Касперский и WikiLeaks поймали вирус ЦРУ

Это демократический вирус! От него нет вреда, только одна польза!!!

Тятя, тятя! Наши сети притащили вирус Петя!

> То есть, правительство США, надавив на какой-то корневой удостоверяющий центр (УЦ), находящийся под юрисдикцией США, организовало для себя поддельный подчинённый УЦ на имя лаборатории Касперского со своим закрытым ключом, а потом навыдавало от его имени поддельных сертификатов на его продукты?

Если так, то почему сведения об УЦ, допустившем подделку не опубликованы? Не произошло ли очередное надругательство над журналистом?

ай-яй-яй, теперь ЦРУ наверно закроют

> Я хочу сказать, если так всё тупо - УЦ издал левый сертификат, то по идее - капец этому УЦ, ну и всем его сертификатам.

Ну а ты попробуй устроить капец какому-нибудь Thawte. Во-первых, они, скорее всего, просто положат болт на имеющиеся косвенные улики. Также они могут, например, цЫнично усмехаясь, заявить, что они честно выполнили все положенные процедуры по проверке принадлежности поддельного запроса истинному хозяину, но переиграть неустановленную спецслужбу они оказались неспособны, и она их полностью одурачила. Ну, на то они и спецслужбы, чтобы, пользуясь подавляющей мощью поддерживающего их государства, иметь возможность одурачить какой-то мелкий УЦ, такой мощью не обладающий. Отболтаются, пообещав усилить контроль, углубить проверку, ужесточить процедуры оной и никогда больше так не делать. Во-вторых, даже если тебе удастся закрытия Thawte, ЦРУ или АНБ отправиться в гости к следующему УЦ, у которого Касперский пойдёт получать сертификат своего следующего подчинённого УЦ. Вопрос не в том, чтобы изничтожить один проколотый УЦ, а в том, что такой хитрый финт ушами может быть исполнен правительством США в любой момент. То есть, вопрос заключается в потере доверия ко всем УЦ, которые подконтрольны правительству США.

> Такая проблема ведь решается на раз, чего переживать-то?

Да я и не переживаю, собственно.

> >То есть, вопрос заключается в потере доверия ко всем УЦ, которые подконтрольны правительству США.

> Пусть даже так. Поддельный сертификат - проблема издателя, а не клиента.

1. Если издатель не собирается его отзывать, то это уже проблема клиента.
2. Проблема состоит в самом факте появления даже единичного сертификата, которая говорит о том, что УЦ на оси вертел своих российских клиентов.

> В эту игру можно играть вдвоём. Доверие - оно такое, ведь нашим УЦ тоже доверяют, иначе они не могли бы исполнять свои функции.

Чушь собачья, никто нашим корневым УЦ из[censored] за рубежом не доверяет. Их корневых сертификатов в дистрибутивах широко распространённого зарубежного ПО нет, не было и не будет. Вон, антивирус Касперского, который вкатывает при установке свой корневой сертификат в хранилище доверенных корневых УЦ для перехвата и анализа зашифрованного трафика уже запретили использовать в госорганах США.

> Я про статью. По-моему, всё-таки произошло нечто иное, нежели издательство легальным УЦ левого сертификата.

Касперский уверенно утверждает, что их закрытый ключ не воровали, а выдали сертификат "от их имени", плюс ещё в конце статьи приведены стенания о том, что пора бы отобрать у США право единоличного владения корневыми УЦ. Естественный вывод -- неким уважаемым УЦ, который ранее выдал Лаборатории Касперского или сертификат подчинённого УЦ, или непосредственно сертификат ключа подписи исполняемого кода, был выдан третьей стороне второй такой же сертификат с полностью такими же полями, но для ключа подписи этой третьей стороны, который позволил ей подписывать исполняемый код, якобы созданный Лабораторией, "от их имени" же. А что ещё, по твоему, могло произойти? Даже если предположить, что эта третья сторона построила таки квантовый компьютер и подобрала закрытый ключ, парный открытому ключу из сертификата Лаборатории, случай уже выглядел бы как кража со взломом, и Касперский, полагаю, не делал бы таких уверенных заявлений о подделке сертификатов. В таком случае он сообщал бы уже о подделке непосредственно самой ЭЦП, а не сертификатов ключей подписи.