O governo do Reino Unido está tentando implementar sistemas de ataque man-in-the-middle para capturar dados de cabeçalho em todos os pacotes. Eles também estão equipando as “caixas pretas” que usarão com tecnologia para ver dados criptografados (ver a Lei de Dados de Comunicações).
Eu uso uma VPN para aumentar minha privacidade. Ele usa OpenVPN, que por sua vez usa bibliotecas OpenSSL para criptografar dados. O governo conseguirá ver todos os dados que passam pela conexão VPN?
Nota: o servidor VPN está localizado na Suécia, se isso faz diferença.
Responder1
A Lei de Dados de Comunicações exige que os provedores de serviços mantenham registros. Não fornece descriptografia do conteúdo dos dados.
Imagino que o GCHQ e o SIS tenham maneiras de contornar a segurança da sua VPN, se assim o desejarem (embora possam precisar de uma ordem judicial para permanecer dentro da lei - RIPA, etc.).
Responder2
Se você presumir que eles não têm a capacidade de quebrar suas cifras (por padrão, blowfish e RSA), que seus próprios sistemas não estão comprometidos e que o software que você usa não tem backdoor, eles só poderão atacar seu link enganando você em aceitar um certificado falso.
Você pode evitar isso usando uma chave estática (mas isso cria seu próprio conjunto de problemas de distribuição de chaves) ou certificando-se de que eles não possam obter um certificado falso. Se você depende de alguma CA, você deve certificar-se de que a CA não emitirá certificados falsos ou ignorará a CA e ancorará sua confiança diretamente nos certificados que você conhece.
Você também deve garantir que seus certificados usem uma função hash robusta (pelo menos sha256), porque se a CA permitir que terceiros solicitem certificados, um terceiro poderá tentar criar um par de certificados em colisão, um legítimo e outro falsificando sua identidade, e transplantar a assinatura de um certificado para outro.
Você ainda precisa ter cuidado com o comprimento das chaves. Em particular, 1024 bits não são mais recomendados para RSA