¿El cifrado SSL de Google para búsquedas frustra el espionaje de la NSA?

8

Teniendo en cuenta todo lo que se sospecha sobre el acceso de NSA (y GCHQ, DGSE, etc.) a los datos del usuario:

Evitando la especulación, podemos y sabemos si la acción reciente de Google para hacer que todas las búsquedas utilicen cifrado SSL en realidad evitará dicho espionaje?

Si no, qué más (además de lo que hemos visto ) tendríamos que hacerlo saber, saber eso?

    
pregunta Baumr 30.09.2013 - 16:51
fuente

3 respuestas

8

HTTPS, también conocido como SSL, solo protege los datos en tránsito. Google cambia automáticamente de HTTP a HTTPS significa que la consulta de búsqueda desde su navegador al servidor de Google se encripta. Pero en el servidor de Google, el túnel SSL finaliza y se descifra. Esto evitará el espionaje solo bajo las dos condiciones siguientes:

  • De hecho, los espías observaban el tráfico entre la máquina cliente y el servidor de Google (en lugar de simplemente solicitar una copia de los datos a Google).
  • El usuario realmente se da cuenta de que Google redirige a la URL de HTTPS y "se ofende" si la redirección no ocurre.

El segundo caso es contra espías activos que harían un Man-in -el ataque del medio , que es altamente factible en HTTP (sin SSL). Dado que la redirección a HTTPS se produce en el nivel HTTP, antes (por supuesto) que realmente ocurra SSL, entonces el MitM puede bloquearlo y mantener la ilusión de un servidor de Google que no sea SSL.

En cualquier caso, para una gran agencia gubernamental de los Estados Unidos como la NSA, contar con la ayuda de algunas personas en Google, para obtener una copia de los datos de la consulta, probablemente sería mucho más fácil y más eficiente que el trabajo a regañadientes de espiar Líneas de red. Google, al ser una empresa con sede en EE. UU., Cumpliría o se vería obligado a cumplir con una (pequeña) fracción del costo que implica el espionaje generalizado. La recuperación de datos de consulta de Google también funcionaría para consultas que son inconvenientes para espiar, por ejemplo. para una conexión desde un país no estadounidense a un servidor de Google no estadounidense.

Por lo tanto, me parece improbable que la habilitación de HTTPS sea realmente relevante para el supuesto espionaje de la NSA. "HTTPS para todos" es más un movimiento de marketing / relaciones públicas que una mejora real de la seguridad, en el contexto de Google y suponiendo que el "enemigo" es la NSA.

    
respondido por el Thomas Pornin 30.09.2013 - 17:23
fuente
2

Suponiendo que desea hablar con Bob, cualquiera de las siguientes suposiciones anularía (o debilitaría sustancialmente) cualquier protección otorgada por HTTPS contra algún adversario de escuchas ilegales:

  • El adversario tiene acceso a los registros del servidor de Bob (ya sea a través de la cooperación, la coacción o el compromiso), para que puedan ver sus comunicaciones con Bob después del hecho.

  • El adversario puede suplantar a Bob exitosamente, ya sea por posesión de la clave secreta de Bob o por falla del sistema PKI (por ejemplo, obtienen un certificado / par de llaves que afirma ser Bob, firmado por una CA en la que su computadora confía ).

  • El adversario ha roto de alguna manera el SSL.

Ninguna de estas posibilidades parece demasiado remota para un importante programa de inteligencia nacional.

Una preocupación más débil es que un atacante de hombre en el medio podría realizar un ataque de supresión de SSL. Intenta visitar el sitio de Bob a través de HTTP y el sitio de Bob promueve todas las conexiones entrantes a HTTPS. Sin embargo, un atacante te impide llegar al sitio de Bob. En su lugar, el atacante le entrega el contenido del sitio de Bob a través de HTTP simple, mientras que usted no es consciente de que su conexión debería se realizó por SSL.

Este problema se mitiga con los sitios que utilizan Seguridad de transporte HTTP estricto (HSTS), que le indica a su navegador que solicite recursos. de ese dominio solo sobre HTTPS. Su visita inicial al sitio está abierta a un ataque de supresión de SSL MITM, pero no las visitas futuras, ya que las solicitudes HTTP se convierten automáticamente en solicitudes HTTPS antes de que salgan de su navegador. Algunos navegadores tienen instrucciones HSTS precargadas para sitios particulares, lo que elimina aún más el problema de la primera visita de esos sitios.

Teniendo en cuenta todo lo que he dicho anteriormente, el cambio a HTTPS lo protege de un fisgoneador casual que ejecuta un detector de paquetes en la red inalámbrica de su cafetería.

    
respondido por el apsillers 30.09.2013 - 19:09
fuente
-3

Permítame decirle que las agencias especiales como NSA tienen protocolos directos para Google, Facebook, Yahoo y la mayoría de las compañías grandes y famosas (especialmente las compañías que pueden recopilar datos sobre usted).
No necesitan su contraseña o cifrado para ingresar a su cuenta.
E incluso algunos de los estándares de cifrado fueron modificados por las agencias, incluido SHA e incluso algunos (antiguos) estándares de cifrado GSM (que estaban muy extendidos en el mundo y muchos proveedores de todo el mundo los utilizaron).

Por lo tanto, estos cifrados no lo hacen más seguro de espiar.
Pero te protegen de hackers individuales (a menos que estén bien preparados).

Aquí hay algunas fuentes:
SHA-2 diseñado por la NSA, la familia SHA-256 y SHA-512 >
interferencia NSA en estándares, NIST e ISO

    
respondido por el Jet 30.09.2013 - 17:06
fuente

Lea otras preguntas en las etiquetas