Суверенные цифровые сертификаты. Что это и зачем?
ฝัง
- เผยแพร่เมื่อ 28 ม.ค. 2024
- Российские банки стали требовать цифровые сертификаты Минцифры, без которых вскоре будет нельзя работать. Что это такое? Для чего эти сертификаты используются, кто их выдает и почему у Минцифры они какие-то свои, особенные? А главное: не получится ли с этой технологией так же, как с другими цифровыми проектами российского правительства - не станут ли с помощью этих сертификатов следить за гражданами? В сегодняшнем видео разбираемся!
Подпишитесь на нас в социальных сетях:
Telegram: t.me/deptone
Instagram: / one_dept
Twitter: / deptfirst
Как бы ни хотелось кинуть камень в огород российского МинЦифры, проблема на самом деле куда более глобальная и неочевидная. Сейчас сама идея PKI (инфраструктуры публичных ключей), по сути, уже скомпрометирована. Не только в России, но и в Европе сейчас тоже продвигают идею использования своего КЦС (корневого центра сертификации), с промежуточными центрами сертифкации для каждой страны Европы по домену верхнего уровня (.de/.rf/.es/итд), потому что тоже захотелось пошпионить за своими гражданами, ну а США и Китай уже давно имеют влияние на целый ряд КЦС.
Сама по себе идея национального КЦС, по сути, чисто технически, правильная, крайне важно иметь независимый от влияния иностранных политиков ЦС, но проблема в том что доверять государствам или иным институтам принуждения, в целом - крайне плохая идея. Изначальная идея PKI была в том, что выпуском сертификатов будут заниматься исключительно некоммерческие организации, без личных финансовых или иных интересов, с высокой репутацией, и общим доверием от всех участников сети. Последние годы мы видим что государства по всей планете эту идею ломают. США выкупили несколько КЦС типа symantec и незамедлительно превратили его в машину для слежки и расшифровки трафика. В России вот создают национальный ЦС. Даже корпорации сейчас используют корневые ЦА для работы некстген-фаерволов, позволяющих расшифровывать и контролировать трафик в компании или на выпущенных компаниями устройствах (microsoft, apple). В общем, государства и недобросовестные люди, злоупотребляющие доверием других, как всегда на корню поломали систему с прекрасной идеей построенную на таких непонятных им вещах как доверие и репутация.
Мы постепенно приближаемся к точке, в которой хоть какое-то доверие корневым ЦС будет просто неоправдано, и полагаться можно будет исключительно на свою, личную (!), инфраструктуру открытых ключей. И это, на самом деле, значительно более правильно. Уже сейчас потихоньку набирают обороты новые возможности по удостоверению сертификатов через DNS: DNSSEC, DANE, плюс записи TLSA и CAA вполне могут обеспечить всю цепочку доверия на ЛИЧНОМ ЦС. Будущее вот за этим, а неограниченное ничем доверие паре десятков КЦС, половина из которых зашкварилась работой с государствами должно остаться в истории.
Норм коммент, в топ! Приятно встретить не дебила. Многа букав и все по делу!
А можете пояснить, как личные ключи должны работать, не могу до конца понять. Сейчас подключение проверяется как раз подтвержденным сертификатом удостоверяющего центра. А если будут личные ключи, то как мы сможем подтвердить, что подключаемся к нужному серверу?
@@kreatifchk6354 это просто, смотрите, нужно просто чуть более подробно объяснить понятие "подтверждение". Подтверждение - это математическая операция цифровой подписи, она производится алгоритмами ассиметричного шифрования, RSA, а сейчас, чаще, ECDSA. Ассиметричное - значит, по простому, что ключи на разных сторонах коммуникации не одинаковые. Каждый владеет двумя ключами - открытым (он известен всем) и закрытым (он известен только владельцу и держится в секрете). Ключи - это просто обычные числа, но очень большие (500-700-и больше цифр!). Подпись представляет из себя часто используемые в криптографии так называемые односторонние функции, т.е. их легко, за долю секунды вычислить в одну сторону (получить результат из исходных данных) и при этом практически невозможно произвести обратную операцию (получить исходные данные из результата). Сертфикат - это по сути любой текст, документ, но в случае интернета это имя домена, например "ivanov83_ru".
Допустим у меня есть сертификат на имя "ivanov83_ru", при этом я владею его приватным ключом, пускай 7243 (все числа вымышленные, на самом деле они огромные - по много сотен цифр). Когда вы подключаетесь к нему в браузере, он считывает сертификат с сайта и видит условно "я иванов иван иваныч, это мой сайт ivanov83 ru, мой публичный ключ - 1234, меня подтверждают центр сертификации ромашка, а его корневой центр сертификации колокольчик, подпись этого сообщения - 6532. Подпись моего публичного ключа 1234 центром сертификации ромашка - 4432". Браузер берёт эту информацию и производит определённое вычисление с текстом, числом 1234 и подписью 6532, которое математически гарантирует что только настоящий владелец исходного приватного ключа связанного с публичным ключом 1234 мог получить подпись 6532. Этот сертификат достоверен, далее нужно проверить следующий. Браузер идёт к центру сертификации ромашка, и считает таким же образом данные о моём публичном ключе 1234, публичном ключе ромашки и значении подписи 4432. Таким образом он устанавливает "доверие", т.е. только владелец ключа "ivanov83_ru" мог создать валидную подпись, и то что числа именно такие гарантирует центр ромашка, который произвёл такую же операцию подписи для этих чисел своим приватным ключом, т.е. это гарантирует что только ЦС ромашка мог сделать эту удостоверяющую подпись и никто другой. ЦС ромашка в данном случае - промежуточный центр сертификации, т.е. он подписывает и удовстоверяет ключи, но сам не является корнем доверия, вместо этого доверие ему по такой же схеме делегирует корневой центр сертификации. Убедившись в подлинности подписи от промежуточного ЦС браузер продолжает движение уже к корневому центру сертификации и производит все те же операции уже с ним, и вот тут случается интересное. А как браузер может доверять корневому ЦС? Ведь по логике вещей цепочка промежуточных ЦС может быть искусственно удлиннена чтобы подсадить в неё ключ злоумышленника, которым можно будет расшифровать коммуникации? А фишка в том что ВСЕ публичные ключи корневых центров сертификации хранятся на конечных устройствах. Т.е. на каждом телефоне, компьютере, и даже умном чайнике хранится пара сотен публичных ключей, которым безоговорочно и безапеляционно доверяют ВСЕ. Владельцы этих ключей могут выпускать любые сертификаты, терминировать TLS сессию и расшифровывать трафик любого соединения, и мы... просто доверяем им делать это. На этом держится весь интернет.
Т.е. всю мысль я вёл к тому что публичный ключ корневого центра сертификации - это просто файл на компьютере или телефоне. К существующим файлам можно подкинуть новый, зловредный, для расшифровки трафика и устройство будет безоговорочно ему доверять, потому что именно так оно и было задумано. Вообще, этих файлов, по идее, заранее строго оговоренное количество, их все знают и т.д. но тем не менее, подкинуть ещё один, не так уж невозможно, а пользователь даже может и не знать о них и не обратить на это внимание. Стоит ли и говорить что в операционных системах типа windows от microsoft и macos от apple помимо общепринятого списка ключей КЦС также заботливо положены "свои", от корпорации, потому что им ну очень уж хочется знать что вы делаете в интернете, на некоторых китайскиз устройствах положены какие-то свои загадочные ключи от их товарища майора, а рядом официальных КЦС, по слухам, владеют спецслужбы США.
Свои же ключи - это просто ещё один файл положенный к другим файлам публичных ключей КЦС на устройстве. Вы можете выпустить свои собственные пару ключей и подписывать ими сертификаты для ресурсов. Если вы откроете такой ресурс на стороннем устройстве, то браузер заругается "это недоверенный сертификат, подключение небезопасно", но на самом деле - доверие здесь штука относительная. Это недоверенный основными КЦС сертификат, но его подписали вы сами. Если вы положите свой ключ к другим ключам КЦС, то он станет доверенным и браузер показывать ошибки не будет. Преимущество такого подхода в том что вы ТОЧНО можете знать что это ваш ресурс, НИКТО в мире, кроме вас самих конечно, не может выпустить сертификат для прослушки трафика к этому ресурсу. Есть и другие преимущества типа двухсторонней аутентификации, которые проверяют доверие не только к серверу, но и к клиенту и дают подключаться только выбранному списку лиц, и т.д. Многие компании организуют свои КЦС для рабочих ресурсов, некоторые люди для личных сервисов также используют личные КЦС. В конце концов - всё упирается в обычный создаваемый за пару секунд файлик с ключами.
@@wqwqwqwdxyou572 спасибо. Здесь в комментариях действительно довольно эмоциональных сообщений и высказываний недоверия государству. Понять их можно, но вот смысловой нагрузки и полезной информации читателям они, к сожалению, не несут. Я лично не строю иллюзий по поводу доверия минцифры, но решил, во-первых, указать на то что, по сути, это вынужденный для них шаг, они и сами не дураки и прекрасно понимают что это вызовет волну негатива и недоверия, особенно среди специалистов. Во-вторых, важно отметить, что внедрение в PKI потихоньку становится всемирно используемой порочной практикой, и для нас, обычных работяг по всему миру, наступает время подумать как можно обеспечить безопасность себя и своих близких от слежки государств по всему миру, как "своих", так и "чужих".
Я как человек причастный к индустрии информационной безопасности могу сказать, что в России очень долгое время был невероятно свободный от слежки интернет. В США, например, шпионаж за гражданами в сети имеет такой размах, что наши родные чекисты на их фоне, даже сейчас, просто дети малые. К сожалению, государство взяло курс на закручивание гаек в стране и сейчас стремительно догоняет развитые страны в этой индустрии. Это грустно, потому что государство пытается отжать контроль над ключевыми компаниями в стране, совершенно не понимая как ими управлять, и главное - что привело их к такому успеху. Индустрия разработки ПО и сопутствующих технологических продуктов в России - одна из сильнейших в мире. Она смогла стать такой только потому, что престарелое руководство страны долгое время не считало её важной и не совало нос в её дела. Сейчас они имеют все шансы, в силу своей некомпетентности, разломать всё, как неуклюжий слон в посудной лавке, и уничтожить одну из немногих конкурентоспособных на международном рынке индустрий в стране.
Грустно это
Наверное, будущее всё-таки за P2P доверием на модели, похожей на PGP/GPG. Осталось только переместить серверы ключей куда-то в BitTorrent или блокчейн.
Но проблема обстоит в том, что какой-нибудь юзверь Вася вряд ли разберётся во всей подобной системе... GPG ключи как таковые уже довольно непопулярное решение.
"...доверие ...строится на честном слове чиновников..." Прям, анекдот!😂😂😂
Да, анекдот, только не смешной.
а вы доверяете цру и фбр у которых есть доступ ко всем американским сертификатам?
То есть, честное слово microsoft вас уже устраивает?!😂
@@DmitriNesterov Дык, оне ж не в России! Вот если были в России, тады да, тады бы не устраивали... А так... Чем они мне мешают? Ничем!
А наши же цЫфравизатАры... Не, не - неверю!😂
@@yuriymedvedev я очень уважаю microsoft, но верить буду своим. Какие есть, извините.
Я за третий вариант. Придётся по всей видимости вернуться к обналичиванию всех поступающих на карту средств через банкомат и покупки на чёрном рынке наличной валюты. Не вижу для себя ничего страшного в этом.
Тоже картой расплачиваюсь через раз. Зачем им всё знать? Налик в кармане надёжнее, пока он в моем кармане.
Смысл покупки нала на чёрном рынке если она будет отменена на гос уровне ? Так же как меновую торговлю , хранение и сделки с драг металлами и иными ценностями. Нал превратится в то , чем он и является по факту - в нарезанную , цветную бумагу)))
На наличке серийные номера есть, тоже фсб отследит. Переходите на ракушки, шкуры и бусы, их сложнее отслеживать 😂
Вы на пути превращения в зашуганного криптоебаната. Не надо.
Угу. А полный отказ от интернета гарантирует, что в Вашу дверь никогда никто вдруг не постучится. И можно будет спокойно сидеть на набитом долларами матрасе.
Кто еще верит "честному слову" наших чиновников? Это цирк)))). И есть ли у них в словарном запасе слово ЧЕСТЬ?
А зачем верить? Предполагай априори, что тебя хотят обмануть, сделать что-то во вред тебе и действуй исходя из этого.
А честному слову АНБ МИ6 доверяете?
@@user-dk5cx9ye3i они вам предлагают свои сертификаты установить?
@@user-dk5cx9ye3i наши/не наши чиновники - какая разница, когда дело касается безопасности, то подозревать в подлости стоит каждого первого и оценивать последствия от этих подлостей, выбирая ту, у которой меньше негативных последствий.
И уже из этого выходит, что если меня накуканит АНБ МИ6, то мне максимум вылезет таргетированная реклама на службу в ВСУ. Если меня накуканит цирк наших чиновников, то товарищ майор отведет в места не столь отдаленные.
@@user-dk5cx9ye3i Ещё бы, эти возмущающиеся зачастую являются гражданами других стран...да и живут там же
"Честное слово" и "чиновник" -АНТОНИМЫ !
Не антонимы, а оксюморон
не п__ди свин
... поклоняйтесь америкаским чиновника, они не обманут. Ясно, понятно.
@@Offroadvehicle Все как один наевшиеся "соловьиного помёта" на любую критику нашей власти ссылаются на запад ! При чём здесь они когда дерьмо "у нас в штанах" ?!
@@phosphorustitan Патриот и ебанат в России это сейчас слова синонимы
Как Минцифры может защитить если они и есть мошенники?😅🤦♂️
На лоха. А их к сожалению в России, пруд пруди.
Минцифры у тебя деньги украли?
@@6896829уже нет
Фу@@SlonoKing
@@6896829 ты походу НОДовец))
Для этого канала вполне обычный ролик. Тема актуальная, содержание технически грамотно, выверено до буквы, изложение четкое, артикуляция изумительная. Ни одного "бе-е" или "эт-та" за десять минут. Советы жизненные, полезные. Спасибо!
Отдельная благодарность за то, что про виртуалки не преминули упомянуть.
Вы правда будете ставить виртуалку ради этого? Можно же просто нового пользователя создать и только для него добавить корневой сертификат.
А ролик действительно обычный: главная цель - напугать. Если Минцифры начнёт злоупотреблять корневым сертификатом, то это довольно быстро всплывёт, будет такое бурление, что Минцифры потом не отмоется. Поэтому это крайне маловероятно. Но на таком посыле ролик не сделаешь, поэтому смотрите, бойтесь, от страха подписывайтесь, чтобы больше смотреть и ещё больше бояться.
Ну вообще "общей безопасности" в интернете от отзыва сертификатов меньше не стало. Если ты не пользовался условным тиньковым, то тебе об этом ни холодно ни жарко
@@user-cq1cd7rc1pда, да. В США же все настолько следят за своей репутацией что их бы это очень аолновало
9:02 не делают
Если использовать свои сертификаты в электронной почте, например, то корневые сертификаты на это никак не влияют
АААА, сложнааааа!!! То ли дело, мизулина объясняет: если поставить VPN, все данные с телефона украдут! Просто и понятно любому холопу. А вообще есть еще один вариант: установить собственноручно сгенеренный перекрестный сертификата для минцифрового, но ограниченный определенными сайтами
Работать с интернет банкингом приходится.
Некоторое время назад пришлось отказаться от банковского приложения на телефоне, потому что оно захотело установить свои сертификаты с очередным обновлением.
Видимо теперь придется поднимать отдельную виртуальную машину для Яндекс браузера.
Как говорится, спасибо родному государству за их усилия на ниве IT-просвещения.
Не все сертификаты одинаково полезны.
Проверь один раз цепочку от МинЦифры до банка, а потом вручную добавь в список доверенных только сертификат банка.
Браузер будет доверять только конкретному сертификату, но не всем, которые выдал ЦС МинЦифры.
@@frollerвы так пишете, будто это базовая грамотность. Нужно инструкцию писать
@@IAm-yj9kf комменты ютуба - не самое удобное место для написания статей :(
Хотя, пожалуй, надо накатать что-нть вроде "SSL/TLS без занудной математики".
@froller если банк получит сертификат с возможностью дальнейшей подписи дочерних сертификатов (т.е. промежуточный сертификат), то вся система опять ломается, если только в браузере нет возможности перебить параметры сертификата своими. К тому же ФСБ _будет_ иметь доступ к приватному ключу банка просто потому что либо они его и создадут, либо потребуют его выдать.
Это самый безопасный вариант, я так и сделал, либо вообще отдельное устройство исключительно для подобных операций, дальше полноценный суверенный чебурнет с рутубом и вк по паспортам и отдых в северной корее. Вот оно светлое будущее, ведь кругом одни враги, кроме хамас, талибан, кндр, ирана...
Спасибо за вашу работу. Пусть цифровая гигиена идёт в массы
Слова "гигиена" как раз идеально подходит для данного примера, сам в таком контексте употребляю. Я не понимаю почему ксждое ведомство, банк плодит свою софт и расширения для браузеры которые я обязательно должен ставить для обеспечения их работы.
Спасибо большое Дмитрий. Что вы и ваша команда помогаете не вляпятся пополной.
Ну то есть ты мутишь какие-то антигосударственные делишки и возмущаешься, что государство за это желает тебя набутылить?
@@Vsevolod_Komarov Государство давно само гайки и болты затягивает принимая антинародные законы. И прикрываясь патриотизм ом, когда им это выгодно. Главное сами воруют и не стесняются. Дурачат мозги народу. Под видом заботы типа как с ковидом было. А у самих проблем под носом навалом. А теперь хитро прикрываясь, что якобы нас хотят все захватить. А для народа ничего не делается.
@@Vsevolod_Komarov ПУТЛО & Co НЕ ГОСУДАРСТВО!!!ЭТО ПИ...ЕРская ПОДВОРОТНЯ!!!
Кому нужна анархия - полно мест диких, островов в океане. Там и стройте свои правила.
@@Offroadvehicle Анархия со стороны старых маразматиков уже каждому в дверь постучалась. Но видимо вы не в курсе ещё, не проснулись ещё.
Простой человек может не разобраться, как установить сертификат, но он может установить виртуальную машину )
Сначала устанавливаешь виртуальную машину, потом выходишь на митинг, затем попадаешь в СИЗО 😹😹😹
Вы прослушали краткий курс как установить сертификат.
Уже нет ничего безопасного, темболее в сети Интернет.
Спасибо ребята, огромное! Против лома нужен другой лом, понадежнее❤
Даже не вдаваясь в подробности, не стал устанавливать себе в устройства сертификаты от мошенников.Спасибо за разбор.
Любой сертификат от мошенников, просто у тебя есть выбор какие три буквы тебе нравится ФСБ или ФБР, наконец то зумеры поняли истину😂
Благодарю вас за каждую секунду этого видео! Сил и нервов вам!
Спасибо Вам за информацию. ❤
Благодарю за полезную информацию!
ФСБ-государство со всеми вытекающими... Дмитрий умница, всё понятно и без флуда. Благодарю!
Как и любая спецслужба мира работают всеми методами. Вообще глупо пренебрегать этими способами
@@Username_120 Тут походу одно жулье и мошенники в комментах. Бесятся конда государство им воздух перекрывает))
@@SlonoKing та не, просто хомячки негодуэ😀 думают всемогущее
к г б каждому из этих либерах- доморощенных мамкиных революционеров жития не дают, хотя эти додики невcpaлись силовикам от слова совсем 😀
Просто купите дешевый смартфон и делайте онлайн покупки с него вот и все , фсб чиновников региональные группировки путина в общем полностью системы зачистят около 20 миллионов это факт их семьями зачистят , а система эта Китайская , что то действовало на россий сначала старую систему уничтожают , пока не зачистят действовать не будет система .
На россий нет спецслужбы обычные террористический группировки под адвокатурой букв.@@Username_120
Давайте давайте ребята, удачи в раскрутке канала, контент сложноват, конечно, но понимать это надо. Спасибо вам.
Была потребность самозанятости. И вуаля я мог мрят с телефона через приложение Сбера. Но когда прочëл какие разрешения и доступы требуются, я передумал и жене сказал что этим говном пользоваться нельзя.
Дмитрий, благодарю тебя за информацию !🤝
кого там благодарить? человек не понимает как это работает и пытается выставить что это нужно чтобы перехватывать все твои данные
кого там благодарить? человек не понимает как это работает и пытается выставить что это нужно чтобы перехватывать все твои данные
ВИнда открыто все сливает... Ватсап и прочие открыто сливают.... как в России кто тот начинает отказываться от американского, так приходят "доброхоты" и доказывают что американское лучше... Ха-ха-ахаа.. доброхоты))
Отзыв сертификатов, лишь в очередной раз подтвердил мою уверенность в том, что это война против людей, а не против властьпридержащих!
Пожалуйста отдельный видос про виртуальную машину.
Сразу учуял что эта фигня пользы не несет. Но с Яндексом приходится иногда иметь дело на работе.
Странно что подписчиков так мало.
А зачем он? Можно и Linx-ом обойтись: рекламы не засунут... Я совсем "тындексом" не пользуюсь, "джином" тоже... Нет там ничего, пытался уже искать.
Почему не несёт?
Здравствуйте благодарю вас за ваши труды . На многое многим открыли глаза.
канал замечательнейший. информация приподносится четко и понятно. так держать команда Первый отдел!
Спасибо за ваши познавательные ролики
Круто, неожидал настолько грамотного объяснения работы сертификатов, роли root CA и тд. Явно погруженные люди пишут текст
Только вот почему-то он вам не объясняет, что так назщываемые гос. ведомства в ЕГРЮЛ на -1- начинаются и значит это ЮРЛИЦА а это СОВСЕМ меняет правовую картинку и ваше мировозрение в частности!!
Зайдите в ЕГРЮЛ и посмотрите на какую цифру начинается "администрация" вашего города!! _1_ - ЮРЛИЦО, 2_ - гос.учреждение. Проверьте так же любые организации, которые себя выгдают за госю.
@@user-qn1zz1mu9b не очень понял что это меняет. Можно конкретней? Ну власть наделяет некими полномочиями юр лицо. Что такого?
@@YaSKrasnogo , дык это подмена гос. организаций на частные, коммерческие фирмы, это процедура разгосударствления по сути! Любое юрлицо действует по принципу оферты, это значит, что всё что они там принимают - суть оферты, не более, без права требования! А где государство тогда, спрятано? Это же означает что происходит сверхмассовый обман граждан чего? И об этом этот чувак не говорит НИ СЛОВА! Ни в одном ролике! У вас паспорт на руках чей, ЮРЛИЦА, получается. Нам правовое поле подменили а мы не сном не духом.
@@YaSKrasnogo , администрация вашего города по егрюл - ЮРЛИЦО!, фирма ! Огромная разница, гос.орган это или магазин 5 рочка!
@@user-qn1zz1mu9b так видео не об этом вообще. Вы куда-то на 10 уровней выше смотрите, тут более приземленное и конкретное видео.
Бесценная информация. Наконец-то понял как используются сертификаты. Спасибо за работу!
Шум вокруг Тинькофф Банка который незаконно передает личные данные своих клиентов Госуслугам, ФСБ РФ и другим ведомствам, разрастается как снежный ком. В распоряжении ВЧК-ОГПУ оказались судебные документы, которые свидетельствуют о том, что взамен Тинькоф получает личные данные на сотни тысяч других граждан, которых пытается принуждать стать его клиентами. Из-за активной и агрессивной деятельности банка, как следует из решения суда, на это даже указывали Роскомнадзор и ФАС. Но штрафы присуждаются минимальные, поэтому банк продолжает работать по прежней схеме. Он передает силовикам и контрагентам абсолютно все данные о своих клиентах и их финансовых операциях. А взамен получает данные на сотни тысяч людей которые являются его потенциальными клиентами
Сейчас интеграция крупных компаний очень плотная. Например, в киви можно идентифицировать кошелек дистанционно, забив только паспортные данные , если к кошельку привязан телефон мегафона и мтс. Те просто посылают в киви все имеющиеся у них персональные данные. На озоне тоже самое, по номеру телефона и имени уже знают о тебе все, включая твои доходы и давать или нет тебе кредит.
Это уже не секрет. 3д-графия твоей мордочки и фигура нужна для распознавания на улицах, когда в очередной раз будешь убегать от горящего авто Zака видеокамера и ее мозг должны быстро тебя схватить и проследить вплоть до квартиры, даже там есть камеры.
Какой смысл сейчас переживать когда уже всё случилось? Ни для кого ни секрет, что через любых ботов, любых падких на бабки челиков можно получить любые данные хоть откуда. И не важно, Тинькофф у тебя банк или Синара банк.
@@PolnocnyWiatr через этих ботов ты не получишь любые данные и тем более актуальные. всё что у них есть это слитые базы в интернет.
Тинькоф давно сбежал и под следствием а ФСБ и так знает о клиентах всё что надо , что касается срача вокруг банков то это просто проплаченный пиар и ничего больше ... ФСБ должно знать всё о своих гражданах что бы поддерживать порядок и спокойствие граждан . В общем буря в стакане воды для даунов
Спасибо за просвещение!
Как всегда, огромная благодарность. Разбирался в этом, когда эта шляпа только началась. Тоже понял, что ничего хорошего в этом нет. Но ваши разъяснения, чёткие и сформулированные, упростят понимание темы для многих людей. Можно будет ссылаться на ваше видео, вместо того, чтобы самостоятельно кому-то что-то объяснять.
Отличное, простое и в то же время, корректное изложение важной темы. Спасибо.
вот только не говорит парень что-то, что перед глазами если посмотреть в ЕГРЮЛ, ведомства, которые он называет там на цифру -1- начинаются, а значит это ЮРЛИЦА! а не гос.учреждение или ведоство а он говорит тихой сапой, что это государственные ведомства. Обман, специально?
Запросто! он же читает по листику текст, который наверняка кто-то ему составил.
Пропустили самую интересную тему: как узнать, стоит ли уже энтот сертификат в моём Linux или Android, если, например, Яндекс-браузер уже стоит.
Если ты установил Яндекс на линукс, то епать ты лох😂
корневой серт минцыцки уже стоит в я.браузере.
если вы в фф, к примеру, не соглашались на установку, то, полагаю, серта нет. как проверить, есть ли уже или нет, на вскидку не подскажу, не интересовался.
@@SantaCluster Всего то 9 раз скопи-пастили )) А 2 исчезнувших сообщения такие же? )))
@@vm_3 очевидно же :)
На смартфоне никакое приложение само не может добавить сертификат в систему, если вы сами это не разрешите. Более того, на смартфонах каждое приложение запускается в отдельной песочнице и не может повлиять на другие приложения и данные, если пользователь не даст на это разрешение. Поэтому на смартфонах ставить браузеры со встроенным сертификатом Рейхсцифры можно, этот сертификат будет работать только внутри этого браузера. Разумно поставить такой браузер и использовать его только для захода в банки и госуслуги, а для всего остального использовать другие нормальные браузеры.
Что касается десктопа, то там посложнее. Во время установки браузера программа может запростить права суперпользователя, и если пользователь их даст, то установщик может поставить что угодно и куда угодно. Поэтому на десктопы ставить сомнительный софт вообще не рекомендую.
Большое спасибо за полезную информацию.
Спасибо ! ❤🤗. Не все поняла, надо ещё прослушать, но понятно что доброе дело делаете !!!!
Кратко о видео:
"Не верьте им, а нам верьте!" - главные слова любого мошенника.
Спасибо за информацию про нашу (без)опасность❤
Дмитрий и весь коллектив канала, традиционное спасибо за выпуск. Как всегда интересно и содержательно 🙏
Спасибо вашей команде!
ну я так и думал, Спасибо.
Спасибо! Вы как всегда о самом важном 😉
Спасибо за ваш труд!
Что мешает добавлять конечные серты в список доверенных?
Да, придется самому вручную отслеживать что за серт устанавливается, да еще и повторять эту операцию раз в год. Можно даже проверять перед установкой всю цепочку при помощи того же OpenSSL. Для этого понадобится серт МинЦифры, но его не нужно устанавливать в систему, а просто передать на вход OpenSSL для проверки.
В результате и нужные ресурсы доступны, и соединение с ними шифруется, и доверия к "левым" сертификатам нет.
P.S. я один прочитал "сувенирные сертификаты"? :))
это самый адекватный подход. Просто доверять конечный сертификат и идут они нахуй
Они просто начнут генерировать серты с возможностью подписывать новые ресурсы. Не забывайте, что им на вашу безопасность абсолютно насрать, они спокойно пойдут и на такое (если все так будут делать), зная, что банк теперь тоже по-идее сможет любой сайт подписать.
@@rogo7330 это так не работает. Серверным сертификатом не подписать что-либо еще.
Точнее, подписать технически можно, но результат будет невалидный.
@@rogo7330 я уже отвечал ниже на подобное возражение. Нет, сертификат ресурса (сервера) непригоден для подписывания других сертификатов. В нем явно устанавливается флаг CA:false запрещающий продление цепочки доверия. Плюс к тому, масимальная длина цепочки доверия ограничена корневым ЦС. И при добавлении сертификата в список доверенных можно выбрать для каких целей сертификат может использоваться.
@@rogo7330 не может. У сертификатов есть атрибут "конечный сертификат", запрещающий этим сертификатом подписывать остальные.
Все точно и по делу. Плюсую
Спасибо большое за информацию
Спасибо за полезную информацию!
Как проверить установлен ли сертификат этот на ПК?
@@borishiakofu да вод только что это человек не знает. И то что удалив его и когда ему снова понадобиться зайти на тот же сбер бизнес или втб онлайн он уже без сертификата будет мучаться. А для его корректной установки нужно чистить ssl и dns браузера. О чем он естественно не в курсе🤷
А никак. Операционная система (или браузер или любая другая программа) не обязана докладывать Вам, что она там себе поставила при очередном обновлении.
Теоретически можно разобраться самому - но тогда Ваш уровень на два порядка выше заданного Вами вопроса )))
И даже тогда Вам придётся довериться её ответу. Проверка правдивости этого ответа потребует ещё пару уровней компетенции
Спасибо за информацию. Но есть вопрос. Где-то полгода назад установил на айфон эти сертификаты, поддался на это потому что активно удалялись приложения банков из аппстора, чтобы совсем не остаться без доступа к своему банку, решил установить и посмотреть, что к чему. Где-то месяц с небольшим я пользовался как обычно своим айфоном, но потом решил удалить эти сертификаты с устройства, так как установил яндекс браузер и его достаточно для работы с банком. И вот вопрос, следов от этих сертификатов в системе не видно, но если ранее они были установлены, точно у них не осталось возможности проверять мой трафик, если не использую яндекс браузер? Как проверить?
Для уверенности сбрось настройки телефона. А лучше купи новый чистый. Старый можно использовать для банкинга и прочего.
Не должно остаться, если удалили. Это не вирус и в системе, по идее, не прячется. Для проверки можно попробовать зайти через, допустим, хром на ресурс, требующий сертификат минцифры. Если будет ошибка/предупреждение об отсутствии сертификата - то все норм.
Спасибо огромное!
Спасибо за Вашу работу.
виртуальная машина самый удачный вариант и более дешёвый чем использовать второй компьютер или ноутбук
Хорошая информация
Прекрасный проект, все информативно, огромной удачи в дальнейшей работе
Благодарю Вас!👍
Началось это не только-что. У меня в сбере уже года 3 периодически всплывает требование установить сертификат Минцифры.
Игнорю и всё норм.
в приложении или в браузере? пользуюсь приложением и пока ни разу не видел
@@Alina-nq9nw, в приложении.
@@Alina-nq9nw, в приложении. Первый ответ Ютуб, почему-то, удалил.
А что касается приложений Тинькофф и сбербанка? Я для банков вообще не пользуюсь браузером
приложение Сбер требует доступ к записной книжке, я ему его не дал, не хочу чтобы телефоны моих друзей попали в лапы мошенников и потом им названивали, пытаясь обмануть.
Очень познавательно, спасибо
Смотрю недавно, могу сказать, что Дмитрий очень компетентен в обозреваемых темах. Приятно слушать!
Спасибо за выпуск, братан! Если без корневого сертификата минцифры Тинькофф не даст пользоваться своим ИБ, откажусь от услуг этого некогда хорошего банка насовсем. Они уже слили без моего ведома биометрию в ЕБС. Так что мое доверие к этому банку и так основательно подорвано
Дмитрий!
Вы упустили крайне важный момент:
Если на устройстве установлен сертификат минцифры, то возможна атака mitm на любой(!) ресурс!
Суть: создается прокси-ресурс с сертом о минцифры того же gmail или youtube (который отзывается на эти доменные имена) с подменой dns-записей и почими приколами, далее происходит терминирование SSL-трафика, при котором будет расшифрован весь SSL-трафик. Кто настраивал тот же squid с терминированием SSL и распространением собственных CA через GPO, поймет без слов весь потенциальный масштаб бедствия
Так это не атака, а защита. Ваш трафик будет под пристальным взором тов.майора, который не даст совершить неправильные (по его мнению) вещи.
Ага, только для этого надо что бы мин цифры выдал сертификат на это доменное имя.
Рассмешил 😂 Нах#й ты кому нужен за тобой следить. Скажи еще сам ВВП и старый Джо за тобой подсматривают. 😂😂😂
@@TheEliseew ну, если минцифры в теме, то что ему помешает их выдать на эти самые имена - если уж ради такого случая dns перепахать придется.
@@dipqib Во первых не придётся. А во-вторых атака такого типа раскрывается достаточно просто внимательным пользователем после чего будет большой скандал.
Так что в данном моменте это пугалки автора.
Спасибо за видео!
Спасиьо! Честная информация!
Ну а что делать, пока это еще добровольно принудительно, я упираюсь как могу, но этому скоро система принудительно положит конец!
Верно.
Если все хомячки будут послушно повиноваться, то конечно, будет положен конец на всё. Не пользуйтесь, объясняйте другим. Причем на вопрос, "а что мне скрывать" приводите примеры, как сисадмин Вася из госструктур сливал данные в даркнет, а потом эти данные попадали в руки неограниченного круга лиц. За любой новостью с заголовком "данные утекли в сеть" стоит такой Вася.
@@user-ud9vx4np6i будут повиноваться. Об, яснять бесполезно.
посмотрите сколько у вас уже есть корневых сертификатов, вы молча верите тем, кто их выпустил? 😂 смешно
@@Mikst74 Этим можно доверять хотя бы потому что они работают как задумывались, а не созданы с целью тотальной слежки за гражданами чтобы потом карать неугодных за мнение различающиеся с мнением партии
Я с Тинковым в прошлом году распрощался, когда они мне прислали из налоговой уведомление. На мусоров работают!
все компании в российской юрисдикции работают на силовиков, иначе не работают. Тут выбор из сортов го**на. Где то выдадут по требованию а кто то и так всем желающим раздаст и продаст.
Любой российский банк пришлет такое уведомление, какой-то раньше, какой-то позже, тут без вариантов.
Налоговая это мусора?
@@user-uk7lk7de6q Нет б*я, честные, порядочные люди! )))
@@user-uk7lk7de6q Государство это мусор!
Спасибо за актуальную и своевременную информацию. Подписался, лайк и пепост!
Спасибо за работу!
Под конец не понял: зачем именно виртуалку ставить, а не просто поставить Яндекс браузер с сертификатом для банков, а чувствительную инфу гонять в другом браузере? Как сертификат в одном браузере на ПК влияет на трафик из другого?
Сетификат никак не влияет, а яндекс браузер влияет, он же имеет непосредственный доступ к диску.
Если читать ЯБ трояном, всё становится понятным.
не знаю точно, но думаю что никак, ведь не вирус же. Я так и сделал еще год назад, тогда и возникли первые звоночки от Сбера. Уточню, я не пользую яндекс браузер, успользую для этогор Атом.
@@aleksbotler5358если дать ему доступ к диску. Что необязательно.
@@Pavlo-ho9ww это самый разумный подход к продуктам Я
Досвиданья Тинькофф Банк, Сбер и ДНС! Теперь не буду пользоваться их услугами!)
Тинькофф это уже гос банк
Как с сбер
Сотрудничают с судебными приставами и ещё сдают людей куда надо если большие деньги на счетах
ФСБ у этих банков в друзьях
А альтернатива ? Весь бюджет сидит на сбере, тоже самое у бизнеса, где ещё будь любезен плати процент за любую транзакцию с карты.
днс не требует серт, с чего вы взяли?
@@leitz2145надо рушить эту монополию. иначе в цифровой рубль всех загонят. а это рабство
Спасибо, интересно!
Хорошо, доходчиво 👏👏👏
Подскажите что делать если уже установил сертификат минцифры
Откат к заводским настройкам\переустановка системы или откат к точке восстановления до сертификатов будут лучшим вариантом.
Если разрабы браузера пропишут в нём такой функционал, то он вполне может читать всё что у тебя на hdd/ssd. 😄
Это не связано с сертификатами. Это и сейчас можно сделать, и, возможно, уже сделано в каком-нибудь Яндекс браузере.
@@ReptiloidFromNibiru но!☝
с дыркосертификатами можно запилить фичу, шоб с госуслуг подтягивалось дополнение, приложение и устанавливалось или встраивалось в браузер.
С Правами доступа к данным на девайсе, за последние 80 лет.
Хотя..... Мне кажется шлюшкам в какардах проще тупо пройти по хатам с дубьем и банально каждого отпиздить и допросить, чем так изящно напрягать мозг! ☺
Для этого существуют права доступа. вылезти за пределы того что доступно он не сможет. Но ни Яндекс Браузеру ни Атому доверять не стоит.
@@Vednier, речь про ПК, а не про мобилки. А когда мы говорим ПК, мы по сути подразумеваем Windows, где любое приложение может залезть практически в любую папку пользователя даже без прав администратора.
@@ReptiloidFromNibiru Правильно настроенные права доступа сильно осложняют подобные фокусы. Не говоря уже о том что есть решения вроде sandboxie позволяющие запускать приложения в "песочнице", откуда у приложения просто не будет доступа к вашим файлам.
Спасибо!
Дмитрий прекрасная подача материала
Уже который по счету повод перейти на наличку.
Правильно. Я давно избавилась от всех банковских карт. Открыла счёт, на который поступает зарплата и пенсия и сразу снимаю полностью все поступления, чтобы не наживались на моих деньгах. Банки, особенно грефовский сбер, и так воруют у своих кредиторов деньги обманом.. Деньги будут целее, а, то у РФ денег не хватит на свои хотелки заморозит вклады народа, как сделали с пенсией, пенсионеры получают только часть пенсии- страховую, а остальное видимо спёрли. Если хотите спать спокойно - действуйте. Да, они ещё хотят контролировать ваши покупки по карте и магазин будет вам отказывать в покупке. Вот такие дела. РФ строит цифровой концлагерь для народа.
А ее скоро отменят, добро пожаловать в цифровое рабство
@@kuplumozga , и чем будет расплачиваться Степаныч в глухой деревне, покупая шкалик в сельмаге, где интернета нет? Нескоро наличку отменят в этой стране.
Дмитрий добрый день! Хотел уточнить у вас, Сбер требует сертификат мин цифры если пользуешься браузером, но в приложении сбера уже есть этот сертификат, получается если используешь приложение сбер, ничего дополнительно устанавливать не нужно? И ещё как приложение Сбер в этом случае сможет контролировать весь трафик устройства (если серт только в приложении, а не на устройстве) ?
Сбер не сможет контролировать трафик, поскольку у приложений ограниченные права
@@Pank0vmax так я к этому вопрос и задал, из ролика можно понять что приложение сбера якобы опасно со своими сертификатами, может быть опасно если сертификаты установить на устройство, в приложении это другое дело
Сбер запатентовал борьбу с мошенниками путём контроля голосового общения. @@Pank0vmax
Я не понял, если у меня стоит приложение Сбер то какой именно трафик можно перехватить, только тот который идёт через это приложение или вообще весь трафик телефона?
Весь. Оператор тоже под гэбней, передаст все что нужно этим парням. Устройство с которого выходишь в интернет тоже может быть, скорее всего, настроено как надо, в новых телефонах установлен обязательный гос.шлак который шпионит.
Только сберовский.
Если используешь браузер яндекс или майл, то все, что идёт через эти браузеры - читаемо государством
@@MrCinematograph Тогда не понимаю смысл совета автора держать отдельный телефон для этих приложений 🤔 Если перехватить можно только трафик по банковским операциям, а банк и сам эту информацию может предоставить, то в чём смысл? 🤔
@@Toxlc2 мало ли хитрожопые научатся сертификаты левые в систему ставить. Для успокоения паранойи лучше разделять "чистое" и "грязное"
@@Toxlc2это на всякий случай. Нет никаких гарантий что они не засунут в свой софт откровенный шпионский функционал под оправдания, мол это ради безопасности граждан и страны. На конституционные права они давно по такому предлогу плюют.
А на телефон тоже надо будет ставить сертификат для использования приложения? или там через приложение сразу сертификат ставиться?
В мобильные приложения сейчас зашивают серийный номер сертификата , соответственно устанавливать не нужно.
@@KH93b_ получается, сертификат используется только для конкретной сессии? то есть не весь трафик затрагивается, а только тот , который идёт через приложение.
Сертификат-скрепофикат аналоговнетный.
В подарок антивирус от РПЦ "ἐξορκιστής PRO" со 100% блокировкой порно-ЛГБТ контента.
Полезно, спасибо
годнота 👍 полезная инфа
А где же вариант с портабельным файрфоксом с установленным внутрь сертификатом( у лисы свое внутреннее хранилище сертификатов) ведь это намного проще чем виртуалка
Главное потом не забыть что у тебя там сертификат стоит корневой
@@KH93b_зачем сразу корневой? Для каждого гос. или банк. сайта свой
А мне Задолбали из Тинькофф банка на почту от разных как бы людей предлагают оформить карту .
Спасибо за контент
8:50 Коротко. Зашифрованный трафик любого пользователя, установившего себе сертификат минцифры, могут перехватывать и расшифровывать силовики. Это делает шифрование при посещении любого сайта бесполезным.
так и есть
Как? Расскажите технологию.
@@TheEliseew можешь почитать про хттп и уязвимости,
по сути принцип тот же, только для того чтобы расшифровать нужны те самые сертификаты...
@@TheEliseew когда есть корневой доверенный сертификат, то можно осуществлять Man in the middle (MITM) атаку. Делаешь сертификат от корневого на любой домен. Теперь есть два действительных сертификата - у вас от корневого минцифры и у настоящего владельца сайта (т.к. браузер доверяет корневому сертификату, то он доверяет и всем производным от корневого сертификатам). Вы на стороне провайдера прослушиваете трафик "посередине". Юзер общается с вами, и браузер для шифрования использует цепочку сертификатов от минцифры, браузер доверяет новому сертификату и подключается к вам как к настоящему сайту. Браузер юзера считает ваш сервер настоящим, шлет на него зашифрованные сертификатом минцифры данные, которые вы можете расшифровать, т.к. у вас есть новый сертификат домена, производный от минцифры. А ваш сервер снова зашифровывает полученные данные но уже с настоящим сертификатом сайта владельца и отправляет их на настоящий сайт. Настоязий сайт тоже не знает с кем общается, для него все выглядит нормально, т.к. используется настоящий сертификат сайта владельца. Таким образом, с помощью поддельного сертификата, произведенного для конкретного домена от корневого сертификата минцифры, можно встать посередине передачи данных и налету расшифровывать весь зашифрованный HTTPS-трафик, а потом зашифровывать и передавать на настоящий сайт. Или даже на любой поддельный сайт. Но факт в том, что в этом случае в шифровании нет никакой пользы. Корневые сертификаты часто используют антивирусы, чтобы расшифровывать и анализировать зашифрованный HTTPS-трафик, тоже встраиваясь посередине между юзером и сервером. И тоже вполне могут отправлять данные юзера куда им надо.
когда есть корневой доверенный сертификат, то можно осуществлять Man in the middle (MITM) атаку. Делаешь сертификат от корневого на любой домен. Теперь есть два действительных сертификата - у вас от корневого минцифры и у настоящего владельца сайта (т.к. браузер доверяет корневому сертификату, то он доверяет и всем производным от корневого сертификатам). Вы на стороне провайдера прослушиваете трафик "посередине". Юзер общается с вами, и браузер для шифрования использует цепочку сертификатов от минцифры, браузер доверяет новому сертификату и подключается к вам как к настоящему сайту. Браузер юзера считает ваш сервер настоящим, шлет на него зашифрованные сертификатом минцифры данные, которые вы можете расшифровать, т.к. у вас есть новый сертификат домена, производный от минцифры. А ваш сервер снова зашифровывает полученные данные но уже с настоящим сертификатом сайта владельца и отправляет их на настоящий сайт. Настоязий сайт тоже не знает с кем общается, для него все выглядит нормально, т.к. используется настоящий сертификат сайта владельца. Таким образом, с помощью поддельного сертификата, произведенного для конкретного домена от корневого сертификата минцифры, можно встать посередине передачи данных и налету расшифровывать весь зашифрованный HTTPS-трафик, а потом зашифровывать и передавать на настоящий сайт. Или даже на любой поддельный сайт. Но факт в том, что в этом случае в шифровании нет никакой пользы. Корневые сертификаты часто используют антивирусы, чтобы расшифровывать и анализировать зашифрованный HTTPS-трафик, тоже встраиваясь посередине между юзером и сервером. И тоже вполне могут отправлять данные юзера куда им надо.
Кстати по поводу перехвата трафика спецслужбами, рф похоже у Британии и США подглядела, эти в этой сфере впереди планеты всей. Да вот ещё в Литве граждане примерно 20% пользуются яндекс браузером
Комментарий в поддержку канала!
Благодарю ❤
Ребята ну тут всё очень просто, просто и понятно, государство будет делать всё, чтобы ему можно было как можно легче следить за своими гражданами, следить за всем тем, чем они занимаются в интернет сети, какие они совершают платежи, какие они совершают покупки, с кем они общаются, переписываются и всё в таком роде. Ну что вы хотите, В какое время живём, При какой системе, Сами подумайте. Учитывая то, насколько навязчиво сейчас они предлагают поставить Яндекс браузер, так я ещё тогда, когда только-только пошла вот это усиленная рекламная кампания по поводу Яндекс браузера, догадался, что тут что-то нечисто.
Как только на машине появится сертификат минцифры, это сразу открывает неограниченые возможности для MITM атак силовиками на пользователей. Ведь тогда минцифры сможет выпускать сертификаты валидные для любого адреса. И вы просто не будете знать (если специально не посмотрите) какой сертификат используется.
это не так работает
Расскажите тогда как именно это работает, если я ошибаюсь. Например MITMproxy работает именно так. Подменяя сертификат своим "валидным". Все что надо, это поставить его CA сертификат.
@@wilycoder сайты могут еще и проверять как подлинность сертификата так и что там за сертификат ты ему послал, на такие тебя не пустит. да и разберись в том как это работает
@@UnknownName1037 А для сайта это все выглядит совершенно законно. Он с прокси общается законным сертификатом. И для браузера или приложения тоже все ок. Учите матчасть.
@@wilycoderВообще-то для этого не нужен сертификат мин цифры.
За информационный видос спасибо 🤝 Хотелось бы от вас увидеть видеоинструкцию как это на виртуальной машине реализовать, спасибо.
полезная инфа, спасибо, не знал даже, что такая канитель завертелась, видимо мало покупок в интернете делаю)
А как проверить не установлен ли такой сертификат уже сейчас ? Допилите видео
Ну и объяснение у вас... Суть:"С браузерами ВМЕСТЕ идут списки удостоверяющих центров, выдающих СЕРТИФИКАТЫ, которым ДОВЕРЯЮТ создатели браузеров. Браузер проверяет, что сертификат посещаемому сайту выдал тот центр, который есть в списке доверенных. Пользователь может сам ДОБАВИТЬ центры в список доверенных. Всё."
Нужно было начать с того как это касается лично каждого. А вы сказами об этом в конце.
Спасибо
Американцы не обязаны вкладываться в благополучие россиян, тем более когда бизнеса отсутствует, а вторые соответственно должны теперь самостоятельно думать об этих сложных технологиях
Это не вопрос блага россиян. Американцы такими действиями вцелом сокращают безопасность интернет системы, и стимулируют российские компании и россиян активнее переходить на путлеровские цифровые стандарты. Это прямая помощь путлеру. Идиоты.
Так же запад уже спас экономику путлера, когда запретил российскому бизнесу выводить капиталы из путлеровской экономики. В 2022.
А до этого тупо доверяли американским УЦ. Вы уверены что они реально безопасны?
Вижу рекламу яндекс продуктов(особенно яндекс браузер), сразу понимаю что рекламируют продукты детей пр0ституток
Наши общие интересы это очень нужное нам! Да!