HTTPSはNSAによるフィンガープリントからユーザーを保護しますか?
私たちはそれを確立しました 、すべての目的と目的のために、HTTPSは特定のサーバーでアクセスするページをNSAバックボーンの盗聴から隠しますが、ドメイン自体は隠しません。しかし、それは(複数のドメイン間での)IPとドメインの相関のみであり、それ以上のものはありません。
私の知る限り、それはフィンガープリントではありません。
私はTorブラウザを使用し、JavaScriptやサードパーティのCookieなどをオフにして、 RequestPolicy や Self-Destructing Cookies などのアドオンをインストールし、完全に使用しています。
これにより、(高度な、またはそれほど高度ではない)フィンガープリントのリスクが潜在的に大幅に増加することを理解しています。
しかし、フィンガープリントが、接続を受け入れるすべてのサーバーが見る情報のみである場合(サーバーまたはサードパーティのサーバーから受け入れるリソース、Cookieの相互作用、画像とスクリプトを取得するかどうかなど)、次にこれらすべての詳細はHTTPSセッション内で暗号化されます。つまり、NSAは実際にインターネット上で実行するHTTPSの閲覧をフィンガープリントできません-assumingこれらのドメインの証明書は妥協したり、何らかの形でクラックしたりしましたか?
おそらく、識別可能な指紋情報は、暗号化された情報の外や、全体像の他の部分に存在する可能性があり、存在しますか? (攻撃が非常に進んでいる場合でも、タイミング攻撃を考えていますか?)
私がjustを考えた唯一のことは、IPがアクセスするさまざまなHTTPSドメインでサードパーティのリソース、つまりクロスサイトリクエストを許可しない(または非常に限定的で限定的な) RequestPolicy )。 NSAは、すべてのさまざまなHTTPSトラフィックメタデータを収集および分析する際に、共通のサードパーティのドメインサイトに接続していない(特に同時にない場合)ことを知っていれば、それらのサイトに接続していない可能性があります。それをストリームに入れるのは普通のことですが、それだけであなたを一意にフィンガープリントしますか?
答えが「はい」の場合、この質問の答えは次のようになります HTTPS 大幅に減少 NSAがあなたをフィンガープリントできる方法の量(しかし、他の多くの方法で失敗する可能性があります)?
別の質問であるtorではなく、httpsについて質問したので、httpsの部分を取り上げます。
平文でhttpsセッションをセットアップするために送信される多くの情報があります。おそらく最も明らかに役立つのは、クライアントがサポートする暗号スイート、暗号設定、およびクライアントがサポートするSSLバージョンを送信することです。暗号スイートのサポートは、主要なブラウザー間で大きく異なり、同じブラウザーのバージョン間でも異なります。このため、ユーザーが使用しているブラウザー(Chrome、Firefoxなど)を広く特定し、多くの場合、ブラウザーの特定のバージョンに絞り込むことができます。たとえば、Internet Explorerにはいくつかのバージョンしかないため、使用されているバージョンを特定するのは簡単です。
IPアドレスは長い間留まる傾向があります。たとえば、同じIPアドレスを使用する3人のユーザー(アリス、ボブ、およびチャーリー)がいるとします。 AliceはInternet Explorerを使用し、BobはFirefoxを使用し、CharlieはChromeを使用しています。IPアドレスを特定していれば、どのユーザーが安全なWebサイトにアクセスしているかを区別するのは比較的簡単です。
さらに、クライアントは日付と時刻の情報も送信します。これは、クライアントのフィンガープリント作成にも非常に役立ちます。
全体として、少なくとも一部のフィンガープリントは、パッシブリスニングのみでSSLを介して実行できる可能性が非常に高いと思います。