Macil

Если внешние адреса не хранить, а ограничиться классами/направлениями и не делать тарифы с оплатой за трафик — не создаёт.

Да везде. Только ненадёжно это будет. В общем случае вам придётся хранить статистику по внешним адресам. Или мириться с ограниченными возможностями исправления косяков тарификации (ваших ли, биллинга ли). Понятно дело, придётся лить в биллинг нетфлоу или каким-то другим образом получать данные о потоках. Достаточно одной DOS (даже с одной D) атаки чтобы ваше оборудование и биллинг захлебнулось в нетфлоу, а техподдержка была выведена из строя "мутной волной хомячков" ©.

А зачем вообще сервер *забирать*? Щас вон как у нас, в TLS 1.2? У нас щас сервер посылает нам зашифрованный криптографический контекст. Типа, чувак, подержи у себя, негде мне. А ключи сколько раз ротируются? И между узлами мигрируют. Но это уже прошлое. И доживает последние дни. В TLS не нужно ничего ломать. Достаточно сделать так, чтобы либо: а) одна из сторон генерила ключи по какому-либо закону; б) одна из сторон использовала ServerHello.random / ClientHello.random в качестве канала утечки. Если всё сделано правильно, то ничего извне обнаружить невозможно. Организовать это можно разными способами. И упирается всё только в отсутствие необходимого массива сырых данных. Зачем всё это — вопрос тридцатый. Но факт, вся эта TLS-истерия умело используется для нужд интернет-компаний. Их-то профит понятен: защита *их* трафика. Уже давно шифрование используется как средство чтобы приструнить распоясавшиеся миддл-боксы. Кстати, защита трафика и выдача ключей спецслужбам друг-другу не противоречат. Для спецслужб профит, я думаю, в следующем: Во-первых, можно невозбранно собирать трафик. Поскольку всё шифровано, то аргументы о вмешательстве в частную жизнь идут лесом. Поскольку всё шифровано, сбор можно поручать любым неграм по объявлению, не боясь любых репутационных последствий. Во-вторых, метаданные (кто кому куда) никуда не делись. Более того, в случае TLS 1.2 в открытом виде передаётся много всякой вкусноты типа сертификатов в т.ч. и клиентских. В TLS 1.3. остались только SNI и ALPN, но и это не мало. В-третьих, тотальное шифрование — лишний повод для расширения полномочий и закручивания гаек. Полицейские меры были и есть наиболее эффективным способом решения различного спектра задач. В-четвертых, тотальное шифрование — оправдание чрезмерного применения силы, нарушения закона и сомнительных с точки зрения этики мер. Незаконные задержания, пытки, целевые атаки на инфраструктуру с использованием в т.ч. покупных уязвимостей. Теперь есть железобетонный аргумент. В-пятых, возможность заболтать любую проблему. Стоит только поднять тему контроля над криптографией. В-шестых, я думаю у спецслужб и интернет-компаний есть договорённость: вы нам не запрещаете заниматься защитой своего трафика от обнаглевших миддл-боксов, а мы вам за это организуем «интернет по паспорту». В рамках TLS 1.3 проверка клиентского сертификата не является неотъемлемой частью хэндшейка. Последнее препятствие пало.

Дык, всё много проще! Не нужно перечислять сервисы: достаточно просто сказать «HTTP/2». И хотя в спецификации TLS как MUST не объявлен, все современные браузеры работают только через TLS. Утверждают, что на этапе тестирования столкнулись с адскими middle-box'ами, которые резали всё что не HTTP/1.1 Но TLS'изация только всё усугубляет. Когда шифрован весь критичный трафик, нельзя задавить эту дурацкую затею аргументом о защите неприкосновенности частной жизни. Ясен пень, будут списки AS, трафик для которых хранению подлежать не будет. Зачем всякое говно хранить? Но зашифрованный трафик храниться будет, и увы, очень резво расшифровываться. А дальше будет и ещё хужее.

Вот только эта часть в финальный закон таки не попала... Так что можно смело расслабить булки. На время. Ребята, извините, но впредь ваши «новости» будут считать по-умолчанию недостоверными и искажёнными. Ибо, вам-то всё-равно видимо, а вот свою репутацию можно серьёзно подпортить.

Прекрасно! Прекрасно! Но ведь Россия — не СНГ, да? Разбивки по странам в докладе нет. Но на инфографике Россия закрашена тем же цветом «0-25», как и большая часть Европы. Относительно высокие показатели СНГ обеспечивают Туркменистан, Узбекистан и Киргизия. Короче говоря, судя по докладу у нас все примерно так же как в Европе, Северной Америке и Австралии. А вас я *второй* раз поймал на вранье.

Я, кончено, допускаю что могу возникнуть серьёзный дисбаланс в виде тарифа «Хомячьё 2.0» (Гугл, Яндекс, Соцсети, смотрёшки, танчики, плюс навязанные госуглуги), а всё остальное на минимальной скорости, но это слишком сложно реализовывать. Ликвидировать анлимы?! DDoS-атак на своих хомячков захотели? Тут даже и злого умысла не нужно: 10-я венда — одна сплошная DoS-атака...

Понял. Учту в работе над аргументацией.

Ложным чувством безопасности. Меньшей степенью контроля со стороны пользователей. Излишней сложностью стека технологий. Новыми векторами для атаки. Новыми возможностями осуществления слежки и контроля. Формированием нового карго-культа. TLS служит средством противостояния интернет-компаний со спецслужбами и с друг другом. TLS — «аргумент» в сраче по поводу сетевой нейтральности. TLS — всё что угодно, только не то что нужно простым пользователям.

Угу, а другие фильтруют по SNI. И сколько у оператора абонентов?

Ну-ну, не надо. Конечно безусловную модификацию проходящего трафика можно считать формой MITM, но всё-таки MITM, это кода «третья» сторона активно вмешивается в проходящий трафик. От такого рода «атак» защищает обычное скремблирование, даже Диффи-Хеллман без надобности.

А всех операторов объединят в один и будет он называться «Объединённым Оператором Стационарной и Сотовой Связи».

Правильно. Только пойми, наконец. Сервер — это и есть главная крыса!!! TLS для интернет-компаний — такой способ защиты «своего» трафика в области последней мили. На всё остальное они — срали. Мир он не чёрно-белый, даже не серый, мир — цветной. Гигантский объём трафика. Вызывает проблемы с маржинальностью и репутационные риски. Ещё хуже. Повышается гранулярность: вот секретный ключ для сервиса «ваньки-встаньки», а вот для сервиса «сиськи-письки». Да забудь ты слово «MITM», наконец! Нет такого слова. Нет такой атаки в реальном мире. Она живет только на страницах научных статей, в лабораториях, и в виде пугала для наивных хомячков, чтобы они быстрее TLS'изировались. Как только твоя цепочка рассуждений упёрлась в MITM — смело выкидывай её в помойку и начинай всё с чистого листа. Если интересно, найди выступления Яна Гольдберга — создателя OTR. У него много полезного по данной тематике. То же самое у Signal, но у них куда меньше научпопа. Смысл в том, что «вторая» сторона — суть такая же крыса, но в отличие от мифической «третьей» стороны, она присутствует здесь и сейчас. И не нужно её кормить вкусняшками в виде электронно-цифровых подписей.

Банки уже давно и прочно обрадовали. Вам, операторам, такая радость и не снилась. Ой чушь несёшь! Массовый падёж кредитных организаций начался в 1997-м году, когда первый угар либерализма прошёл, и стали таки осознавать *что* сотворили. Так этот процесс и идёт, немножко притормозился в начале 2000-х когда ЦБ переваривал богатое наследие 90-х, чуть ускорился после создания АСВ. Но не волнуйся, осталось столько, что хватит ещё лет на дцать. А потом действительно останется сотня, и действительно кредитных организаций, а не криминальных контор. А обработка налички, на самом деле, тот ещё геморой. Банки ей заниматься ой как не любят. Которые нормальные, кончено.

Поздравляю, гражданин соврамши! http://wlcg.web.cern.ch/

А метрологические сертификаты на эту хрень имеются?

В Германию, же!!! Бу-ха-ха-ха-ха-ха-ха!

Это же в TLS1.3 починили? Нет. И не починят. Разбрасываться своими ЭЦП направо-налево — дурной тон и источник проблем в будущем. Третья сторона их не увидит, т.к. ранняя выработка ключа, а вот сервер вполне сможет сохранить до «лучших времён».

Ага, и суперкуки в нагрузку с криптографической привязкой юзера к сессии, доступной для подтверждения третьими лицами. Нафиг-нафиг. Если интересно, как это должно делаться, можно посмотреть протокол Signal'а (дальнейшее развитие OTR).

Реалии действительно изменились. Интернет-компании считают пользовательский трафик таким же активном, и предпринимают меры по его охране. Всё бы ничего... Но: Во-первых, охраняют его даже от конечных пользователей, особая «жопа» в мобильном секторе, где возможности контроля и так слабы. Во-вторых, главный принцип TLS — end-to-end шифрование. Это подразумевает, что данные проходящие по каналу одинаково важны для обеих сторон. На деле же, для интернет-компаний важна только защита целостности в диапазоне последней мили и некая защита от того что я называю «случайным прочтением». На конфиденциальность в строгом понимании они просто срали. В-третьих, ничто не мешает интернет-компаниям сливать ключи. И не секретные ключи своих сертификатов как свято веруют попогандоны TLS, и не каждый сессионный ключ по отдельности. В рамках TLS 1.2 достаточно сливать ключ который используется для шифрования расширения «SessionTicket» RFC5077. Вот например, креатив от твиттера https://blog.twitter.com/2013/forward-secrecy-at-twitter-0 Краткое содержание: ключ ротируется раз в 12 часов, SessionTicket действителен в течение 36-часов. И как написано! Какой слог! Они, оказываются, неусыпно заботятся о нас. Есть более свежее исследование, повящённое в т.ч. и другим способам слива: Drew Springall, Zakir Durumeric, and J. Alex Halderman «Measuring the Security Harm of TLS Crypto Shortcuts» полюс несколько других статей на тему за авторством Хальдермана. Там тоже всё плохо. Вопиющий п..ц в виде SessionTicket пофиксили в TLS 1.3. Но есть и другие способы слива. Ведь схема Диффи-Хеллмана помимо режима «MITM» может работать и в режиме «крыса». Одной стороне просто достаточно «зажать» секретный ключ. И до недавнего времени это являлось повсеместной практикой. Пока, реально, жареный петух (т.е. Heartbleed) в жопу не клюнул. Но и это без разницы, просто достаточно чтобы одна из сторон генерила ключи по определённому закону. С помощью нистовского генератора ПСП, например. В TLS 1.3 много всего пофиксили, и я первый как только настанет время отрублю TLS 1.2 везде где только можно. Но картина вырисовывается просто чудовищная. а) PSK; б) преаутентификация; в) post-handshake authentication. И вроде бы всё верно, и вроде бы всё «маст хэв». Только вот как ты правильно заметил «реалии-то изменились». Из вышеперечисленного меня больше всех волнует «post-handshake authentication». Что раньше мешало интернет-компаниям просить ClientCertificate? Во-первых, отсутствие опыта массовой выдачи сертификатов. Давно уже пофикшено всякими глупыми инициативами типа Let's Encrypt. Во-вторых, лишний RTT и соответственно лишняя латентность которая у TLS 1.2 совсем не фонтан даже без этого. Пофикшено в TLS 1.3. В большинстве случаев никакого негативного влияния на латентность теперь нет. И главное, сервер в любое время может запросить у клиента его сертификат, уже после того как отослал нужные данные чтобы пользователя не раздражали левые задержки. Опять же, просить нужно будет только один раз на PSK, так как сервер будет прекрасно уметь ассоциировать разные соединения как в пространстве так и во времени. Хотели «интернет по паспорту»? Встречайте, в феврале 2017-го. На всех устройствах планеты. Какая «Яровая»? Интернету настал полный карачун, и совсем не из-за того что на вас тут пытаются навесить некий груз социальной ответственности.

«Как-то неправильно» началось, к сожалению, с момента появления CIDR. Уж больше 20-ти лет как... А DPI... Вот взять одного широкоизвестного провайдера, фильтруют, умники, TLS через анализ SNI. Нет бы сертификата подождать, и тогда уж точно. При «любой погоде». Но нет... Нетерпеливые мы! И все, главное, довольны... Даже я, ибо мало в этой жизни поводов для искреннего веселья. Запад в эти игрушки играть начал намного раньше нас. Намного. И чё? Да ноль полный: кто-то свыкся, найдя разумный компромисс, кто-то дощёл до своих конституционных судов. С вполне предсказуемым результатом. Главный вред-то от этого уже нанесён, к сожалению, уже давно. Тотальная TLS'изация. И вы, братцы кролики мелокопоместные операторы, несёте за это часть ответственности. Нефиг было лезть своими кривыми загребущими ручонками в трафик больших дядь и корёжить глобальные телекоммуникации своими кривыми мидл-боксами! Большие дяди малость обиделись, и наняли п..ков из EFF и ещё кой кого похуже. А политиканы и разнообразные борцуны (которые искренне считают что MITM-атака — самое страшное) просто довершили начатое. Хомячьё радостно хрюкая копается в ВПН'ах. «Чё, крута! Я теперь борцун с системой!» И стоим мы на пороге такого п..ца, что даже *мне* страшно делается. Фреймворк для тотального овладевания он уже здесь, на каждом девайсе. Осталось его только запустить.

Работать не будет. Всё же зашифровано. До меня только что дошёл смысл тотальной TLS-изации: можно невозбранно обязать операторов связи бесстыдно копировать трафик, не опасаясь что какой-нибудь местный датамайнер-самоучка что-нибудь отчебучит, да и от хакеров защищаться особо не нужно.

К этому времени появятся 10Г винты и 25Гбит ethernet. Скорости же вырастут незначительно. Потому что хомячкам не надо... В TLS 1.2 ключи сливаются элементарно. В 1.3 — чуть сложнее, но тоже просто. При содействии целевой интернет-компании, ессно. Учитывая то что все иностранные интернет компании у нас уже окуклены, то картина печальна. А операторам беспокоиться не стоит. Выдадут вам по кредиту по льготной ставке — и вперёд и с песней.

Не узкое. Но гуглу последнему в очереди надо чтобы копались в *его* трафике, собирали статистику о *его* ресурсах, подменяли *его* рекламу, мониторили *его* пользователей, и устраивали с ним контентные войны. Все: от властей Германии до мелких операторов. От конкурентов типа M$ до провайдеров-подкаблучников типа Вирджина. Фейсбук вообше пропихивает GUE. С DTLS ессно. Всё это уже было... Неоднократно. И трекинговые куки, и вмешательство в TCP и более изощрённые вещи. Это нервирует инвесторов. Фишка в том, что сейчас есть возможность собрать свою DPI на коленке. Т.е. проблема уже упирается не в железо типа всяких дорогущих FPGA-решений, позволяющих принимать 100500MPps, а в чисто в анализаторы всякой проприетарной L7-фигни.

ИМХО, лучше брать раскладку по AS: гугл, фбук, контакт и т.п. Вангую, что минсвязи именно так и вывернется: укажет список AS и классы трафика, которые *не* храним, ибо мусорный/шифрованный/неактуальный.