranno quanto tempo ci vuole per rompere le implementazioni specifiche.
Ancora una volta, però, non dimenticare che passare attraverso un percorso diverso (ad esempio malware o altri hack sui punti finali) potrebbe essere molto più rapido rispetto al tentativo di crackare direttamente HTTPS.
Dovresti anche eseguire una ricerca su "Vulnerabilità HTTPS" che evidenzi i numerosi e in continua evoluzione dei problemi con HTTPS che, in molti casi, significa che gli aggressori non devono forzatamente inserirsi in esso.