哈萨克斯坦政府实行的中间人攻击

哈萨克斯坦政府实行的中间人攻击是指哈萨克斯坦政府通过颁发并劝诱用户安装其颁发的网络根证书从而解密HTTPS加密流量,发动中间人攻击的事件,自2015年到2020年发生了三次。由于浏览器厂商的抵制,这些尝试未能达到目的。

背景

根证书HTTPS加密连接的基石,网络浏览器会内置一个可信根证书列表,用于检查某网站的身份和验证加密流量的TLS证书。由于根证书的密钥由可信的第三方证书颁发机构保存,中间人不大可能解密用户的加密流量。然而,如果某国政府要求所有用户安装其颁发的根证书,那么安装了其证书的用户,在使用互联网时,发送的流量可能会被证书颁发者拦截、解密,该国政府从而可以获得加密连接中用户的信息。

VentureBeat网站认为,哈萨克斯坦政府最初针对的目标可能是GoogleFacebookTwitter等网站。[1]

时间线

2015年的第一次尝试中,政府表示该证书是“国家安全证书”。[2][3]

2019年7月,哈萨克斯坦的网络供应商开始向其用户发送有关网络证书的消息,并把该证书称为Qaznet Trust Certificate[4]该证书由国家证书颁发机构Qaznet Trust Network颁发,所有用户都要安装。[5][6][7]这是哈萨克斯坦政府第二次尝试签发根证书。

2019年8月21日,Mozilla公司和Google公司同时宣布,Firefox浏览器Google Chrome将不会接受这张由哈萨克斯坦政府颁发的证书,即使用户手动安装也依然不会接受。[8][9]苹果公司宣布Safari浏览器也会进行类似的措施。[1][10]截至2019年8月 (2019-08)微软迄今尚未对其浏览器采取任何措施,但重申该政府颁发的证书不在旗下浏览器的受信任根存储中,除非用户手动安装,否则不会产生任何影响。[11]

2020年12月,哈萨克斯坦政府第三次尝试引入政府颁发的根证书。[12]各浏览器生产商再次宣布,他们不会让这类证书在浏览器中生效。[13]

参考

  1. ^ 1.0 1.1 Paris, Martine. Google and Mozilla block Kazakhstan root CA certificate from Chrome and Firefox. VentureBeat. 2019-08-21 [2019-08-21]. (原始内容存档于2022-04-04) (美国英语). 
  2. ^ Nurmakov, Adil. Experts Concerned Kazakhstan Plans to Monitor Users' Encrypted Traffic. Digital Report. 2015-12-05 [2019-07-18]. (原始内容存档于2015-12-05) (ru-RU). 
  3. ^ Nichols, Shaun. Is Kazakhstan about to man-in-the-middle diddle all of its internet traffic with dodgy root certs?. www.theregister.co.uk. 3 Dec 2015 [2019-07-18]. (原始内容存档于2019-12-28) (英语). 
  4. ^ Kazakh government will intercept the nation’s HTTPS traffic. IT PRO. [2019-08-21] (英语). 
  5. ^ MITM on all HTTPS traffic in Kazakhstan | Hacker News. news.ycombinator.com. [2019-07-18]. (原始内容存档于2022-01-09). 
  6. ^ Afifi-Sabet, Keumars. Kazakh government will intercept the nation’s HTTPS traffic. IT PRO. 19 July 2019 [2019-07-19] (英语). 
  7. ^ Raman, Ram Sundara. Kazakhstan's HTTPS Interception. censoredplanet.org. University of Michigan. July 23, 2019 [2019-08-21]. (原始内容存档于2022-03-15). 
  8. ^ Thayer, Wayne. Protecting our Users in Kazakhstan. Mozilla Security Blog. 2019-08-21 [2019-08-21]. (原始内容存档于2022-04-03) (美国英语). 
  9. ^ Whalley, Andrew. Protecting Chrome users in Kazakhstan. Google Online Security Blog. 2019-08-21 [2019-08-21]. (原始内容存档于2022-04-05) (英语). 
  10. ^ Paris, Martine (2019-08-21). "Google and Mozilla block Kazakhstan root CA certificate from Chrome and Firefox"页面存档备份,存于互联网档案馆). VentureBeat. Retrieved 2019-08-21.
  11. ^ Brodkin, Jon. Google, Apple, and Mozilla block Kazakhstan government’s browser spying. Ars Technica. 2019-08-21 [2019-08-22]. (原始内容存档于2022-04-07) (美国英语). 
  12. ^ Cimpanu, Catalin. Kazakhstan government is intercepting HTTPS traffic in its capital. ZDNet. [2020-12-18]. (原始内容存档于2020-12-06) (英语). 
  13. ^ Moon, Mariella. Tech giants will block Kazakhstan's web surveillance efforts again. Engadget. 2020-12-18 [2020-12-18]. (原始内容存档于2022-04-08) (英语).