页面

2012年2月13日星期一

小野大神:当网络安全核心机制遇到流氓政府 [CNNIC]

https://oogami.name/799/
小野大神网志
当网络安全核心机制遇到流氓政府

我不想谈任何互联网话题,但是这次(CNNIC 根证书)事件已经直接威胁到我们所有人,我们不应该沉默。"通往朝鲜的路,是每一个沉默的中国人铺就的。"——某推友。

基于非对称加密技术的数字证书机制是互联网安全的核心屏障,所有工业标准安全技术,包括https,S/MIME和ftps,都基于 它。因为这道屏 障,当我们用https浏览Gmail时,当我们用https使用Google Reader时,当我们使用在线SSL代理时,我们有理由相信,我们的隐私和通信不会被某独裁政府、党或它们的审查机构看到。现在,某流氓政府控制下的 CNNIC正试图在这道屏障下放置一个巨型核弹。

事实上,在这个流氓国家,SSL早已不是绝对安全的。当你使用网银、支付宝之类服务时,银行网站已经在你的计算机上安装了根证书,而这 个流氓国家政 府、党和它能够控制的国内一切公司、机构和组织,都是不可信赖的。没人可以确定,某一天这个独裁政权会不会通过其能够控制的根证书对一个 普通公民或"异见 人士"进行中间人攻击。

除此之外,独裁政权还有其它手段,它可以冒充身份向国外CA申请某域名的SSL证书,大多数CA提供一种"Rapid SSL"证书,这种证书申请只需验证域名管理员邮件,全过程只需几分钟。窃取邮件可比窃取私钥容易多了,特别是对这个人类历史上最无耻、最流氓的政权和它 庞大的统治机构而言。

然而,如果CNNIC成为操作系统和浏览器内置信任CA,这依然对我们网络安全有无法想象巨大影响。

I.它使GFW和GOV窃听SSL的成本降为0,并且几乎可以攻击所有操作系统和浏览器计算机。

II.虽然这种中间人攻击很容易被发现,但对流氓政权而言这不是问题。某一天流氓政权可能会立法称"国家使用CNNIC作为官方CA, 对所有SSL 通讯依法审查和管理",把中间人攻击合法化、普遍化,就像企业网关审查SSL的防火墙一样。不要以为这是天方夜谭,我们本来就生存在局域 网中。

III.另外,工信部、CNNIC等部委可能联合出台规定,要求"所有在中国大陆运营的https网站必须使用CNNIC或其它国内 CA签发的 SSL证书",对境外网站SSL证书实行白名单制度,未备案的一律封锁。——就像它们现在想采取的域名白名单制度一样。(这一条很可能发 生,搞不好某天 CCAV就报道"淫秽色情非法网站利用加密技术逃避打击,网络专家表示,SSL证书领域亟待有效监管。")

……

我曾不止一次感到何其幸运,互联网一切不是中国发明的。虽然OSI模型和TCP/IP设计协议缺乏安全性考虑导致容易被流氓政府审查和 阻断,它依然 建立了了一个开放的,分布式的,任何人、机构和国家不可能真正封锁的Internet;虽然DNS协议是现在互联网安全中最弱的一环,虽 然中国已经有了许 多根域名DNS镜像服务器,整个互联网基石——13台根域名DNS服务器——仍然全部在国外;虽然SSL/TLS协议有很多不足,它仍然 是最好的安全技 术,所有的浏览器内置根CA都是国外。——现在,我的最后一个庆幸可能要破灭了,流氓政府下属机构正在威胁整个互联网核 心安全机制

然而,我们无须绝望,我们相信民众的力量,相信自由是无法阻挡的。某流氓政权采取的一切审查措施必将随着其本身一起灭 亡。当这一天最终来临——它必将来临——时,中国网民必将感到欣慰——在几十年里他们几乎都在自由与专制斗争的第 一线。

现在,你要做的是(如果你还没有做),移除和禁用计算机所有 操作系统和浏览器中的CNNIC根证书

附上一段慷慨陈述的话,来自 Bugzilla@Mozilla 关于 Add CNNIC CA Root Certificate 讨论里一位lihlii同学,它说出了所有中国网民、所有中国民众、乃至全世界所有热爱自由人们的心声。

(更多中国民众呼声见这 里

1. Is it considered by CNNIC as "service on technology and research" to spread malware with administrative power to spy on Internet users?  2. Is it considered by CNNIC as "service on technology and research" to ban personal website registration in the .cn domain space [1][2][17]?  3. CNNIC banned the DNS resolving of a lot of independent websites, such as bulllog.cn [1][2].  Is this considered by CNNIC as your way of "service" of "registry for Chinese Domain Name"[4]?  Is this considered by CNNIC as "the similar role as VeriSign"[4]?  4. Is CNNIC "qualified with the international criteria"[4] as a trustworthy certificate authority?  5. Why did Liu Yan try to mask the real face of the PRC governmental nature of CNNIC [5]?  Why did he even tried to hide the application by setting the bug report to "Restricted Visibility"[6] at first?  6. Liu Yan said: "CA is a new operation for CNNIC to protect Internet security"[5].  Is it considered by CNNIC as "operation to protect Internet security" by spreading unremovable malware to spy on users' Internet activities exploiting security flaws of the browsers, as CNNIC did [9][18]?  Liu Yan further claimed that "the WebTrust audit for government is much simpler compared to company"[4].  So do you think CNNIC is a government or not?  If CNNIC is controlled by the PRC government, why don't you dare to clearly admit it, but misled the readers by posing as a "just offers service on technology and research" [4]?  What's the motivation to hide the real identity of CNNIC? :)  Liu Yan(注:为在Mozilla社区发帖的CNNIC雇员) said: "There is no possible for us to monitor the user's actions or do some attacks. I think every technical personnel knows that."[4]  Unfortunately, this is an arrant lie.  CNNIC not only DID "monitor the users' actions" with intentionally spreaded malware [9], but also cooperated actively with the PRC government to crack down independent blogs and websites [1][2][17].  It's also highly possible that they may actively cooperate in MITM attacks with such a government which attacked [15][16] its citizens, as well as dozens of companies and many computers of foreign civil organizations and government offices [10][11].  Further, Is PRC government a decent government?  Should a government put all their citizens in an information jail by building a GFW (Great Firewall) [7][8][14] to block their access to Internet? Should a government enforce news and speech censorship [14] on all the websites including search engines to block criticism on the crimes they committed? Should a government jail journalists and writers for their free speech [14]? Should a government kill the college students and citizens with guns, and roll over the bodies of college students with tanks? [19] Should a government cheat the world by hiding information about SARS and melamine contaminated milk[3] which caused repetitive man-made disasters, and further punish those who told the truth?  Is this PRC government a real government, or is it a maffia group? :)  Liu Yan claimed that the CNNIC is a subordinate of "Chinese Academy of Sciences".  Let's take a look at what kind of "research" the "Chinese Academy of Sciences" has done before. :)  The Institute of Acoustics, Chinese Academy of Sciences closely cooperated with the PRC government in Internet censorship.  Same as CNNIC which "takes orders from the Ministry of Information Industry (MII)" [26], they developed some natural language machine understanding algorithms for Internet text censorship [25].  The target of their research is to distinguish speeches of the opponents of the government from those of the proponents, which general keyword based filtering can't achieve.  Their "research" was already deployed in the censorware "Green Dam"[22][23], which was orderd by the MII to be installed on each new PC in manufacturing process.  Although this plan failed, they must have started some other plots to achieve the same goal.  Jonathan: might well yank trust for any CA that was complicit in MitM attacks.  Does the word "was" mean that until the MitM attack happened, any organizations can put their root CA certificates in Firefox provided that they can buy endorsement "services" from accountant companies like Ernst&Young [1] to acquire "trust" from webtrust.org?  The real concern of many Chinese programmers is not about "was", but "may", as CNNIC already "DID" quite some dirty things before!  Now it's a new capability that the inclusion of root certificate of CNNIC will grant to the PRC government.  Anyway, since they already got secondary CA certificate issued by Entrust.net, adding CNNIC as root CA is not introducing more problems.  But this discussion is an alert on the trust model of PKI when we face a rogue government and their minion organizations.  We should improve the browser to ask for permissions from the end users to grant trust to each root CA when it's used in each session (not only at the first time), clearly display the certificate signing path, and warn them of any change in certificates (to be alert of a MitM attack).  This seems paranoiac but it's because we're facing real threats of attacks from a powerful rogue government, from which even big companies like Google and well equipped government offices suffered.  The security model of SSL was practically in danger because of the design flaws  of the browser to place blind trust on root CAs without consent from the users.  Since the CA certificates of rogue government agencies were added, we should consider Firefox as a rogue government controlled browser in the default configuration.

11 Responses to "当网络安全核心机制遇到流氓政府"

    Landon
    January 31, 2010 at 5:00 pm

    一个强大的流氓政府,无耐
    北街
    January 31, 2010 at 7:41 pm

    拜访了!
    asdfg
    February 1, 2010 at 11:09 pm

    》小野大神
    神个P

    》我不想谈任何互联网话题,
    不想谈还写了这么多

    》但是这次(CNNIC 根证书)事件已经直接威胁到我们所有人,我们不应该沉默。
    你能代表几个人?
    不该沉默,那你说咋整?上街Y行还是上山落草?

    》"通往朝鲜的路,是每一个沉默的中国人铺就的。"——某推友。
    我不知道,如果不沉默,会通往哪里。我不知道是伦敦还是纽约。
    不过我知道,每一个中国人都开始大声呐喊的时候,有人喊打有人喊杀,没人种地没人打水。

    让风华正茂的热血青年死在前面,这些狼心狗肺鸟鸡巴的黑心推友们在后面见风使舵捞好处。
    你要是让他变卖家产,成立一个推动互联网彻底开放的基金会的时候,丫统统借口内急往外跑。

    》基于非对称加密技术的数字证书机制是互联网安全的核心屏障,
    》。。。。。。
    》现在,某流氓政府控制下的 CNNIC正试图在这道屏障下放置一个巨型核弹。
    狗屎破比喻。
    猪都知道核弹过后,寸草不生。这推友的智商连猪都不如?
    既然丫不可能那么笨,那么丫必定是在装傻。

    就算这个ZF是流氓,流氓图的也是个利益,金钱美女房子地而已。
    放个核弹,把一切夷为平地,还TM图个P啊?

    硬要比喻,CNNIC也就算是个筛子,是把刀。
    筛出一些人,一刀捅过去。
    捅的就是那些煽风点火的狗东西。

    》事实上,在这个流氓国家,SSL早已不是绝对安全的。
    》当你使用网银、支付宝之类服务时,银行网站已经在你的计算机上安装了根证书,
    商人重利轻离别,一丘之貉,都一球样。
    一个SSL都搞得你神经兮兮,那操作系统都是微软的,你干脆跳楼吧。
    担心安全,你还是用LINUX吧。

    》而这个流氓国家政府、党和它能够控制的国内一切公司、机构和组织,都是不可信赖的。
    这都要大惊小怪?
    难怪这位"推友"是写中文的了。

    孟德斯鸠的三权分立,就是基于这样的基本认识:一切政党和政府都是都是不可信赖的。
    按照"可信赖"为标准。英美政府也都是流氓。大家谁瞧不起谁啊?

    》没 人可以确定,
    》某一天这个独裁政权会不会通过其能够控制的根证书对一个普通公民或"异见人士"进行中间人攻击。
    人身攻击?
    这种小孩游戏你也好意思提?
    独裁政府直接发兵,派无人机发射导弹,连人带轮椅统统炸成碎片。
    还嫌不过瘾的话,就从洞里挖出来,然后把人活活吊死。
    满意了吧?

    》除此之外,独裁政权还有其它手段,它可以冒充身份向国外CA申 请某域名的SSL证书,
    》大多数CA提供一种"Rapid SSL"证书,这种证书申请只需验证域名管理员邮件,全过程只需几分钟。
    》窃取邮件可比窃取私钥容易多了,
    》特别是对这个人类历史上最无耻、最流氓的政权和它 庞大的统治机构而言。
    这个话题是我最感兴趣的:
    如何鉴别ZF或者组织或者个人的无耻或者流氓的程度?
    到底哪个是最最无耻、最最流氓的?
    到底什么是无耻?什么是耻?

    》然而,如果CNNIC成为操作系统和浏览器内置信任CA,这依 然对我们网络安全有无法想象巨大影响。
    你要的,不是安全,而是保密。
    安全和保密是两个概念。
    想要保密,还是用LINUX吧,你自己做一套带密码本的加密通讯。

    》I.它使GFW和GOV窃听SSL的成本降为0,并且几乎可以 攻击所有操作系统和浏览器计算机。
    上个网,聊聊天,偷偷菜,搞得和余责成似的。
    它不是有核弹嘛?
    干脆一拉线,轰的一声,整个世界都清静了。

    》II.虽然这种中间人攻击很容易被发现,但对流氓政权而言这不是问题。
    》。。。。。。。。。。
    》不要以为这是天方夜谭,我们本来就生存在局域网中。
    这也算是和国际接轨吧。

    》III.另外,工信部、CNNIC等部委可能联合出台规定,
    》。。。。。。。
    》"淫秽色情非法网站利用加密技术逃避打击,网络专家表示, SSL证书领域亟待有效监管。")
    搞淫秽色情的东西,你说该不该有效监管?
    搞别的东西,要是在欧美,不过是让其下野,退休而已。在中国,是辞职能够解决的么?
    你是要人家的命,刨人家的祖坟,你说人家该怎么办?

    》我曾不止一次感到何其幸运,互联网一切不是中国发明的。
    》虽然 OSI模型和TCP/IP设计协议缺乏安全性考虑导致容易被流氓政府审查和阻断,
    》它依然建立了了一个开放的,分布式的,任何人、机构和国家不可能真正封锁的Internet;
    真好啊。
    这样的一个"任何人、机构和国家不可能真正封锁的Internet"。

    》虽然DNS协议是现在互联网安全中最弱的一环,虽然中国已经有了许多根域名DNS镜像服务器,
    》整个互联网基石—— 13台根域名DNS 服务器——仍然全部在国外;
    国外的政府就值得信赖么?
    丫为了本国利益,攻击这13台服务器,大家的日子怎么过?

    》虽然SSL/TLS协议有很多不足,它仍然是最好的安全技术,所有的浏览器内置根CA都是国外。
    》——现在,我的最后一个庆幸可 能要破灭了,流氓政府下属机构正在威胁整个互联网核心安全机制。
    咦?
    我有点晕。
    刚才还有人说:"任何人、机构和国家不可能真正封锁的Internet"。
    现在,竟然说:"流氓政府下属机构正在威胁整个互联网核心安全机制"。
    这个ZF太NB了。他的NB超过了"任何人、机构和国家"。
    实在是令人仰慕啊。

    》然而,我们无须绝望,我们相信民众的力量,相信自由是无法阻挡 的。
    相信个P。
    这不过是一种陈旧的老掉牙的,煽动性演说的老套路。
    让追随者对胜负得失产生一种误导性的倾向性的判断。
    以为自己必胜,以为自己必定可以享受到所谓的胜利。
    以为自己必定不会失败,必定不会被子弹打死。

    像这种推友,把"友"推到前面当炮灰,挡子弹。他自己在后面数钱,还一边埋怨"友"冲的慢。

    丫推友要是真汉子,真英雄,就该这么说:
    我们无须绝望,请相信"我"的力量,请相信自由是无法阻挡 的。如果自由被阻挡,我立即切腹。
    这么说一句,别的就啥也别说了。
    否则,老蒋对丫说一个字:隔吾恩 滚!

    》某流氓政权采取的一切审查措施必将随着其本身一起灭亡。
    神啊。
    我又看到"必将"了。
    如果是"必将"的话,有啥好着急上火的?反正是"必将"的,大家洗洗睡吧。

    》当这一天最终来临——它必将来临——时,中国网民必将感到欣慰——
    》在几十 年里他们几乎都在自由 与专制斗争的第一线。
    丫推友把自己打扮的和马克思列宁一样。连说话的口气都如此相似。
    小时候受到的教育的影响,清晰地浮现在显示器的像素上。

    》现在,你要做的是(如果你还没有做),
    》移 除和禁用计算机所有操作系统和浏览器中的CNNIC根证书。
    我用电脑,编编程序打打游戏而已。不删了。

    》附上一段慷慨陈述的话,
    慷慨陈述?
    鄙视丫小学的语文老师一把。

    》来自 Bugzilla@Mozilla 关 于 Add CNNIC CA Root Certificate 讨论里一位lihlii同学,
    》它说出了所有中国网民、所有中国民众、乃至全世界 所有热爱自 由人们的心声。
    》(更多中国民众呼声见这 里)
    自由这个词,也快要臭大街了。

    我们来说一段"慷慨陈述"的话吧:
    把流氓ZF及其下属机构,统统"自由"喽。
    谁不听话,就把丫"自由"喽。
    把三鹿奶粉、中国移动、美国海军、伊拉克恐怖分子们,统统"自由"喽。
    小野大神
    February 1, 2010 at 11:54 pm

    to asdfg

    我只想说,世界观不同,你有表达自由言论的权利。

    在我看来,"淫秽"色情网站显然不应该受到监管。另外,真正封锁互联网和威胁互联网核心安全机制不是一回事吧。
    asdfg
    February 2, 2010 at 8:38 am

    》我只想说,世界观不同,你有表达自由言论的权利。
    那么,假如我冲进你家,给你的孩子宣讲那些分尸、投毒、纵火、嫖娼之类的东西,算不算我的言论自由?

    》在我看来,"淫秽"色情网站显然不应该受到监管。
    你允许你的孩子自由地看黄片么?

    》另外,真正封锁互联网和威胁互联网核心安全机制不是一回事吧。
    是吗?
    那你说说区别。

    》"任何人、机构和国家不可能真正封锁的Internet"。
    美国就可以。
    他只要简单关掉那13台服务器。
    大家的互联网,就统统变成了局域网。

    》"流氓政府下属机构正在威胁整个互联网核心安全机制"。
    是啊。
    美国作为流氓国家的代表,每时每刻都在威胁整个互联网核心安全机制"。
    asdfg
    February 2, 2010 at 9:00 am

    广东关闭270多个淫秽xxx网站(图)网警潜伏11万家网站,端掉45个联盟网站,广东270多个淫秽xxx有害网站被关闭。广东省公共安全专家厅昨日 召开新闻发布会,介绍广东省公共安全专家厅网警总队在3月到7月实施代号为"09亮剑"打击网络淫秽xxx专项行动有关情况。

    回复:

    还让人活吗?
    在深夜里辗转不能入睡
    打开电脑输入熟悉的网址
    结果显示您输入的域名不存在
    换个网站结果还是您输入的域名不存在
    您输入的域名不存在…
    您输入的域名不存在…
    我关掉了IE打开了暴风影音,看着屏幕上《不差钱》里小沈阳的脸我默默的脱下了裤子…
    泪,滑过眼角…
    小野大神
    February 3, 2010 at 12:51 pm

    @asdfg

    首先说明,你的评论是akismet自动标记为spam的;这个blog没有设置任何关键词过滤。

    言论自由的意义包括:

    I.禁止事先审查。除了尼尔诉明尼苏达州案确定的极少数特例,任何言论、新闻预检制度都违反宪法第一修正案。

    II. 区分"支持暴力言论"和"直接煽动或导致暴力"言论。前者只是一种思想表达,并没有产生直接危害,受宪法第一修正案保护,所以美国3K党、纳粹主义都是合 法的。而后者直接、立即产生了危害,是法律禁止的,即使这样,政府也无权阻止这样言论发表,而只能在事后给予惩罚。

    III."宪法第一修正案不是为了保护与我们一致的言论,而是为了保护我们所痛恨的言论"—联邦最高法院霍姆斯大法官

    就你举的例子,你可以宣扬分尸、投毒言论,只要这些言论不是针对具体某个人,它们就是合法的。但是如果你直接教唆、促使某个人分尸、投毒,则要在事后承担 法律责任。另外,如果你未经我允许"冲到我家",则违反了宪法第四修正案,入侵了我和我家人的私人空间。法律规定这种情况下我有权采取一切措施自 卫,包括开枪。

    "你允许你的孩子看黄片?"
    你完全混淆了主题。自由的意义是政府和公权力无权干涉民众包括"看黄片"在内的所有私人领域。未成年人行为能力受限制,这是法理学问题,不是宪法和自然法 权利问题。无论我是否允许我的孩子看黄片,我并没有干涉其它人、家庭和家长的做法,并没有强迫替它们做决定,而某些流氓政府却在这么做。

    你的问题显示出你的价值观是和我不一致的。当然,你有自由表达的权利。
    konami_chris
    February 5, 2010 at 3:45 pm

    两边各有一个观点我是同意的

    乙方:美国作为流氓国家的代表,每时每刻都在威胁整个互联网核心安全机制
    甲方:"你允许你的孩子看黄片?"
    你完全混淆了主题。自由的意义是政府和公权力无权干涉民众包括"看黄片"在内的所有私人领域。未成年人行为能力受限制,这是法理学问题,不是宪法和自然法 权利问题。无论我是否允许我的孩子看黄片,我并没有干涉其它人、家庭和家长的做法,并没有强迫替它们做决定,而某些流氓政府却在这么做。
    konami_chris
    February 5, 2010 at 3:45 pm

    两边各有一个观点我是同意的

    乙方:美国作为流氓国家的代表,每时每刻都在威胁整个互联网核心安全机制
    甲方:"你允许你的孩子看H片?"
    你完全混淆了主题。自由的意义是政府和公权力无权干涉民众包括"看黄片"在内的所有私人领域。未成年人行为能力受限制,这是法理学问题,不是宪法和自然法 权利问题。无论我是否允许我的孩子看黄片,我并没有干涉其它人、家庭和家长的做法,并没有强迫替它们做决定,而某些流氓政府却在这么做。
    konami_chris
    February 5, 2010 at 3:46 pm

    两边各有一个观点我是同意的

    乙方:A国作为流氓国家的代表,每时每刻都在威胁整个互联网核心安全机制
    甲方:"你允许你的孩子看H片?"
    你完全混淆了主题。自由的意义是政府和公权力无权干涉民众包括"看H片"在内的所有私人领域。未成年人行为能力受限制,这是法理学问题,不是宪法和自然法 权利问题。无论我是否允许我的孩子看黄片,我并没有干涉其它人、家庭和家长的做法,并没有强迫替它们做决定,而某些流氓政府却在这么做。
    蓝色量子
    February 9, 2010 at 8:23 pm

    关掉的黄色淫秽网站不多,关掉的所谓"证照不全"的无辜站点却有成千上万。
    以扫黄为名,行圈地圈钱控制言论之实,是惯用的手法。
    凭什么只有1000万注册资金的国有企业才允许开视频站,凭什么开一个论坛就要100万注册资金?这一箭双雕的计谋正在帮助"国家队"在互联网上攻城略 地,打的则是保护未成年人净化网络的幌子。



没有评论: