Qual è la probabilità che un'organizzazione governativa abbia una copia delle principali chiavi private di .COM? [chiuso]

1

Questa è una domanda un po 'vaga, ma sembra rilevante in questi giorni con le informazioni su tutti quei programmi di "spionaggio di massa" che sono trapelati. Descriverò lo scenario e voglio solo sapere se è possibile secondo le leggi vigenti (in particolare, le leggi degli Stati Uniti, ma sarei interessato anche alle leggi di altri paesi), e se è così la probabilità che sia già avvenuta:

A major corporation with a major website (let's say Yahoo) receives a notice that one of their users is under investigation and they are asked to release all relevant info on said user. Not wanting to cause trouble, they politely comply and nobody except for the government organization and a few people at the company knows what took place. Some time goes by and they are contacted again, this time being told that the user under investigation has taken measures to obscure his/her identity and they are not able to pinpoint them to any one username. They are, however, able to tap the user's line and need the website's private key in order to decrypt that user's traffic. The company hesitantly agrees, the investigation finishes, and the government organization thanks them for their help. However, it's not over. The government organization has in their possession the private key that protects millions of users' data and could pass it around secretly to other entities. If it were given to another government organization that had set up the means to intercept data on a mass scale, they would be able to secretly decrypt all data to and from that website without any billion-dollar supercomputer.

Alcuni incidenti come questo e TUTTE le chiavi private per i migliori siti Web del mondo potrebbero essere raccolte (e non mi sembra uno scenario molto improbabile per me ...) Che cosa fai pensate?

    
posta hololeap 03.07.2014 - 00:50
fonte

2 risposte

2

Conversione del mio commento come risposta:

Sono già stati pubblicati molte notizie su questo punto. Le agenzie federali, infatti, chiedono le chiavi e le ottengono.

    
risposta data 03.07.2014 - 04:00
fonte
2

Ricorda che, anche con la chiave privata, se un sito utilizza Perfect Forward Secrecy, ci vorrebbe un attacco attivo (MITM) per vedere il traffico, e potrebbe essere visto solo dopo la chiave è stato acquisito. Il semplice rilevamento dei dati e l'analisi successiva sarebbero insufficienti. Inoltre, molti dei siti di grandi dimensioni hanno più chiavi e le ruotano frequentemente. Ad esempio, se si utilizza encrypted.google.com, si noterà che la data di scadenza è inferiore a 3 mesi dalla data di rilascio del certificato.

Quindi, mentre quello che descrivi è possibile, ci sono misure tecnologiche che possono essere impiegate per rendere più difficile per i governi condurre questo tipo di sorveglianza della rete.

    
risposta data 03.07.2014 - 02:06
fonte

Leggi altre domande sui tag