¿Cuál es la probabilidad de que una organización gubernamental tenga una copia de las principales claves privadas .COM? [cerrado]

1

Esta es una pregunta un tanto vaga, pero parece relevante en estos días con la información sobre todos los programas de "espionaje masivo" que se filtraron. Describiré el escenario y solo quiero saber si es posible según las leyes actuales (específicamente, las leyes de los EE. UU. Pero también me interesarían las leyes de otros países), y si es así, la probabilidad de que ya se haya cumplido:

  

Una corporación importante con un sitio web importante (digamos Yahoo) recibe un aviso   que uno de sus usuarios está bajo investigación y se les pide que liberen   Toda la información relevante sobre dicho usuario. No queriendo causar problemas, ellos educadamente.   cumplir y nadie, excepto la organización gubernamental y unas pocas personas de la compañía saben   lo que sucedió Pasa un tiempo y se vuelven a contactar, esta vez.   Al ser informado que el usuario bajo investigación ha tomado medidas para ocultar   su identidad y no pueden identificarlos con ningún nombre de usuario.   Sin embargo, pueden tocar la línea del usuario y necesitar el sitio web privado.   clave para descifrar el tráfico de ese usuario. La compañía está de acuerdo, vacilante, la   La investigación termina, y la organización gubernamental les agradece por su   ayuda. Sin embargo, no ha terminado. La organización gubernamental tiene en su   Poseer la clave privada que protege los datos de millones de usuarios y podría pasar.   En secreto alrededor de otras entidades. Si se le diera a otro gobierno.   organización que había establecido los medios para interceptar datos en una escala masiva,   sería capaz de descifrar en secreto todos los datos hacia y desde ese sitio web sin ninguna   Supercomputadora de mil millones de dólares.

Algunos incidentes como este, y TODAS las claves privadas para los mejores sitios web del mundo podrían recopilarse (y no me parece un escenario muy improbable ...) pensar?

    
pregunta hololeap 03.07.2014 - 00:50
fuente

2 respuestas

2

Convirtiendo mi comentario como respuesta:

Ya ha habido muchas noticias en este punto. Las agencias federales, de hecho, piden las llaves y las consiguen.

    
respondido por el schroeder 03.07.2014 - 04:00
fuente
2

Tenga en cuenta que, incluso con la clave privada, si un sitio utiliza Perfect Forward Secrecy, tomaría un ataque activo (MITM) para ver el tráfico, y solo podría verse después de la clave fue adquirida. Simplemente capturar datos y analizarlos después sería insuficiente. Además, muchos de los sitios grandes tienen varias claves y las rotan con frecuencia. Si examina encrypted.google.com, por ejemplo, notará que la fecha de caducidad es inferior a 3 meses después de la fecha de emisión del certificado.

Entonces, si bien lo que usted describe es posible, existen medidas tecnológicas que pueden emplearse para que a los gobiernos les resulte más difícil llevar a cabo este tipo de vigilancia draga.

    
respondido por el David 03.07.2014 - 02:06
fuente

Lea otras preguntas en las etiquetas