英国政府は、すべてのパケットのヘッダー データをキャプチャするために、中間者攻撃システムの実装を試みています。また、暗号化されたデータを見るための技術を備えた「ブラック ボックス」も導入する予定です (通信データ法案を参照)。
プライバシーを強化するために VPN を使用しています。VPN は OpenVPN を使用し、OpenVPN はデータの暗号化に OpenSSL ライブラリを使用します。政府は VPN 接続を通過するすべてのデータを見ることができるのでしょうか?
注: VPN サーバーはスウェーデンにあります。
答え1
通信データ法案では、サービスプロバイダーにログの保存を義務付けています。データコンテンツの復号化については規定されていません。
GCHQ と SIS は、必要に応じて VPN セキュリティを回避する方法を持っていると思います (ただし、法律を遵守するには RIPA などの裁判所命令が必要になる場合があります)。
答え2
攻撃者が暗号 (デフォルトでは Blowfish と RSA) を解読する能力を持っておらず、自分のシステムが侵害されておらず、使用しているソフトウェアにバックドアが仕掛けられていないと仮定すると、攻撃者は偽の証明書を受け入れるように誘導することによってのみリンクを攻撃することができます。
これを回避するには、静的キーを使用するか (ただし、これによって独自のキー配布の問題が発生します)、偽の証明書を取得できないようにする必要があります。何らかの CA に依存している場合は、その CA が偽の証明書を発行しないことを確認するか、CA をバイパスして、既知の証明書に直接信頼を固定する必要があります。
また、証明書が堅牢なハッシュ関数 (少なくとも sha256) を使用していることを確認する必要があります。これは、CA が第三者による証明書の要求を許可している場合、第三者が衝突する証明書のペア (1 つは正当な証明書、もう 1 つはあなたの ID を偽装した証明書) を作成し、ある証明書から別の証明書に署名を移植しようとする可能性があるためです。
キーの長さには注意が必要です。特に、RSAでは1024ビットは推奨されなくなりました。