Google ввела изменения в метод шифрования HTTPS трафика для своих продуктов

image

Теги: Google, HTTPS, трафик

Новое HTTPS решение от Google используют ECDHE_RSA код для обмена ключами и алгоритм шифрования RC4_128 .

Google изменила метод шифрования HTTPS, используемый службами компании, для того, чтобы в будущем защитить передаваемый трафик от расшифровки.

Большинство сегодняшних HTTPS протоколов используют закрытый ключ, который известен только владельцу домена, для генерации одноразовых ключей, которые потом используются для расшифровки трафика между сервером и его клиентами.

Для того чтобы снизить вероятность расшифровки трафика, Google ввела свойство, которое гарантирует, что при компрометации одноразового ключа, доступ к данным, защищенным остальными ключами, будет закрыт. Данное свойство протоколов известно как совершенная прямая секретность (Perfect forward secrecy).

Таким образом, злоумышленник, который сможет взломать один из ключей, не сможет получить доступ к большей части трафика, например, службы электронной почты Gmail.

Новое HTTPS решение от Google используют ECDHE_RSA код для обмена ключами и RC4_128 алгоритм для их шифрования. К сожалению, такая комбинация на данный момент поддерживается только браузерами Firefox и Chrome. Это означает, что HTTPS связь в браузере Internet Explorer будет менее безопасной.


или введите имя

CAPTCHA
Страницы: 1  2  
19885
25-11-2011 13:44:40
Меня как то не волнует компрометация одноразовых ключей. Меня волнует сам гугл и письма, которые при удалении никуда не удаляются с серверов. А также Chrome с его уникальными для каждого пользователя ключами которые передаются на сервера компании при поисковых запросах.
0 |
Не понятно
25-11-2011 16:23:03
Тут понял - "гугл добавил поддержку ещё одного метода шифрования для SSL", а тут не понял: "при компрометации одноразового ключа, доступ к данным, защищенным остальными ключами, будет закрыт". А что, раньше одноразовый (сеансовый) ключ мог подвергнуть компрометации другие ключи (или аж "закрытый ключ владельца домена")? Можно поподробнее?
0 |
Алексей
25-11-2011 20:04:39
Исли ваш шифрованный трафик аккуратно дампили, а потом заполучили приватный ключ, то без проблем можно получить сначала сессионный ключ из хендшейка SSL-протокола, а потом и весь трафик "вскрыть".
0 |
RU_LIDS
25-11-2011 20:44:30
Упрощенно поясню так. При работе с сайтом создаются несколько сессий обмена информацией. В обычном режиме все они шифруются одним сессионным ключом. В случае PFS каждая сессия шифруется отдельным сессионным ключом. Это защищает от расшифровки сразу всех сессий, но вызывает повышенную нагрузку на сервере.
0 |
Алексей
26-11-2011 17:41:43
Вы настолько упростили,что неправильно все пояснили Применительно к рассматриваемому случаю ключевая особенность PFS основана на том, что для каждой сессии (в общем случае) генерируется своя дополнительная пара приватный-публичный ключ и уже при помощи данной пары происходит согласование сессионного ключа, например, для тех же самых симметричных алгоритмов.
0 |
Ха=ха
25-11-2011 18:57:04
балаболы
0 |
Алексей
25-11-2011 20:02:08
Мда уж... А мой-то первый комментарий, про кучу ошибок в статье потерли. Современные СМИ, блин
0 |
K.O.
25-11-2011 20:16:38
http://karmanov.wordpress.com/2011/11/25/google-save-you/ Секьюритилаб такой весь секьюрный.
0 |
27-11-2011 04:07:45
И сюда кармашка протащили. Не, красноглазики идиоты, с этим не поспоришь, и боженька им карманчика послал вовсе не зря - но зачем же воспринимать все, что пишет этот товарищ всерьез? Он же местами неприкрыто троллит, а несогласных по привычке банит. Этакий IT-шный Гоблин.
0 |
27-11-2011 04:29:50
Русланчик зам зап*зживается регулярно. http://kb.atraining.ru/beast-move-from-ssl-to-tls/ Обращу внимание, что атака не зависит от используемого симметричного алгоритма, а лишь использует то, что в SSL/TLS используется схема CBC, а не ECB. Смотрим и о ужас - ECB - cамый примитивный метод и с ним было бы еще хуже.
0 |
12535
27-11-2011 23:52:13
Ну нашли у него ошибку, что дальше делать будете? Плясать от счастья? В данном случае(про гугл) он пишет верно и красноглазики тут ни при чем. Стиль у него такой описывать все с черной стороны.
0 |
28-11-2011 20:52:21
У него стиль описывать все с мелкомягкой стороны, к тому же безбожно тролля. "Ух ты, гугл включил то, что в Браузере Для Умственно Отсталых уже 5 (10, 15) лет как есть." Про то, что оно гарантированно есть "А поддержка PFS в винде уже с 99 года". А придумали ее еще раньше, и вовсе не майкрософт. И ее не включали на серверах скорее всего по причине производительности. Опять же - когда эта опция появилась в OpenSSL? Таким образом, злоумышленник, который сможет взломать один из ключей, не сможет получить доступ к большей части трафика, например, службы электронной почты Gmail.Переводчик точно не понимает, что такое PFS и как оно работает, потому что из данной фразы следует, что до включения PFS можно было, взломав один из ключей, получить доступ к большей части трафика Gmail. Если это так, то Google имеет смысл самораспуститься прямо сегодня вечером. Но не суть. Дальше он [излагающий] просто превосходит сам себя:Переводчик может и не понимает никуа, но написал он правильно: без PFS, взломав или украв закрытый ключ гугла, можно расшифровать весь захваченный до этого траффик. Пруф - Wireshark, вводим закрытый ключ SSL и можем пассивно расшифровывать траффик.
0 |
28-11-2011 20:53:20
То есть, русланчик - это красноглазик наоборот: если те живут в пры щемирке, уютном маленьком мирке, где все под линукс, даже небо, даже аллах, то у карманчика акне/спермомирок: все есть только под винду. Даже там, где она занимает действительно нишу, узколобый товарищ упорно игнорирует все остальное. Отсюда вывод: он или идиот, вскормленный на сперме мелкомягких (как бы он хорошо не знал их технологии, нельзя же полностью игнорировать все остальное), или, скорее всего, мелкомягкий пропагандон и слушать его - западло. И смысл его вбросов - защищать продукты майкрософт. Все остальные аспекты он старательно обходит, так что он не обьективен даже на 1%. И ошибок у него предостаточно, и все почему-то в сторону microsoft ) Хотя у пры щелабы тоже рыльце в пушку: новости подаются так, чтобы вызвать холивар. Даже ксакеп ближе к оригиналу, чем секлаб. Новость, если честно, мутная и непонятная. По ней хрен поймешь, кто прав, а кто виноват. Гавенный движок чот не вызывает желания писать длинные комментарии.
0 |
Страницы: 1  2