3Gを介して送信されるデータは安全ですか？

22

iPhoneから3G経由でデータが転送されるとき、暗号化されますか、それともハッカーがAT＆Tのセルタワーに転送されたデータを読むのは比較的簡単ですか？タワーに到着した後はどうですか？

iphone security

— 賢い
ソース

16

3Gは安全でも安全でない場合もありますが、実際には特定の実装に依存します。3G iPad / iPhoneをテザリングまたは使用しているときにデータが心配な場合は、この方法で見ると、無料/安全でないWiFiホットスポット/ネットワークを使用するよりも安全です。

本当にあなたの質問に対する答えは3Gはかなり安全であるということですが、それには欠点があります。

3Gは暗号化され、最も一般的な暗号化アルゴリズムが解読され、誰かがワイヤレスで情報を傍受できる適切な機器が使用されます。しかし、彼らはそれをするためのいくらかの知識、いくらかのお金といくらかの動機を必要とするでしょう。それに加えて、暗号化されていないデータ（非https）を送信して解読できるようにするために、デバイスが必要になります。全体として、あなたの情報が傍受される可能性はほとんどありませんが、確かに可能です。ただし、これはどこにでもデータを送信する人にとってリスクであり、3G / WiFiまたは他のモバイルデバイス通信方法に孤立していません。

3GセキュリティでGoogle検索を試してみると、欠陥やセキュリティホール、およびそれらがどのように悪用される可能性があるかに関する多くの情報が見つかります。

ちょうど例として、ここにいくつかのプレゼンテーションがあります：

3Gセキュリティの概要

blackhat.com powerpoint

— コノルグリフィン
ソース

私が尋ねた理由の1つは、多くの場合無料のホットスポットと3Gを使用する選択肢があり、セキュリティを気にする場合はどのホットスポットを使用すべきかを知りたいからです。同じWi-Fiネットワーク上の人々のパスワードを取り出すことができる単純なFirefox拡張機能があるため、最初は3Gの方が明らかに安全だと思いましたが、送信されたすべての3Gの中間に誰かがいないことをどのように知ることができますデータとそれを常に収集していますか？少なくともWi-Fiでは、特定の（小さな）範囲内にあり、そのような情報を収集するソフトウェアを実行している必要があります。

— 意味のある

4

オンラインバンキングのようなことをしたり、クレジットカードで何かを購入したりする場合、可能な限り3Gを使用する傾向があります。しかし、WiFiネットワーク上であっても、機密データを扱うほとんどのWebサイトはSSLやTLSなどの暗号化を使用するため、そのネットワーク上の誰かがデータを盗んだり傍受したりするのが難しくなります。ほとんどの場合、3Gよりも無料のWiFiで危険にさらされる可能性が高いと思います。

— conorgriffin

6

httpsを介して操作している場合、通信している接続の種類を問わない。すべてのデータは、ブラウザからサーバープログラムに暗号化されます。これを止める唯一の方法は、盗聴者があなたと最終目的地との間のコミュニケーションを仲介することです。これを解決するために、ID証明書が作成されました。これにより、メディエーターを介さずに最終目的地と話していることが証明されます。したがって、ID証明書が一致する限り、安全です。ID証明書が一致しない場合、ブラウザーはセキュリティ警告を表示し、証明書が一致しないことを通知します。通常、操作を行う場合に備えて、通信を続行するオプションを残しますセキュリティは気にしません。

— ベルナルド京都
ソース

情報をありがとう。HTTPSは定義にかかわらず、接続に関係なく安全である必要があるため、非HTTPSデータが3Gを超えて安全であることにもっと興味があります。

— センスのある

うん、そう思った。一部の読者にとっては興味深いかもしれません。しかし、無料の「ホットスポットと3G」の点では、少なくとも私にとっては、エンドツーエンドの暗号化が存在しないとは信じられません。コンピューターとホットスポットまたはセルタワーとの間のセキュリティは、その後データが暗号化されていない場合は十分ではありません。

— ベルナルドKyotoku

3

少なくともではありません。HTTPSでさえも、非政府機関またはISPレベルのアクターからのみ安全です。EFF.orgで詳細を確認してください。しかし、私はあなたに警告します。

編集：過去は訪れるのが非常に難しい国です：

SSLに関するブルース・シュナイアーの分析：

http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html

Mozillaの議論：

https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/OBrPLsoMAR8

EFFからの問題を詳述した8月の公開書簡：

https://www.eff.org/deeplinks/2010/08/open-letter-verizon

彼らがそれを解読するということではありません。暗号化は、量子キーまたはロックまですべて平等な立場にあります。しかし、コーディングしない人は愚かではありません。SSLを使用すると、サーバーのセキュリティを保証できますが、証明書自体は信頼の連鎖から取得されます。

「私はその政府公認を得た！国土安全保障！メアリーアンの新しいボーイフレンド... F ** kあなた！」、または同様のことはある時点で言われたに違いありません。

ウィキリークスの後、アマゾンはセダンのグループを引き上げる唯一の場所ではありませんでした。実際のところ、FBIはバックドアを求めて叫んでいます。むしろ、バックドアを正当化するために持っています。政府や産業関係者は「俳優」ではなく「人」なので、それを疑うのはFUDではありません。

FUDの例は、数学の複雑さを強調し、それを使用して間違った答えを証明し、人間への強制的な信頼を無視して、過去に機能していたシステムへの信頼を回復しようとすることです悪用されます。

理にかなっていますか？

— チッジー
ソース

1

-1これはFUDであり、まったく間違っています。

— リケット

1

（この回答とは異なり）もう少し詳しく説明すると、HTTPSはHTTP over SSLです。90年代初期から少なくとも128ビットのキーを使用します（Gmailは128ビットのSSL証明書を使用します）。つまり、キーの長さは128ビットです。言い換えれば、2 ^ 128の可能なキーがあります（3,400億億億、または39桁の数字）。この暗号化を破る唯一の方法は、キーのブルートフォースによることであることが証明されています。世界のどのシステムも、合理的な時間内に多くの組み合わせをブルートフォースできません。政府のハードウェアでも文字通り永遠にかかるでしょう。EFF.orgはこれとは何の関係もありません。

— リケット

1

また、SSLの利点の1つは、ハッカーが接続の開始前から終了後まで、コンピューターが以前に接続したことのないサイトに接続したときに、ハッカーがトラフィックストリーム全体を記録できることです。元のデータ、暗号化されたデータ以外のデータは表示されません。数学は、進行中のすべてを聞いても利点が得られないようなものです。したがって、これはISPがHTTPSトラフィックをスニッフィングすることを完全に排除します。また、政府でさえ、州全体をコンピューターで満たしても、鍵を破る権限はありません。

— リケット

答えを編集して、仮定のエラーを強調しました。SSLを構成するのは暗号化キーだけではありません。破壊された。アイデアを歓迎します。

— チグジー

「ルートCAも信用していません。Gmailにサインインしたいときは、カリフォルニア州マウンテンビューに行き、パスワードを紙に渡します。SergeiBrinはデータセンターにサインインして、ラックの端にあるコンソールを使ってメールを読みます。https://localhostもちろん接続します。」 rolleyes

2

同じコーヒーショップに座っている誰かからの中間者攻撃またはスヌーピングは、3Gを介してはるかに少ない可能性があります。そのための機器はあまり一般的ではなく、必要な専門知識は高くなります。

3G暗号化はそのグレードではないため、政府のintelligence報機関やその他の大規模な高度な運用からも安全であるとは保証されていません。ただし、HTTPSとSSHは、いずれかを介した平均的なスヌープからユーザーを保護する必要があります。

— hotpaw2
ソース

0

中間者攻撃は、sslstripを使用して実行することもできます。sslstripは、httpsからsslを簡単に除去し、http接続にし、すべてのデータをインターセプトし、偽の証明書を使用してsslを再度有効にしてから宛先に送信します。簡単な言葉でそれがアイデアです。

ユーザーは、自分に何が起こったのかさえわかりません。私が間違っていなければ、2009年にBlackhatで紹介されました。Moxie Marlinspikeが2009年にこれを実現できたとしたら、最近他のプロハッカーができることを想像してください。彼はこれを良い目的で明らかにした数少ない人物の一人でした。彼らの多くは、自由に使える脆弱性を公開しません。

あなたを怖がらせたくないが、SSLが安全だと思うなら、もう一度考えてみてください。ユーザーのセキュリティを維持するのは、ブラウザ次第です。あなたの信仰は本当に彼らの手にあります。多くの脆弱性は、それについて何かをする前の心血のように、長年にわたって存在します。

— IT_Master
ソース

1

悪魔に陥っていない場合は、Moxieが使用した攻撃を指摘する必要があります。これは、過去5年間に公開されるSSLの脆弱な脆弱性が存在するとは信じられないからです。

— ジェイソンサラズ14年