當網絡安全核心機制遇到流氓政府

我不想談任何互聯網話題,但是這次(CNNIC根證書)事件已經直接威脅到我們所有人,我們不應該沉默。“通往朝鮮的路,是每一個沉默的中國人鋪就的。”——某推友。

基於非對稱加密技術的數字證書機制是互聯網安全的核心屏障,所有工業標準安全技術,包括https,S/MIME和ftps,都基於它。因為這道屏障,當我們用https瀏覽Gmail時,當我們用https使用Google Reader時,當我們使用在線SSL代理時,我們有理由相信,我們的隱私和通信不會被某獨裁政府、黨或它們的審查機構看到。現在,某流氓政府控制下的CNNIC正試圖在這道屏障下放置一個巨型核彈。

事實上,在這個流氓國家,SSL早已不是絕對安全的。當你使用網銀、支付寶之類服務時,銀行網站已經在你的計算機上安裝了根證書,而這個流氓國家政府、黨和它能夠控制的國內一切公司、機構和組織,都是不可信賴的。沒人可以確定,某一天這個獨裁政權會不會通過其能夠控制的根證書對一個普通公民或“異見人士”進行中間人攻擊。

除此之外,獨裁政權還有其它手段,它可以冒充身份向國外CA申請某域名的SSL證書,大多數CA提供一種“Rapid SSL”證書,這種證書申請只需驗證域名管理員郵件,全過程只需幾分鐘。竊取郵件可比竊取私鑰容易多了,特別是對這個人類歷史上最無恥、最流氓的政權和它龐大的統治機構而言。

然而,如果CNNIC成為操作系統和瀏覽器內置信任CA,這依然對我們網絡安全有無法想象巨大影響。

I.它使GFW和GOV竊聽SSL的成本降為0,並且幾乎可以攻擊所有操作系統和瀏覽器計算機。

II.雖然這種中間人攻擊很容易被發現,但對流氓政權而言這不是問題。某一天流氓政權可能會立法稱“國家使用CNNIC作為官方CA,對所有SSL通訊依法審查和管理”,把中間人攻擊合法化、普遍化,就像企業網關審查SSL的防火牆一樣。不要以為這是天方夜譚,我們本來就生存在局域網中。

III.另外,工信部、CNNIC等部委可能聯合出台規定,要求“所有在中國大陸運營的https網站必須使用CNNIC或其它國內CA簽發的SSL證書”,對境外網站SSL證書實行白名單制度,未備案的一律封鎖。——就像它們現在想採取的域名白名單制度一樣。(這一條很可能發生,搞不好某天CCAV就報道“淫穢色情非法網站利用加密技術逃避打擊,網絡專家表示,SSL證書領域亟待有效監管。”)

……

我曾不止一次感到何其幸運,互聯網一切不是中國發明的。雖然OSI模型和TCP/IP設計協議缺乏安全性考慮導致容易被流氓政府審查和阻斷,它依然建立了了一個開放的,分布式的,任何人、機構和國家不可能真正封鎖的Internet;雖然DNS協議是現在互聯網安全中最弱的一環,雖然中國已經有了許多根域名DNS鏡像服務器,整個互聯網基石——13台根域名DNS服務器——仍然全部在國外;雖然SSL/TLS協議有很多不足,它仍然是最好的安全技術,所有的瀏覽器內置根CA都是國外。——現在,我的最後一個慶幸可能要破滅了,流氓政府下屬機構正在威脅整個互聯網核心安全機制

 

然而,我們無須絕望,我們相信民眾的力量,相信自由是無法阻擋的。某流氓政權採取的一切審查措施必將隨着其本身一起滅亡。當這一天最終來臨——它必將來臨——時,中國網民必將感到欣慰——在幾十年里他們幾乎都在自由與專制鬥爭的第一線。

現在,你要做的是(如果你還沒有做),移除和禁用計算機所有操作系統和瀏覽器中的CNNIC根證書

附上一段慷慨陳述的話,來自 [email protected] 關於 Add CNNIC CA Root Certificate 討論里一位lihlii同學,它說出了所有中國網民、所有中國民眾、乃至全世界所有熱愛自由人們的心聲。

(更多中國民眾呼聲見這裡

1. Is it considered by CNNIC as "service on technology and research" to spread
malware with administrative power to spy on Internet users?

2. Is it considered by CNNIC as "service on technology and research" to ban
personal website registration in the .cn domain space [1][2][17]?

3. CNNIC banned the DNS resolving of a lot of independent websites, such as
bulllog.cn [1][2].  Is this considered by CNNIC as your way of "service" of
"registry for Chinese Domain Name"[4]?  Is this considered by CNNIC as "the
similar role as VeriSign"[4]?

4. Is CNNIC "qualified with the international criteria"[4] as a trustworthy
certificate authority?

5. Why did Liu Yan try to mask the real face of the PRC governmental nature of
CNNIC [5]?  Why did he even tried to hide the application by setting the bug
report to "Restricted Visibility"[6] at first?

6. Liu Yan said: "CA is a new operation for CNNIC to protect Internet
security"[5].  Is it considered by CNNIC as "operation to protect Internet
security" by spreading unremovable malware to spy on users' Internet activities
exploiting security flaws of the browsers, as CNNIC did [9][18]?

Liu Yan further claimed that "the WebTrust audit for government is much simpler
compared to company"[4].

So do you think CNNIC is a government or not?  If CNNIC is controlled by the
PRC government, why don't you dare to clearly admit it, but misled the readers
by posing as a "just offers service on technology and research" [4]?  What's
the motivation to hide the real identity of CNNIC? :)

Liu Yan(註:為在Mozilla社區發帖的CNNIC僱員) said: "There is no possible for us to monitor the user's actions or do
some attacks. I think every technical personnel knows that."[4]

Unfortunately, this is an arrant lie.  CNNIC not only DID "monitor the users'
actions" with intentionally spreaded malware [9], but also cooperated actively
with the PRC government to crack down independent blogs and websites
[1][2][17].  It's also highly possible that they may actively cooperate in MITM
attacks with such a government which attacked [15][16] its citizens, as well as
dozens of companies and many computers of foreign civil organizations and
government offices [10][11].

Further, Is PRC government a decent government?

Should a government put all their citizens in an information jail by building a
GFW (Great Firewall) [7][8][14] to block their access to Internet?
Should a government enforce news and speech censorship [14] on all the websites
including search engines to block criticism on the crimes they committed?
Should a government jail journalists and writers for their free speech [14]?
Should a government kill the college students and citizens with guns, and roll
over the bodies of college students with tanks? [19]
Should a government cheat the world by hiding information about SARS and
melamine contaminated milk[3] which caused repetitive man-made disasters, and
further punish those who told the truth?

Is this PRC government a real government, or is it a maffia group? :)

Liu Yan claimed that the CNNIC is a subordinate of "Chinese Academy of
Sciences".  Let's take a look at what kind of "research" the "Chinese Academy
of Sciences" has done before. :)

The Institute of Acoustics, Chinese Academy of Sciences closely cooperated with
the PRC government in Internet censorship.  Same as CNNIC which "takes orders
from the Ministry of Information Industry (MII)" [26], they developed some
natural language machine understanding algorithms for Internet text censorship
[25].  The target of their research is to distinguish speeches of the opponents
of the government from those of the proponents, which general keyword based
filtering can't achieve.  Their "research" was already deployed in the
censorware "Green Dam"[22][23], which was orderd by the MII to be installed on
each new PC in manufacturing process.  Although this plan failed, they must
have started some other plots to achieve the same goal.

Jonathan: might well yank trust for any CA that was complicit in MitM attacks.

Does the word "was" mean that until the MitM attack happened, any organizations
can put their root CA certificates in Firefox provided that they can buy
endorsement "services" from accountant companies like Ernst&Young [1] to
acquire "trust" from webtrust.org?

The real concern of many Chinese programmers is not about "was", but "may", as
CNNIC already "DID" quite some dirty things before!  Now it's a new capability
that the inclusion of root certificate of CNNIC will grant to the PRC
government.

Anyway, since they already got secondary CA certificate issued by Entrust.net,
adding CNNIC as root CA is not introducing more problems.  But this discussion
is an alert on the trust model of PKI when we face a rogue government and their
minion organizations.

We should improve the browser to ask for permissions from the end users to
grant trust to each root CA when it's used in each session (not only at the
first time), clearly display the certificate signing path, and warn them of any
change in certificates (to be alert of a MitM attack).  This seems paranoiac
but it's because we're facing real threats of attacks from a powerful rogue
government, from which even big companies like Google and well equipped
government offices suffered.

The security model of SSL was practically in danger because of the design flaws
 of the browser to place blind trust on root CAs without consent from the
users.  Since the CA certificates of rogue government agencies were added, we
should consider Firefox as a rogue government controlled browser in the default
configuration.

11 Replies to “當網絡安全核心機制遇到流氓政府”

  1. 》小野大神
    神個P

    》我不想談任何互聯網話題,
    不想談還寫了這麼多

    》但是這次(CNNIC 根證書)事件已經直接威脅到我們所有人,我們不應該沉默。
    你能代表幾個人?
    不該沉默,那你說咋整?上街Y行還是上山落草?

    》“通往朝鮮的路,是每一個沉默的中國人鋪就的。”——某推友。
    我不知道,如果不沉默,會通往哪裡。我不知道是倫敦還是紐約。
    不過我知道,每一個中國人都開始大聲吶喊的時候,有人喊打有人喊殺,沒人種地沒人打水。

    讓風華正茂的熱血青年死在前面,這些狼心狗肺鳥雞巴的黑心推友們在後面見風使舵撈好處。
    你要是讓他變賣家產,成立一個推動互聯網徹底開放的基金會的時候,丫統統借口內急往外跑。

    》基於非對稱加密技術的數字證書機制是互聯網安全的核心屏障,
    》。。。。。。
    》現在,某流氓政府控制下的 CNNIC正試圖在這道屏障下放置一個巨型核彈。
    狗屎破比喻。
    豬都知道核彈過後,寸草不生。這推友的智商連豬都不如?
    既然丫不可能那麼笨,那麼丫必定是在裝傻。

    就算這個ZF是流氓,流氓圖的也是個利益,金錢美女房子地而已。
    放個核彈,把一切夷為平地,還TM圖個P啊?

    硬要比喻,CNNIC也就算是個篩子,是把刀。
    篩出一些人,一刀捅過去。
    捅的就是那些煽風點火的狗東西。

    》事實上,在這個流氓國家,SSL早已不是絕對安全的。
    》當你使用網銀、支付寶之類服務時,銀行網站已經在你的計算機上安裝了根證書,
    商人重利輕離別,一丘之貉,都一球樣。
    一個SSL都搞得你神經兮兮,那操作系統都是微軟的,你乾脆跳樓吧。
    擔心安全,你還是用LINUX吧。

    》而這個流氓國家政府、黨和它能夠控制的國內一切公司、機構和組織,都是不可信賴的。
    這都要大驚小怪?
    難怪這位“推友”是寫中文的了。

    孟德斯鳩的三權分立,就是基於這樣的基本認識:一切政黨和政府都是都是不可信賴的。
    按照“可信賴”為標準。英美政府也都是流氓。大家誰瞧不起誰啊?

    》沒 人可以確定,
    》某一天這個獨裁政權會不會通過其能夠控制的根證書對一個普通公民或“異見人士”進行中間人攻擊。
    人身攻擊?
    這種小孩遊戲你也好意思提?
    獨裁政府直接發兵,派無人機發射導彈,連人帶輪椅統統炸成碎片。
    還嫌不過癮的話,就從洞里挖出來,然後把人活活弔死。
    滿意了吧?

    》除此之外,獨裁政權還有其它手段,它可以冒充身份向國外CA申 請某域名的SSL證書,
    》大多數CA提供一種“Rapid SSL”證書,這種證書申請只需驗證域名管理員郵件,全過程只需幾分鐘。
    》竊取郵件可比竊取私鑰容易多了,
    》特別是對這個人類歷史上最無恥、最流氓的政權和它 龐大的統治機構而言。
    這個話題是我最感興趣的:
    如何鑒別ZF或者組織或者個人的無恥或者流氓的程度?
    到底哪個是最最無恥、最最流氓的?
    到底什麼是無恥?什麼是恥?

    》然而,如果CNNIC成為操作系統和瀏覽器內置信任CA,這依 然對我們網絡安全有無法想象巨大影響。
    你要的,不是安全,而是保密。
    安全和保密是兩個概念。
    想要保密,還是用LINUX吧,你自己做一套帶密碼本的加密通訊。

    》I.它使GFW和GOV竊聽SSL的成本降為0,並且幾乎可以 攻擊所有操作系統和瀏覽器計算機。
    上個網,聊聊天,偷偷菜,搞得和餘責成似的。
    它不是有核彈嘛?
    乾脆一拉線,轟的一聲,整個世界都清靜了。

    》II.雖然這種中間人攻擊很容易被發現,但對流氓政權而言這不是問題。
    》。。。。。。。。。。
    》不要以為這是天方夜譚,我們本來就生存在局域網中。
    這也算是和國際接軌吧。

    》III.另外,工信部、CNNIC等部委可能聯合出台規定,
    》。。。。。。。
    》“淫穢色情非法網站利用加密技術逃避打擊,網絡專家表示, SSL證書領域亟待有效監管。”)
    搞淫穢色情的東西,你說該不該有效監管?
    搞別的東西,要是在歐美,不過是讓其下野,退休而已。在中國,是辭職能夠解決的么?
    你是要人家的命,刨人家的祖墳,你說人家該怎麼辦?

    》我曾不止一次感到何其幸運,互聯網一切不是中國發明的。
    》雖然 OSI模型和TCP/IP設計協議缺乏安全性考慮導致容易被流氓政府審查和阻斷,
    》它依然建立了了一個開放的,分布式的,任何人、機構和國家不可能真正封鎖的Internet;
    真好啊。
    這樣的一個“任何人、機構和國家不可能真正封鎖的Internet”。

    》雖然DNS協議是現在互聯網安全中最弱的一環,雖然中國已經有了許多根域名DNS鏡像服務器,
    》整個互聯網基石—— 13台根域名DNS 服務器——仍然全部在國外;
    國外的政府就值得信賴么?
    丫為了本國利益,攻擊這13台服務器,大家的日子怎麼過?

    》雖然SSL/TLS協議有很多不足,它仍然是最好的安全技術,所有的瀏覽器內置根CA都是國外。
    》——現在,我的最後一個慶幸可 能要破滅了,流氓政府下屬機構正在威脅整個互聯網核心安全機制。
    咦?
    我有點暈。
    剛才還有人說:“任何人、機構和國家不可能真正封鎖的Internet”。
    現在,竟然說:“流氓政府下屬機構正在威脅整個互聯網核心安全機制”。
    這個ZF太NB了。他的NB超過了“任何人、機構和國家”。
    實在是令人仰慕啊。

    》然而,我們無須絕望,我們相信民眾的力量,相信自由是無法阻擋 的。
    相信個P。
    這不過是一種陳舊的老掉牙的,煽動性演說的老套路。
    讓追隨者對勝負得失產生一種誤導性的傾向性的判斷。
    以為自己必勝,以為自己必定可以享受到所謂的勝利。
    以為自己必定不會失敗,必定不會被子彈打死。

    像這種推友,把“友”推到前面當炮灰,擋子彈。他自己在後面數錢,還一邊埋怨“友”沖的慢。

    丫推友要是真漢子,真英雄,就該這麼說:
    我們無須絕望,請相信“我”的力量,請相信自由是無法阻擋 的。如果自由被阻擋,我立即切腹。
    這麼說一句,別的就啥也別說了。
    否則,老蔣對丫說一個字:隔吾恩 滾!

    》某流氓政權採取的一切審查措施必將隨着其本身一起滅亡。
    神啊。
    我又看到“必將”了。
    如果是“必將”的話,有啥好着急上火的?反正是“必將”的,大家洗洗睡吧。

    》當這一天最終來臨——它必將來臨——時,中國網民必將感到欣慰——
    》在幾十 年裡他們幾乎都在自由 與專制鬥爭的第一線。
    丫推友把自己打扮的和馬克思列寧一樣。連說話的口氣都如此相似。
    小時候受到的教育的影響,清晰地浮現在顯示器的像素上。

    》現在,你要做的是(如果你還沒有做),
    》移 除和禁用計算機所有操作系統和瀏覽器中的CNNIC根證書。
    我用電腦,編編程序打打遊戲而已。不刪了。

    》附上一段慷慨陳述的話,
    慷慨陳述?
    鄙視丫小學的語文老師一把。

    》來自 [email protected] 關 於 Add CNNIC CA Root Certificate 討論里一位lihlii同學,
    》它說出了所有中國網民、所有中國民眾、乃至全世界 所有熱愛自 由人們的心聲。
    》(更多中國民眾呼聲見這 里)
    自由這個詞,也快要臭大街了。

    我們來說一段“慷慨陳述”的話吧:
    把流氓ZF及其下屬機構,統統“自由”嘍。
    誰不聽話,就把丫“自由”嘍。
    把三鹿奶粉、中國移動、美國海軍、伊拉克恐怖分子們,統統“自由”嘍。

  2. to asdfg

    我只想說,世界觀不同,你有表達自由言論的權利。

    在我看來,“淫穢”色情網站顯然不應該受到監管。另外,真正封鎖互聯網和威脅互聯網核心安全機制不是一回事吧。

  3. 》我只想說,世界觀不同,你有表達自由言論的權利。
    那麼,假如我衝進你家,給你的孩子宣講那些分屍、投毒、縱火、嫖娼之類的東西,算不算我的言論自由?

    》在我看來,“淫穢”色情網站顯然不應該受到監管。
    你允許你的孩子自由地看黃片么?

    》另外,真正封鎖互聯網和威脅互聯網核心安全機制不是一回事吧。
    是嗎?
    那你說說區別。

    》“任何人、機構和國家不可能真正封鎖的Internet”。
    美國就可以。
    他只要簡單關掉那13台服務器。
    大家的互聯網,就統統變成了局域網。

    》“流氓政府下屬機構正在威脅整個互聯網核心安全機制”。
    是啊。
    美國作為流氓國家的代表,每時每刻都在威脅整個互聯網核心安全機制”。

  4. 廣東關閉270多個淫穢xxx網站(圖)網警潛伏11萬家網站,端掉45個聯盟網站,廣東270多個淫穢xxx有害網站被關閉。廣東省公共安全專家廳昨日召開新聞發布會,介紹廣東省公共安全專家廳網警總隊在3月到7月實施代號為“09亮劍”打擊網絡淫穢xxx專項行動有關情況。

    回復:

    還讓人活嗎?
    在深夜裡輾轉不能入睡
    打開電腦輸入熟悉的網址
    結果顯示您輸入的域名不存在
    換個網站結果還是您輸入的域名不存在
    您輸入的域名不存在…
    您輸入的域名不存在…
    我關掉了IE打開了暴風影音,看着屏幕上《不差錢》里小瀋陽的臉我默默的脫下了褲子…
    淚,滑過眼角…

  5. @asdfg

    首先說明,你的評論是akismet自動標記為spam的;這個blog沒有設置任何關鍵詞過濾。

    言論自由的意義包括:

    I.禁止事先審查。除了尼爾訴明尼蘇達州案確定的極少數特例,任何言論、新聞預檢制度都違反憲法第一修正案。

    II. 區分“支持暴力言論”和“直接煽動或導致暴力”言論。前者只是一種思想表達,並沒有產生直接危害,受憲法第一修正案保護,所以美國3K黨、納粹主義都是合法的。而後者直接、立即產生了危害,是法律禁止的,即使這樣,政府也無權阻止這樣言論發表,而只能在事後給予懲罰。

    III.“憲法第一修正案不是爲了保護與我們一致的言論,而是爲了保護我們所痛恨的言論”—聯邦最高法院霍姆斯大法官

    就你舉的例子,你可以宣揚分屍、投毒言論,只要這些言論不是針對具體某個人,它們就是合法的。但是如果你直接教唆、促使某個人分屍、投毒,則要在事後承擔法律責任。另外,如果你未經我允許“衝到我家”,則違反了憲法第四修正案,入侵了我和我家人的私人空間。法律規定這種情況下我有權採取一切措施自衛,包括開槍。

    “你允許你的孩子看黃片?”
    你完全混淆了主題。自由的意義是政府和公權力無權干涉民眾包括“看黃片”在內的所有私人領域。未成年人行爲能力受限制,這是法理學問題,不是憲法和自然法權利問題。無論我是否允許我的孩子看黃片,我並沒有干涉其它人、家庭和家長的做法,並沒有強迫替它們做決定,而某些流氓政府卻在這麽做。

    你的問題顯示出你的價值觀是和我不一致的。當然,你有自由表達的權利。

  6. 兩邊各有一個觀點我是同意的

    乙方:美國作為流氓國家的代表,每時每刻都在威脅整個互聯網核心安全機制
    甲方:“你允許你的孩子看黃片?”
    你完全混淆了主題。自由的意義是政府和公權力無權干涉民眾包括“看黃片”在內的所有私人領域。未成年人行爲能力受限制,這是法理學問題,不是憲法和自然法權利問題。無論我是否允許我的孩子看黃片,我並沒有干涉其它人、家庭和家長的做法,並沒有強迫替它們做決定,而某些流氓政府卻在這麽做。

  7. 兩邊各有一個觀點我是同意的

    乙方:美國作為流氓國家的代表,每時每刻都在威脅整個互聯網核心安全機制
    甲方:“你允許你的孩子看H片?”
    你完全混淆了主題。自由的意義是政府和公權力無權干涉民眾包括“看黃片”在內的所有私人領域。未成年人行爲能力受限制,這是法理學問題,不是憲法和自然法權利問題。無論我是否允許我的孩子看黃片,我並沒有干涉其它人、家庭和家長的做法,並沒有強迫替它們做決定,而某些流氓政府卻在這麽做。

  8. 兩邊各有一個觀點我是同意的

    乙方:A國作為流氓國家的代表,每時每刻都在威脅整個互聯網核心安全機制
    甲方:“你允許你的孩子看H片?”
    你完全混淆了主題。自由的意義是政府和公權力無權干涉民眾包括“看H片”在內的所有私人領域。未成年人行爲能力受限制,這是法理學問題,不是憲法和自然法權利問題。無論我是否允許我的孩子看黃片,我並沒有干涉其它人、家庭和家長的做法,並沒有強迫替它們做決定,而某些流氓政府卻在這麽做。

  9. 關掉的黃色淫穢網站不多,關掉的所謂“證照不全”的無辜站點卻有成千上萬。
    以掃黃為名,行圈地圈錢控制言論之實,是慣用的手法。
    憑什麼只有1000萬註冊資金的國有企業才允許開視頻站,憑什麼開一個論壇就要100萬註冊資金?這一箭雙鵰的計謀正在幫助“國家隊”在互聯網上攻城略地,打的則是保護未成年人凈化網絡的幌子。

Comments are closed.