web-dev-qa-db-ja.com

VPNでSSLトラフィックを復号化できますか?

VPNは、Gmail、Dropbox、Skype、Googleトーク、HTTPS対応のWebサイトなどのサービスの使用に起因するSSLトラフィックを復号化できますか? VPNをアクティブ化する前にこれらのサービスやその他のサービスを常にオフにしているので、それが必要かどうかを知りたいのでお願いします。

11
Pieter

VPNは、VPNを介してアクセスされるユーザーとサイト間のSSL/TLSトラフィックを復号化できません。しかし、VPNはSSL/TLSで暗号化されたコンテンツにアクセスできるため、中間者攻撃を仕掛ける立場にあります。ほとんどの中間者攻撃は、サイトの証明書を注意深くチェックすることで検出できますが、時々、最も警戒心のあるユーザーでさえ検出できない新しい攻撃があります。たとえば、認証局Trustwaveは(少なくとも)企業に証明書を発行したことがあり、その企業がその企業を通過するSSL通信に対して検出できない中間者攻撃を実行することを許可していました( http:// www .h-online.com/security/news/item/Trustwave-issued-a-man-in-the-middle-certificate-1429982.html )。

もちろん、VPNを使用しない場合は、ISPからのMITM攻撃の影響を受けます。また、国のネットワークトポロジによっては、政府から攻撃を受けます。したがって、VPNプロバイダーまたはISP /政府のどちらがより心配であるかを決定する必要があります。

非常に機密性の高いデータがある場合、心配することは、暗号化された形式であっても、インターネット(またはインターネットに接続された任意のマシン)に配置しないことです。

7

VPNは、「一般的」なインターネットほど敵対的ではありません。 VPNは「プライベートネットワーク」です。大規模なインターネットに対して保護されています。しかし、VPN自体が邪悪なエンティティである場合は、元の場所に戻ります。 VPNが破損すると、構造上、すべてのパケットがVPNを通過するため、攻撃者にとってタスクが少し簡単になりますが、定性的な方法で状況が変わることはありません。

SSLは、悪意のあるインターネットに抵抗するように設計されています。これはまだ適切なインスタンス化に依存しています。接続が未検証のサーバー証明書を使用することを許可すると、セキュリティが低下するため、ブラウザの警告に注意する必要があります。

もちろん、特定のVPNにローカルソフトウェアのインストールが含まれていて、このソフトウェアがあなたに対して悪意があると思われる理由がある場合、すべての賭けは無効です。実際には、このソフトウェアは、制御する追加のルートCAをインストールしている可能性があります。これにより、共犯者は man-in-the-middle攻撃 をマウントできますブラウザーの警告をトリガーします。これを行うエンタープライズ製品がいくつかあります(従業員は、SSLを使用すると、職場のシステム管理者が使用するフィルターを回避できることを長い間知っています。システム管理者は現在、最新の状態になっています)。結論:SSLは、コンピューターとターゲットサーバー間のデータの転送を保護します。コンピュータの整合性については何もしません。

9
Thomas Pornin

はい、それは sslstrip または sslsniff のような攻撃を使用している場合は可能です。これらは基本的に中間者を実行し、偽の証明書を提供するか、HTTPSトラフィックをHTTPにリダイレクトします。攻撃者がCAの証明書を侵害しない限り、ユーザー側では透過的ではないため、証明書が無効な場合は警告が表示されます。

2
Polynomial