arrakistor#34
fake certificate-t csak akkor adhat egy TOR-exit, ha tudja hogy melyik root certificate-t akarnák használni, teszemaszt én felléppek a https://pofa.be lapra, aminek SAJÁT certificate-je van(saját asszimetrikus kulcspárja) akkor oda hiába jön akármilyen TOR-exit nem fog tudni fake ceritificate-t adni... ráadásul ez túlontúl mazó és amint említettem SENKIT nem tudnak célzottan megfigyelni így értelmét veszti 25ezer féle cerificate-et tárolni egy TOR-exit-en és arra várni mikor fog egy olyan kérvény beesni a megfelelő certificate kulcspárját várva!
Ráadásul nem elég a kulcsot hamisítani hanem akkor már az egész lapot hamisítani kell (pl: mail.yahoo.com-t , és igaz, ha egy TOR-exit yahoo-s jelszavakra vadászik akkor ilyen fake certificate trükkel tud szerezni yahoo-s jelszót, de pofa.be vagy saját ceritificate-tel rendelkező oldalét NEM tudja hamisítani , valamint ugyanúgy nem tud SENKI-t sem célzottan megfigyelni, és nem fogja tudni hogy melyik kommunikáció kihez, milyen IP címhez tartozik magyarán benyalhat bordacsontig ! aki TOR-t ilyenre használja, az előbb utána néz és tkp. pl.: nem fog yahoo-s meg gmail-es oldalakra -sűrűn- TOR-on keresztül (pontosan az általad emlitett okok miatt ) fellépni, viszont noname , saját cerificate-tel ellátott oldalakra (mint pl.: pofa.be) igen.