6
Se consideriamo Man In the Middle Attack; Questo attacco può verificarsi se si utilizzano chiavi simmetriche?Man in Middle attack: può verificarsi un simile attacco se si utilizzano chiavi simmetriche?
A
risposta
11
Sicuro. Tutto ciò che devi fare è intercettare lo scambio di chiavi. Quindi puoi passare la tua chiave (falsa) all'altra estremità. Intercettate i messaggi usando la chiave che avete ottenuto fraudolentemente e ricodificate con la vostra chiave falsa e passate all'altro capo.
5
Il trucco consiste nel concordare la chiave simmetrica in primo luogo. Gli attacchi man-in-the-middle di solito si verificano durante la fase di scambio delle chiavi (facendoti concordare con la chiave con l'intermediario invece del tuo vero partner).
Quindi ciò che accade di solito (nelle sessioni SSL dei browser Web) è che si utilizza la crittografia asimmetrica per scambiare la chiave simmetrica. Tuttavia, ciò dipende dalla chiave pubblica del tuo partner che appartiene davvero a chi tu pensi che faccia. Di solito, prendi la parola di Verisign o (qualche altro CA) per quello.
A un certo punto, uno scambio di chiavi sicuro e autenticato deve aver avuto luogo.
0
Poiché l'attacco MIM può verificarsi durante l'esportazione delle chiavi, è possibile eseguire ciò che fa SSL/TLS.
SSL/TLS utilizza RSA nello scambio di chiavi, in modo che lo scambio della chiave simmetrica sia [pesantemente] protetto con RSA.
0
Ovviamente le risposte sono corrette, ma è necessario notare che esistono diversi metodi efficienti e crittograficamente sicuri per securelyexchangingkeys. Penso che quello che wow usa sia SRP6.
+0
Diff-Hellman ti consente di creare in modo sicuro una chiave condivisa su una rete non sicura, ma non sai ancora chi stai parlando ... – Thilo
+0
@Thilo: Per me la domanda implica che le parti si conoscano o almeno abbiano un accordo per lo scambio sicuro di informazioni. La tua risposta indica un accordo preliminare su una chiave tra le due parti che comunicano. Questo non è necessario. –
+0
@JP: come fai a sapere che stai facendo SRP6 con il server wow, invece del man-in-the-middle? – Thilo
0
Sì. Anche se si utilizza la chiave simmetrica, è necessario utilizzare i controlli di autenticazione/integrità. L'utilizzo della crittografia a chiave simmetrica senza controlli di autenticazione/integrità ti rende suscettibile a varie forme di attacchi di riproduzione o di sostituzione. Un utente malintenzionato può modificare i tuoi testi cifrati e può anche sapere qual è l'effetto dei suoi cambiamenti.
Problemi correlati
- 1. È possibile prevenire attacchi man-in-the-middle quando si utilizzano certificati autofirmati?
- 2. Come creare la strumentazione Man in the Middle
- 3. Come prevenire l'attacco man-in-middle HTTPS dal lato server?
- 4. Proxy Man in the Middle (MITM) con supporto HTTPS
- 5. L'inversione di priorità può verificarsi in Android
- 6. Come attacco un nemico in Screeps
- 7. Possibile attacco link simbolico
- 8. Come evitare un avviso di conversione non controllato in Java, se si utilizzano librerie legacy?
- 9. Si tratta di un esempio di un attacco SQL Injection?
- 10. Quali eccezioni possono verificarsi quando si salva un XDocument?
- 11. Attacco rapido in knockout
- 12. Se volessi creare un gioco di Pac-Man?
- 13. Come prevenire XXE attack (XmlDocument in .net)
- 14. Differenza tra - buffer overflow e return in libc attack
- 15. Generazione di matrici simmetriche in Numpy
- 16. CSS Vertical align middle
- 17. Formato stringa Attack
- 18. PHP Injection Attack - come ripulire il casino?
- 19. È un attacco XSS valido
- 20. PHP Ottenere elemento con 5 alto verificarsi in un array
- 21. Tasto di scelta rapida se si utilizzano più condizionali
- 22. Devo disinfettare l'input se si utilizzano query PHP/MySQL preparate?
- 23. rotaie a cremagliera attacco gioiello della valvola a farfalla
- 24. Rilevamento server Remote Attack Akka
- 25. Android LinearLayout fill-the-middle
- 26. non può generare chiave in Android chiavi
- 27. Launch Watch App in middle view
- 28. Come prevenire JavaScript Injection Attack
- 29. Un attacco di SQL Injection può essere eseguito tramite qualcosa di diverso da SqlCommand?
- 30. Prevenire attacco XSS
Ma questo ovviamente dipende dalla validità o dalle chiavi RSA, in particolare che la chiave pubblica del tuo partner appartiene davvero a chi tu pensi che faccia. Ad un certo punto devi avere fiducia in uno scambio di chiavi precedente. – Thilo