Nếu chúng ta xem xét Man In the Middle Attack; Cuộc tấn công có thể xảy ra nếu các khóa đối xứng được sử dụng không?Người đàn ông bị tấn công ở giữa - Có thể một cuộc tấn công xảy ra nếu các khóa đối xứng được sử dụng không?
Trả lời
Chắc chắn. Tất cả những gì bạn cần làm là ngăn chặn trao đổi khóa. Sau đó, bạn có thể truyền chìa khóa (giả) của riêng bạn đến đầu kia. Bạn chặn các tin nhắn bằng cách sử dụng khóa mà bạn nhận được gian lận và mã hóa lại bằng khóa giả của bạn và chuyển sang đầu kia.
Bí quyết là đồng ý về khóa đối xứng ngay từ đầu. Các cuộc tấn công trung gian thường xảy ra trong giai đoạn trao đổi chính (làm cho bạn đồng ý với khóa trung gian thay vì đối tác thực sự của bạn).
Vì vậy, điều thường xảy ra (trong phiên SSL của trình duyệt web) là bạn sử dụng mật mã không đối xứng để trao đổi khóa đối xứng. Tuy nhiên, điều đó phụ thuộc vào khóa công khai của đối tác của bạn thực sự thuộc về những người bạn nghĩ nó. Thông thường, bạn lấy từ của Verisign hoặc (một số từ khác của CA) cho điều đó.
Tại một thời điểm nào đó, trao đổi khóa an toàn và được xác thực phải diễn ra.
Vì tấn công MIM có thể xảy ra trong khi thay đổi khóa, bạn có thể làm những gì SSL/TLS thực hiện.
SSL/TLS sử dụng RSA trong trao đổi khóa, để trao đổi khóa đối xứng được bảo vệ nghiêm ngặt với RSA.
Câu trả lời ở trên chính xác tất nhiên, nhưng bạn nên lưu ý rằng có một số phương pháp mã hóa hiệu quả an toàn cho securelyexchangingkeys. Tôi nghĩ rằng một trong những wow sử dụng là SRP6.
Diff-Hellman cho phép bạn tạo khóa chia sẻ an toàn qua mạng không tin cậy, nhưng bạn vẫn không biết bạn đang nói chuyện với ai ... – Thilo
@Thilo: Đối với tôi câu hỏi ngụ ý các bên biết nhau hoặc ít nhất có thỏa thuận để trao đổi thông tin một cách an toàn. Câu trả lời của bạn cho biết thỏa thuận trước về chìa khóa giữa hai bên giao tiếp. Điều đó là không cần thiết. –
@JP: Làm thế nào để bạn biết rằng bạn đang làm SRP6 với máy chủ wow, thay vì người đàn ông-trong-the-giữa? – Thilo
Yup. Ngay cả khi bạn sử dụng khóa đối xứng, bạn phải sử dụng kiểm tra xác thực/tính toàn vẹn. Sử dụng mã hóa khóa đối xứng mà không kiểm tra tính xác thực/tính toàn vẹn làm cho bạn dễ bị các dạng tấn công phát lại hoặc các cuộc tấn công thay thế khác nhau. Kẻ tấn công có thể sửa đổi mật mã của bạn và thậm chí có thể biết tác dụng của những thay đổi của anh ta là gì.
- 1. Người đàn ông trong cuộc tấn công giữa với scapy
- 2. Làm thế nào để người đàn ông trong cuộc tấn công giữa làm việc trong Diffie – Hellman?
- 3. SSL: Chứng chỉ được bảo vệ chống lại con người trong các cuộc tấn công ở giữa như thế nào?
- 4. Các cuộc tấn công SQL injection có thể xảy ra trong JPA không?
- 5. Ngăn chặn các cuộc tấn công XSS
- 6. Ngăn chặn các cuộc tấn công MITM trên máy chủ
- 7. Giá trị phiên có thể bị tấn công không?
- 8. Điều gì sẽ xảy ra nếu một cuộc tấn công DDOS truy cập vào Windows Azure Web Sites?
- 9. Giải mã cuộc tấn công XSS này
- 10. Lỗi ScriptResource: tôi có bị tấn công không?
- 11. Ngăn chặn các cuộc tấn công Javascript và XSS
- 12. Tự bảo vệ mình trước các cuộc tấn công Dos
- 13. Sự khác nhau giữa cuộc tấn công đa va chạm và cuộc tấn công trước hình ảnh đầu tiên hoặc thứ hai trên hàm băm là gì?
- 14. Cách minh họa một cuộc tấn công CSRF
- 15. AntiForgeryToken trong ASP.NET MVC có ngăn chặn được tất cả các cuộc tấn công CSRF không?
- 16. Bạn có thể cho tôi một ví dụ về cuộc tấn công cố định phiên không?
- 17. Tấn công tràn bộ đệm
- 18. tấn công chuỗi phương pháp
- 19. Các cuộc tấn công CSRF có áp dụng cho API không?
- 20. Bạn có thể thêm chức năng vào một Array bị tấn công không?
- 21. Trợ giúp Deobfuscate Cuộc tấn công JS này
- 22. Báo cáo chuẩn bị sẵn sàng ngăn chặn các cuộc tấn công tiêm sql?
- 23. ngăn chặn cuộc tấn công XSS qua url (PHP)
- 24. HTTPS có bảo vệ chống lại các cuộc tấn công CSRF không?
- 25. Ngăn chặn các cuộc tấn công từ điển trên ứng dụng web
- 26. Tấn công chuỗi định dạng
- 27. Bị tấn công, đoạn mã này làm gì?
- 28. Sự khác biệt giữa - tràn bộ đệm và trở về cuộc tấn công libc
- 29. Giảm thiểu các cuộc tấn công 'firesheep' trong lớp ứng dụng?
- 30. Cookie bảo mật https có ngăn chặn các cuộc tấn công XSS không?
Nhưng điều đó tất nhiên phụ thuộc vào tính hợp lệ hoặc khóa RSA, đặc biệt là khóa công khai của đối tác của bạn thực sự thuộc về người mà bạn nghĩ. Tại một số điểm bạn phải tin tưởng vào một trao đổi khóa trước. – Thilo