TRUE 2019-02

대한민국정부에서는 어렵겠지만 NSA에서는 가능하지 않을까요?

dragoune 2019-02

그럼 영문윈도우 깔아서 언어셋을 한국어로 변경해서 사용하면 되겠네요...;
저런거 안해봐도 어차피 목적지 IP 나오니까 어느 사이트 이용하는지는 알 수 있을 것 같습니다만....

김상혁2 2019-02

불가능한건 아닐거에요
예를들어, Fiddler같은 프록시방식의 디버깅툴에서 볼 수 있듯이 Root CA를 프록시 클라이언트에 설치하고 Fiddler 툴로 https패킷을 재패킹하여 전송하기때문에 중간에서 스니핑&디버깅이 가능합니다.
정부가 나서서 스니핑을 하겠다하면, 모든 통신사의 https 프로토콜의 hand shake과정(물론 통신사의 협조하에..) 에서 인증서를 교체하고 패킷을 Relay 해주는식으로 감청을 한다면 완전히 불가능한건 아닌것으로 보입니다..

조용원 2019-02

+1

김제연 2019-02

이건 저도 fiddler 를 써봐서 알고 있는데 ..
컴퓨터에 깔아서 자기꺼니까 가능한줄 알았는데 ..
중간 단계에서 .. 저걸 셋팅해놓으면 빼는게 가능한가요?
그렇다면 http도 뚫을 필요 없이 중간 단계에 저런 기능 하는것만 있으면
안에 내용 보는건 일도 아니겠네요..

김상혁2 2019-02

http는 암호화 전송이 아니니, 중간에 패킷감청만 가능하다면 평문으로된 데이터를 바로 수집이 가능하겠죠..
브라우저에서 간혹 https사이트중에 암호화되지않았다는 경고창을 보시면 https에 사용된 인증서가 최상위 인증기관 (Global Sign CA, VerSignCA, Comodo CA)에서 인증받지 않은 로컬에서 Sign한 자체 인증서(Fiddler같은경우)를 사용한 경우이거나 인증서가 만료되었거나 입니다.
Fiddler에서 사용한 인증서는 테스트인증서(최상위 인증기관에서 발급받지않은 로컬에서 인증) 이므로 사용자가 직접 클라이언트에 설치하여 신뢰할 수 있는 루트인증서로 사용하게 되는것이지요..
https호스팅에서는 Root CA와 체인 인증서들이 존재하는데, 웹서버 호스트에서 https프로토콜을 암호화하는 인증서는 Root CA를 통해 발급된 체인 인증서입니다.
말그대로, Root CA에서 파생되어진 인증서들로 https서버 암호화에 쓰여집니다.
https프로토콜은 CONNECT라는 명령으로 서버에 설치되어있는 인증서로 Handshake하는 과정에서 클라이언트 컴퓨터에 설치된 루트인증서에 종속 (인증된 인증서가 맞는지 확인하는)되어있는 신뢰할 수 있는 인증서인지를 먼저 판단 후 통신하게됩니다.
단순히 Root CA만 있다고해서 감청이 되는것은 아니고 클라이언트와 통신할 인증서의 개인키또한 보유하고있어야 가능한 일일테구요,
이 과정에서 실제 최상위 기관에서 발급되어진 인증서를 가지고 통신사 또는 국가기관에서 패킷Relay를 한다면 불가능한 일은 아니겠지요..
다만, 이러한 과정을 해커집단이나 개인이 쉽게 할 수있는 부분은 아니니, 국가기관처럼 영향력있는 집단에서 수행한다면 그저 없는일이라고만 할 수는 없는 것으로 보입니다.

송주환 2019-02

중국이 이미 인증서 위조, 유출된 인증서로 MITM 공격하다 걸린 전적이 있죠.
중국몽 함께하시겠다던 분이 떠오릅니다.

Villanus 2019-02

전례가 있습니다. 터키였나 시리아였나 리비아였나요. 정부CA로 유명사이트의 가짜인증서를 만들어 https트래픽을 감청한적이 있습니다.
이것때문에 크롬같은경우 certificate pinning기법이 도입되어서 구글도메인의경우 특정CA가 발급한 인증서가 아니면 경고창을 띄워주죠.
IE에서도 EMET의 지원이 공식적으로 지원이 끝났지만 마찬가지방법으로 pinning을 지원하니 본문내용이 걱정되시면 EMET를 설정해주시면 됍니다.
개인적이지만 저는 가장중요한 시스템에서는 KISA루트인증서를 비신뢰리스트에 넣어놨습니다.
(KISA를 못믿어서가 아니라 하위기관의 인증서 관리정책을 믿을수가 없어서 넣은것입니다.)

페선생 2019-02

세상에 안 뚧히는건 없습니다.. 그건 나만 못뚧는 자는 안 뚧힌다고 믿을 뿐..