Az NSA-nek vélhetően van olyan PKI rendszere, amit olyan cég hitelesített, mint pl. a VerySign. Azaz, ha van saját közbülső CA-juk, avval bármilyen CN-nel rendelkező requestet aláírhatnak, és azt felhasználhatják.
Mivel a lánc tetején egy megbízható tanúsítvány van mindegyik esetben, a kliensek egyike sem fog hibát jelezni, így könnyen játszhatnak MITM-t.
Ilyen PKI rendszerből van több is, Te is vehetsz akár a NetLocktól is hozzá olyan CA-t, amivel ezt megteheted, miután auditálták a PKI rendszeredet, és megfelelő biztonságúnak találták.
Az már más kérdés, hogy amikor a CA-t megkapod, egyben kötelezettséget is vállalsz arra, hogy csak a saját tartományodban hitelesítesz vele - ezt azonban nem bonyolult kijátszani.
--
PtY - www.onlinedemo.hu