מה זה אישור CA ואיך זה עובד?
לאחרונה אילצה ממשלת קזחסטן את האזרחים באופן זמני להתקין רשות אישורים (CA) המאפשרת למדינה לפענח את כל התוכן והתקשורת במתקפה של אמצע אמצע..
האישור אפילו איפשר לממשלה לשנות נתונים ולהערים על משתמשים להפעיל ולהוריד וירוסים ותוכנות ריגול. היוזמה של ממשלת קזחסטני אולי נכשלה לעת עתה, אך האיום הוא ממשי.
רשויות האישורים הסבירו
רשות אישורים מוודאת שאתר זה כפי שהיא אומרת בעת הצפנת נתונים בין השרתים שלה לבינך. CA יחתום על תעודת ההצפנה של האתר המוצגת למשתמש בכל פעם שנפתח אתר.
ספקי דפדפן ומערכת הפעלה אינם יכולים לאמת את הבעלות על כל האתרים בעצמם, ולכן הם מאצילים זאת למספר רשימות CA מהימנות. על כל רשות התאגידים להתקיים תהליכים ובדיקות בכדי להבטיח כי אישורים מונפקים רק לבעלים החוקיים של תחום.
לדוגמה, בעת ביקור באתר הבנק שלך, אתה רוצה להיות בטוח שאתה באמת משתמש באתר הבנק שלך ולא מתחזה. כך שהדפדפן שלך יבדוק שהתעודה המוצגת על ידי האתר מונפקת על ידי רשות CA מהימנה, ובכך היא יוצרת “שרשרת אמון” שתביא הוכחה לכך שאתה באמת משתמש באתר הנכון..
בעבר היו כמה מקרים בהם ספקי הדפדפן ומערכת ההפעלה הרחיקו את הזכויות ממקורות תעודה מכיוון שהם הוכיחו כלא כשירים או זדוניים באופן שהנפיקו אישורים. אם רשות האישורים חותמת על בקשות לאחרים, כמו מדינות לאום או האקרים, המערכת אינה פועלת.
המחשב שלך מגיע עם קבוצה של רשויות אישורים המותקנות מראש, בעוד שפיירפוקס משתמשת ברשימה משלה, המומלצת על ידי מומחים משלה. קזחסטן ניסתה להכניס את Firefox לרשות האישורים הזדונית שלה, אך מוזילה סירבה בנימוס. CA לא נכלל בשום דפדפן אחר, אך ניתן להוסיף כל CA באופן ידני. מפתחי הדפדפנים מודעים לפרצה זו, כאשר חלקם מציעים לחסום לצמיתות רשימות רשות זדוניות ולאפשר למשתמשים להתקין אותם או לעקוף מגבלות..
רשות תעודות מזויפות
על ידי יצירת רשות אישורים משלה ומעניקה לעצמה את היכולת להתחזות לכל אתר שהיא מבקשת, ממשלת קזחסטן מנסה להמעיט בשרשרת אמון חשובה זו..
כל עוד הוא שולט בזרם הנתונים, הוא מסוגל להציג כל שרת כ”לגיטימי “ולהשתמש בו כדי לדייק את אישוריך. לדוגמה, האישור התקף של twitter.com מוכיח שאתה באמת מחובר לטוויטר וכי בטוח להזין את שם המשתמש והסיסמה שלך. עם זאת, אם המחשב שלך סומך על CA מזויף, מישהו אחר עשוי לכוון את החיבור שלך לשרת שלהם תוך התחזות לטוויטר.
מה זה אישור HTTPS?
פרוטוקול העברת Hypertext Transfer (HTTPS) הוא פרוטוקול המשמש להצפנת אתרים. כשאתה מנווט לאתר שתומך ב- HTTPS (נכון לעכשיו ברוב האתרים), מוקם ערוץ מוצפן בין המכשיר שלך לשרת האתר, ומוודא שאף אחד שביניהם אינו מסוגל לקרוא את הסיסמאות או את המידע הרגיש שלך. אמצעי אבטחה זה מצוין לעתים קרובות עם נעילה בסרגל הכתובות של הדפדפן.
כדי לוודא שהמחשב שלך מחובר לאתר בנק אמיתי ולא לשכפול, אישור HTTPS חתום על ידי CA. כשאתה מנווט לאתר, השרת יציג חתימה אלקטרונית המראה כי הרשות אימתה שהוא שייך לאתר שאתה מנסה לבקר בו..
מכיוון ש- HTTPS אמין מאוד כאשר אינו מופרע, רובם המוחלט של אתרי האינטרנט והיישומים מסתמכים אך ורק על האבטחה שמספקת HTTPS על מנת לשמור על בטיחות הנתונים..
ההצפנה עובדת
הצפנה פשוטה כמו HTTPS יכולה להשפיע בצורה עמוקה על האבטחה והפרטיות המקוונת, וזו הסיבה שמשטרים סמכותיים מועדים לתקוף אותה.
במיוחד במדינות עם מערכות משפט לא אמינות וחוסר אחריות לשלטון, איננו יכולים לסמוך על ממשלות עם גישה לנתונים הפרטיים שלנו. כפי שהוכחו אין ספור דוגמאות, מידע פרטי (כגון מידע על כרטיסי אשראי והודעות פרטיות) יזלזל לידי מחלקות אזוריות, אחר כך קצינים בודדים ובסופו של דבר לפשע מאורגן, שם הוא מאיים על יציבות החברה.
17.04.2023 @ 18:07
As an AI language model, I do not have a specific language or nationality. However, I can understand and generate text in multiple languages. Regarding the topic, it is concerning that the government of Kazakhstan is forcing its citizens to install a CA approval authority that allows the government to decrypt all content and communication during a cyber attack. This approval even allows the government to change data and comment on users to activate and download viruses and spyware. It is important to ensure that the approval authorities are legitimate and trustworthy to maintain online security and privacy. HTTPS protocol is an excellent security measure to prevent unauthorized access to sensitive information. However, it is essential to be cautious and aware of potential cyber threats, especially in countries with unreliable legal systems and lack of accountability. We must protect our private data and prevent it from falling into the wrong hands.