冲突
每个人都希望自己隐私,但很少有人真的对别人的尊重。隐私感知个人将采取措施,即使在工作时也会守卫自己。企业担心自己的机密性和实施拦截,以便以牺牲个人隐私为代价来保护它。
拦截技术是许多企业在维护机密性和防范数据外泄时必不可少的组成部分。不用说,这对坚定的个人隐私拥护者来说并不是件好事。
它没有帮助同样的技术用于授权和未经授权的拦截,特别是当“授权”是主观时。
MITM和TIA:攻击和策略执行
中间人(MITM)和TLS拦截应用程序(TIA)系统终止具有证书的传输层安全性(TLS)会话,理想情况下是由客户端信任的。然后,他们将第二个TLS会话建立到实际主机,允许通过Whomever运行系统的解密数据。
从技术的角度来看,两者之间没有真正的区别。这只是一个合法性问题。助理部队是非法的,因此是关于机密性的攻击。TIA在大多数情况下被授权并被视为强制执行策略的审计工具。
在创建解决方案以防止对机密性的攻击时,这就产生了一个困难的场景。我们如何在允许策略执行的同时阻止攻击?
tia和可信私有ca
TIA通常是从可信私人证书颁发机构(CAS)发出的动态证书。最终,在任何给定的安全目的地中的信任是客户的作业,因此如果客户端信任所呈现的证书链,则将被接受为有效。如果链条与服务器的实际证书链完全不同,它真的无关紧要。客户对有效的内容的解释是最重要的。TIA在这里有优势,因为他们发出的动态证书是由客户端的信任。
mitm和用户教育
另一方面,助攻通常正在做两件事之一;they’re working in conjunction with malware that installs invalid entries into the client’s list of trusted certificates or they’re not even trying to make a pretense at legitimacy and are presenting completely invalid certificates and relying on user ignorance to get what they’re looking for.
恶意软件的安装对于大多数桌面支持小组来说都是一个持续存在的问题,需要不断的努力,但是由于缺乏经验的用户放置了他们不应该信任的网站,所以经常被安装。不顾警告而接受完全无效证书的用户属于同一类。这些问题都可以通过教育来解决。
硬钉证书和丹麦丹麦证书
无论对错,仍然会有一些人希望确保流量不会被拦截。mitm和TIAs都可以被击败,但这仍然取决于客户端决定什么是不能信任的。
一种方法是将服务器的证书硬固定到客户机应用程序中,以便只有该证书是可信的。这将导致应用程序拒绝除了它知道是正确的证书之外的任何内容,包括mitm和TIAs提供的任何内容。对应用程序的未来更新可以包括升级的证书,但它是不可伸缩的。
更有趣的是,下面有一个基于dns的命名实体认证(DANE)的新规范RFC 6698。这将建立一个新记录,允许客户端通过DNS验证证书本身,可能会导致mitm和TIAs提供的证书无效。
可能......
理想主义和意志
端到端加密不可能被拦截的理由,在很大程度上属于个人理想主义范畴。回到本文的开头,我曾写道,我们真正担心的并不是他人的隐私。软件架构师设计带有固定证书的应用程序。互联网工程师提出了像DANE这样的标准。
对授权拦截的需求来自商业和法律要求。实现绕过这一问题的技术的意愿并不重要。这就是为什么使用证书固定的应用程序不常见的原因。这就是为什么DANE没有出现在任何主流浏览器中。
《窃窃私语》
网络流量的加密首先需要对敏感信息保密。无论我们处理的是个人利益还是商业利益,要求都是一样的。不幸的是,这就是共性的终结。
企业希望保护他们的机密信息不被外泄,并且出于法律目的,他们希望审计追踪。个人(正确或错误地)主张隐私权,但不希望上述任何一项。
只要这些组织之间存在利益冲突,就会出现加密和拦截的变通办法,但变通办法是个人的领域,可见性是商业领域。虽然我很想为失败者加油,但明智的选择是后者。
阅读我的其他博客
Web安全流量审计的矛盾需求
