Buongiorno, grazie della segnalazione
"J.C. DE MARTIN" <[email protected]> writes: > *Mysterious company with government ties plays key internet role* > > /TrustCor Systems vouches for the legitimacy of websites. But its > physical address is a UPS Store in Toronto.// > / > By Joseph Menn > > Nov 8 2022 > > An offshore company that is trusted by the major web browsers and other > tech companies to vouch for the legitimacy of websites has connections > to contractors for U.S. intelligence agencies and law enforcement, > according to security researchers, documents and interviews. > > Google’s Chrome, Apple’s Safari, nonprofit Firefox and others allow the > company, TrustCor Systems, to act as what’s known as a root certificate > authority, a powerful spot in the internet’s infrastructure that > guarantees websites are not fake, guiding users to them seamlessly. Ma dai! Non è solo quello, per la miseria! I certificati X.509 emessi dalle Certification Autority che sono incluse nella PKI (un'entità /eterea/, direi /vaporware/) sono elemento essenziale per consentire a tutti di sostenere che via HTTPS "la connsessione è sicura e le informazioni (ad esempio password o numero di carta di credito) restano private quando trasmesse" Non solo! X.509 è alla base del funzionamento di TLS/SSL - cioè l'incapsulamento in un protocollo crittografato di molte altre trasmissioni su Internet: email (IMAP/POP e SMTP), XMPP, ecc. [1] - e la PKI è usata per verificare la validità dei certificati [2]. É troppo noioso riuscire a "riassumere giornalisticamente" il concetto, anche per il Post? Ci sarebbero poi anche le "firme digitali" (S/MIME, eIDAS) ma la questione si fa ancora più complessa (complicata?!?) e non riassumibile giornalisticamente :-) > The company’s Panamanian registration records show that it has the > identical slate of officers, agents and partners as a spyware maker > identified this year as an affiliate of Arizona-based Packet Forensics, > which public contracting records and company documents show has sold > communication interception services to U.S. government agencies for more > than a decade. É "solo" uno dei casi già noti di (in questo caso /sospetta/) compromissione della CA: https://en.wikipedia.org/wiki/Certificate_authority#CA_compromise Dopotutto cosa c'è di strano?!? --8<---------------cut here---------------start------------->8--- Like all businesses, CAs are subject to the legal jurisdictions they operate within, and may be legally compelled to compromise the interests of their customers and their users. Intelligence agencies have also made use of false certificates issued through extralegal compromise of CAs, such as DigiNotar, to carry out man-in-the-middle attacks. Another example is a revocation request of the CA of the Dutch government, because of a Dutch law passed in 2018, giving new powers for the Dutch intelligence and security services --8<---------------cut here---------------end--------------->8--- (https://en.wikipedia.org/wiki/X.509#Problems_with_certification_authorities) "Legally compelled to compromise"... i certificati X.509 delle CA che fanno parte della PKI, spero sia abbastanza chiaro. Vale la pena ricordare anche che «American data spies will never care where the servers are» [3] --8<---------------cut here---------------start------------->8--- American companies will never be able to resist the demands of American intelligence services. It doesn't matter if their servers are located in Virginia or Paris or on the damn moon. --8<---------------cut here---------------end--------------->8--- I certificati X.509 sono... dati? :-D Vale solo per l'intelligence USA? Il furto di identità ("digitale", "su Internet") finalizzato alla raccolta di dati (signals) è legale in caso sia necessario per ragioni di sicurezza nazionale? Le agenzie di intelligence sono autorizzate a compiere simili operazioni anche se illegali? > continua qui: > <https://www.washingtonpost.com/technology/2022/11/08/trustcor-internet-addresses-government-connections/> > Saluti, 380° [1] https://en.wikipedia.org/wiki/X.509#Major_protocols_and_standards_using_X.509_certificates [2] la PKI è distribuita dai vendor dei sistemi operativi e installata/aggiornata su tutti i computer e gli smartphone come parte dell'installazione o aggiornamento di sistema [3] https://world.hey.com/dhh/american-data-spies-will-never-care-where-the-servers-are-371d4016 -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
signature.asc
Description: PGP signature
_______________________________________________ nexa mailing list [email protected] https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
