web-dev-qa-db-ja.com

エンタープライズ管理デバイスを使用するユーザーとして、TLS検査を検出して主にバイパスするにはどうすればよいですか?

アリスがチャックの会社の従業員だとしましょう。

アリスはインターネットのどこかにあるサーバーであるボブと通信するのが好きです。セキュリティ指向の企業であるチャックは、トラフィックを復号化することにより、デバイスからのすべてのTLS接続を検査します。

アリスがチャックの管理下にあるデバイスとボブへの安全な接続を確立する方法はありますか?

アリスがTLSインスペクションに気付く方法はありますか?

証明書は信頼できるので、チャックは理論的にはVeriSign証明書を偽装することもできますよね?

Chuckがデバイスにエンドポイントソフトウェアやキーロガーなどを提供しておらず、Aliceが提供された証明書を削除できないとします。また、多くの企業と同様に、443と80を除くポートが通信のために閉鎖されていると仮定します。

encryptiontlstls-intercept
1
dmuensterer
  • Chuck会社がユーザーに管理対象デバイスを提供する場合、信頼できる証明書を偽装する可能性があります。しかし、実際にはVerisign証明書を複製することはできません。管理対象デバイスを使用してエンドユーザーを偽造するだけです。エンドユーザーは承認されたCAからの証明書を検証できなかったためです。
  • Chuck会社はTLS接続への検査をAliceから隠すことができます。TLSは常にChuck会社によって復号化されます。
  • BobAlicePGPのような暗号化通信を使用することをお勧めします。安全に公開鍵を変更する方法を見つける必要があるだけです。 Twitterのようなソーシャルメディアプラットフォームかもしれません。少なくとも1人は、他の公開鍵が偽装されていないことを知っている必要があります。これは、AliceまたはBobによって制御されていると想定されています。

    Pretty Good Privacy (PGP)は、データ通信に暗号化プライバシーと認証を提供する暗号化プログラムです。 PGPは、テキスト、電子メール、ファイル、ディレクトリ、およびディスク全体のパーティションの署名、暗号化、および復号化に使用され、電子メール通信のセキュリティを強化します。 Phil Zimmermannは1991年にPGPを開発しました。

1
myalcin81