стань автором. присоединяйся к сообществу!
Добавить новость можно всем, без премодерации, только регистрация
Лого Сделано у нас
Великоросс 16 июня 2016, 08:23 3 Информационные технологии

Российский квантовый центр запустил первую в России линию квантовой связи в городских условиях

Ученые и инженеры Российского квантового центра первыми в стране запустили в опытную эксплуатацию полноценную линию квантовой защищенной связи — первая передача криптографической информации по 30-километровой коммерческой линии связи, соединившей два здания Газпромбанка в Москве, состоялась 31 мая 2016 г. Инвестиции в проект составили 450 млн. руб.

читать полностью
Источник: www.cnews.ru
Москва, Российский квантовый центр, РКЦ, связь, квантовая защищенная связь
все комментарии
  • 0
    Нет аватара guest
    17.06.1606:34:05

    Вроде как тот же x.509 существует уже не первый год и эти вопросы давно решены. В том числе и проблема man-in-the-middle, которая решается наличием доверенного authority, удостоверяющего подлинность сертификатов обеих (если это необходимо) сторон.

    #794166
    • 0
      RadiantConfessor RadiantConfessor
      17.06.1617:48:44

      x.509

      Т. е. необходимо перехватить сертификат, что мы уже наблюдали в интернете. Майкрософт рассылала обновление для ОС включающее список отозванных раньше времени сертификатов, так как они были дискредитированы.

      #794403
      • 0
        Нет аватара guest
        17.06.1619:34:47

        Перехват сертификата ничего не даст, сертификат — это как раз открытая часть ключа плюс информация о CA (или цепочке CA), его выдавшем, его и так все всем предъявляют.

        Дискредитировать сертификат можно кучей разных способов, например, отправив по ошибке приватный ключ вместо публичного по открытым каналам, неправильно выставив права доступа на хранилище или, например, если сервер взломают. Но в этом случае и квантовый канал не особо спасёт.

        При штатной же работе таких ситуаций не возникает — стороны шифруют канал открытыми ключами, авторизация происходит либо подписыванием сертификата одной стороны сертификатом другой, либо имеется доверенный CA.

        Отредактировано: igorborisov Борисов~21:35 17.06.16
        #794437
        • 0
          RadiantConfessor RadiantConfessor
          17.06.1621:06:29

          Сертификат это удостоверение. Если у меня будет такое удостоверение то я могу представиться доверенным лицом и инициировать генерацию новой партии закрытого и открытого ключей.

          Система изначально дырявая.

          #794476
          • 1
            Нет аватара guest
            18.06.1606:44:05

            Если у меня будет такое удостоверение то я могу представиться доверенным лицом и инициировать генерацию новой партии закрытого и открытого ключей.

            Не путайте. Есть сессионные ключи, которые генерируются не единожды за сессию и которые можно действительно перегенерировать «на лету», и есть основной закрытый ключ, которым подписывается запрос сертификата, на основании которого доверенный CA выпускает и подписывает сертификат. И который в дальнейшем используется при инициации сессий как часть пары закрытый ключ-сертификат. Изначальное удостоверение подлинности сторон осуществляется именно с помощью вторых.

            Если у вас нет закрытого ключа, соответствующего сертификату, то вы не сможете договориться с сервером о генерации новой пары сессионных ключей.

            Вы можете (мало того, должны, это часть handshake) получить сертификат любого сервера, с которым работаете по SSL/TLS, но это не значит, что вы можете представиться этим сервером. Простая аналогия — вы можете завладеть паспортом человека, но предъявить, не обладая его лицом, вы никому его не сможете предъявить. Не очень точно, но, надеюсь, суть понятна — есть удостоверение (сертификат) и есть какая-то неразрывно связанная с ним особая часть данных (закрытый ключ), которую заполучить сильно сложнее, чем само удостоверение и без которого это удостоверение не имеет ценности.

            Если есть закрытый ключ — да, вы можете представиться тем, чей это сертификат, но закрытые ключи по открытым каналам не должны передаваться никогда, поэтому их перехватить можно только либо из-за ошибки пользователя, либо взломав оборудование, на котором хранится закрытый ключ, что к теме новости не относится.

            И то не всегда, есть, например, криптографиечкие токены, которые не позволяют получать закрытый ключ, даже имея полный доступ к терминалу, примерно как кредитки с чипом работают.

            Отредактировано: igorborisov Борисов~09:52 18.06.16
            #794569
            • 0
              RadiantConfessor RadiantConfessor
              18.06.1606:53:53

              Тогда нужно подделать сертификат доверенного удостоверяющего центра.

              #794571
              • 0
                Нет аватара guest
                18.06.1607:52:51

                Для этого нужно иметь закрытый ключ доверенного удостоверяющего центра, который является для этих удостоверяющих центров наиболее охраняемым объектом. Либо подложить сертификат нужного нам «левого» удостоверяющего центра в хранилище доверенных УЦ на обоих жертвах. Это одна из разновидностей атаки вида man-in-the-middle, но это никаким боком не относится к безопасности сетей как среды передачи. В принципе, атака этого вида теоретически возможна и в квантовой сети.

                Отредактировано: igorborisov Борисов~09:58 18.06.16
                #794584
Для комментирования вам необходимо зарегистрироваться и войти на сайт,