Перейти к содержанию

Блокчейн защитит вас в Интернете


Рекомендуемые сообщения

Опубликовано

Большинству пользователей Интернета знаком небольшой значок замка в адресной строке, который появляется, если передаваемые данные шифруются. Однако мало кто по-настоящему представляет, как это влияет на безопасность.


Данные, передаваемые по зашифрованному соединению, не могут быть прочитаны посторонними лицами, но само по себе шифрование не гарантирует, что ваша информация защищена. Почему? Из-за так называемой атаки посредника. Злоумышленник может выдать свой компьютер за сервер, к которому вы пытаетесь подключиться, и даже предложить вам зашифрованное подключение. После этого он может ретранслировать ваши запросы правильному серверу и возвращать вам его ответы. Так атакующий может узнать ваш пароль, прочитать ваши письма или получить доступ к вашим банковским записям. Без проверки подлинности сервера, к которому вы пытаетесь подключиться, шифрование не может обеспечить вашу безопасность.


TLS, криптографический протокол, об использовании которого и свидетельствует значок замка, решает эту проблему с помощью системы распространения открытых ключей, которая называется X.509. Она требует, чтобы сервер предоставил сертификат, подписанный известным центром сертификации (certificate authority, CA). Центр сертификации — это доверенная сторонняя организация, которая гарантирует, что открытый ключ, указанный в сертификате, принадлежит подлинному владельцу сервера.


Одному CA не под силу обслуживать всю систему X.509, поэтому в большинстве операционных систем и браузеров вместо одного CA прописаны открытые ключи нескольких десятков корневых CA. Все они могут попдисывать сертификаты любых серверов в Интернете и делегировать это право промежуточным CA, которых насчитывается около 1000. Если сервер предоставляет сертификат с цепочкой подписей, уходящей к одному из прописанных в браузере корневых центров сертификации, браузер считает подключение безопасным и отображает значок замка.



Проблемы

Таким образом, когда вы работаете в «защищенном» Интернете, ваше подключение проверено каким-то центром из этой тысячи. Достаточно взломать один из этих центров, и вся система будет скомпрометирована, потому что, как уже было сказано, любой CA может подписать сертификат для (почти) любого доменного имени. Например, в 2011 году был взломан голландский CA DigiNotar, и хакеры выпустили более 500 поддельных сертификатов. Когда взлом был обнаружен, корневой сертификат DigiNotar был удален из операционных систем и браузеров, а компания обанкротилась, но ущерб уже был причинен.


Беспокоит также то, что некоторые из нескольких десятков корневых CA, которым доверяет ваш компьютер, принадлежат правительству. Вот, например, список корневых центров сертификации, которым доверяет Mac OS X Yosemite. Обратите внимание на записи DoD Root CA 2 (центр сертификации Министерства обороны США), Federal Common Policy CA и CNNIC ROOT. CNNIC расшифровывается как China Internet Network Information Center и принадлежит Министерству информации китайского правительства.


Если вы следите за тем, что происходит в мире, это должно вас встревожить. Министерство обороны США и китайское (да и не только китайское) правительство могут выпустить сертификат (почти) для любого веб-сайта, что позволяет им в любой момент провести нацеленную атаку посредника! Оказывается, что «защищенный» Интернет вовсе не такой уж и защищенный.



Некоторые полумеры

Один из способов решения этой проблемы требует, чтобы операционные системы и браузеры изначально знали, какие сертификаты соответствуют тем или иным серверам. Это решение известно как «прикрепление сертификата» (certificate pinning) и, возможно, используется вашей ОС для подключения к службе обновления. Например, Mac OS X знает, что для загрузки обновлений она будет подключаться только к серверам Apple, поэтому может принимать для таких операций только сертификаты Apple. Это помешает хакерам или правительствевнным агентам воспользоваться процессом обновления для установки вредоносного ПО.


Прикрепление сертификата — хорошее работоспособное решение, но, к сожалению, оно не масштабируется на весь Интернет. По оценкам компании Netcraft, в Интернете насчитывается как минимум 857 927 160 сайтов, а если еще учесть, что сертификаты веб-сайтов приходится часто изменять и отзывать, становится очевидно, что ваша ОС не может связать сертификат с каждым сайтом. Большинство подключений к веб-сайтам все равно остатся уязвимы для прослушивания.


В настоящее время разрабатывается частичное решение, которое называется прозрачностью сертификатов. Оно включает создание журнала выпущенных сертификатов, благодаря которому владельцы доменов смогут узнавать, не являются ли сертификаты, выпущенные для их серверов, поддельными. Прозрачность сертификатов — это шаг в правильном направлении, но он все равно не исключает выпуск поддельных сертификатов, а лишь упрощает поимку злоумышленников. Конечно, это важно, но во многих случаях ко времени обнаружения взлома ущерб уже причинен.



Использование блокчейна

Альтернативой X.509 может стать хранение открытых ключей и доменных имен в блокчейне. Эта идея лежит в основе DNSChain — перспективного проекта фонда okTurtles Foundation.


Я уже писал о том, что для регистрации доменных имен вместо существующей иерархии серверов IANA/ICANN можно использовать Неймкойн. Для решения проблемы распространения открытых ключей разработчики DNSChain предлагают использовать аналогичный подход — просто записывать их вместе с доменными именами. Поскольку данные, записанные в блокчейн, изменить невозможно, это гораздо более надежное решение в сравнении с X.509.


Например, okTurtles зарегистрировали в блокчейне Неймкойна домен okturtles.bit. Как видите, их сервер имеет IP-адрес 192.184.93.146, и в ту же запись они включили свой отпечаток SHA1: 5F:8B:74:78:4F:55:27:19:DC:53:6B:9B:C8:99:CD:91:8A:57:DD:07.


1b.png?w=700


Скриншот JSON-файла, возвращаемого по запросу http://api.dnschain.net/d/okturtles.


Если пользователь может получить доступ хотя бы к одному доверенному серверу, на котором хранится блокчейн Неймкойна, он становится практически неуязвим для атаки посредника при доступе к домену okturtles.bit. Проект DNSChain позволяет заменить хрупкую иерархию доверия к CA гораздо более надежной системой с ограниченным доверием.


В более широком контексте этот проект показывает, насколько наша онлайновая жизнь уязвима из-за доверенных сторон, которые, как убедительно показал Ник Сабо, являются брешами в защите. Блокчейн-технологии позволяют решить эту проблему за счет создания фидуциарного слоя для выполнения наиболее критичного кода. Следует признать, однако, что переход на блокчейн-системы будет медленным и длительным, потому что преодолеть унаследованные проблемы координации непросто.


А тем временем мы продолжаем играть с огнем, и от ожогов не застрахован никто.


Эли Дурадо (Eli Dourado), научный сотрудник Mercatus Center в Университете Джорджа Мейсона: @elidourado.


 readplaintext.com


http://bitnovosti.com/2015/06/03/web-security-is-totally-totally-broken/


Опубликовано (изменено)

"Альтернативой X.509 может стать хранение открытых ключей и доменных имен в блокчейне."

 

Альтернативой не X.509, а способу дистрибуции цифровой подписей этих сертификатов. 

Добавлю, что работающей, уже реализованной, свободно доступной и значительно расширенной функционально альтернативой, является EMCSSL (пруф , proof)

Изменено пользователем Garrett

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйте новый аккаунт в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
  • Похожие топики

    • Robinhood разрабатывает блокчейн «военного уровня»

      Генеральный директор Robinhood Влад Тенев рассказал, что компания разрабатывает блокчейн с крайне высоким уровнем безопасности, который будет подходить для токенизации активов реального мира (RWA). В интервью Bloomberg Television Влад Тенев (Vlad Tenev) рассказал, что токенизация традиционных активов на блокчейне позволит значительно увеличить их доступность для инвесторов.   «Мы работаем над собственным блокчейном, и нам бы хотелось, чтобы он стал базовой инфраструктурой для любых э

      в Новости криптовалют

    • JPMorgan тестирует блокчейн-систему токенизации углеродных кредитов

      Блокчейн-подразделение Kinexys американского банка JP Morgan запустило пилотный проект токенизации углеродных кредитов. Проект реализуется в партнерстве с S&P Global, EcoRegistry и International Carbon Registry. Блокчейн призван устранить проблемы, свойственные американскому рынку углеродных кредитов, такие как фрагментация, нехватка стандартов и недостаток прозрачности.    В JP Morgan объяснили, что токенизация предполагает создание цифровых активов, представляющих право собстве

      в Новости криптовалют

    • Блокчейн-детектив ZachXBT обвинил Garden Finance в содействии отмыванию денег

      Независимый блокчейн-сыщик под псевдонимом ZachXBT обвинил сервис Garden Finance, позиционирующий себя как «самый быстрый мост для Биткоина», в содействии отмыванию денег через криптовалюты. ZachXBT заявил, что более 80% недавней выручки Garden Finance от комиссий было получено при совершении незаконных транзакций, которые могут быть связаны с северокорейской группой хакеров Lazarus. Эти обвинения ZachXBT предъявил в ответ на сообщение сооснователя Garden Finance Джаза Гулати (Jaz Gulati) о

      в Новости криптовалют

    • Fairmint предложила использовать блокчейн на рынке ценных бумаг

      Платформа Fairmint призвала Комиссию по ценным бумагам и биржам США (SEC) помочь создать нормативную базу, которая позволит регулировать использование блокчейна на рынке прямых инвестиций. В обращении к SEC представители Fairmint заявили, что технология блокчейна может заменить устаревшие административные системы на американском рынке частных ценных бумаг, объем которого оценивается в $6 трлн. В Fairmint настаивают: большая часть рынка по-прежнему работает с дорогостоящими системами на осн

      в Новости криптовалют

    • Coinbase: 60% компаний из списка Fortune 500 внедряют блокчейн-решения

      60% участников списка крупнейших американских компаний Fortune 500 экспериментируют с блокчейном и внедряют решения на его основе, сообщили эксперты криптобиржи Coinbase. Согласно данным исследования биржи, каждый пятый топ-менеджер считает ончейн-решения на базе блокчейна важнейшим компонентом долгосрочной стратегии развития своей компании. Этот показатель вырос на 47% по сравнению с 2024 годом. Почти 80% крупных инвесторов планируют увеличить вложения в криптовалюты до конца 2025-го. Кро

      в Новости криптовалют

×
×
  • Создать...