Betrachten wir Man In The Middle Attack; Kann ein solcher Angriff erfolgen, wenn symmetrische Schlüssel verwendet werden?
Antworten
Zu viele Anzeigen?
Sicher. Sie müssen nur den Schlüsselaustausch abfangen. Dann können Sie Ihren eigenen (gefälschten) Schlüssel an die andere Seite weitergeben. Sie fangen die Nachrichten mit dem betrügerisch erlangten Schlüssel ab, verschlüsseln sie erneut mit Ihrem gefälschten Schlüssel und leiten sie an die andere Seite weiter.
Thilo
Punkte
248982
Der Trick besteht darin, sich überhaupt auf den symmetrischen Schlüssel zu einigen. Man-in-the-Middle-Angriffe erfolgen in der Regel während der Phase des Schlüsselaustauschs (so dass Sie sich mit dem Mittelsmann statt mit Ihrem echten Partner auf den Schlüssel einigen).
Normalerweise wird also (bei SSL-Sitzungen in Webbrowsern) die asymmetrische Kryptographie für den Austausch des symmetrischen Schlüssels verwendet. Das hängt jedoch davon ab, ob der öffentliche Schlüssel Ihres Partners wirklich demjenigen gehört, von dem Sie glauben, dass er es ist. Normalerweise verlassen Sie sich auf das Wort von Verisign oder einer anderen Zertifizierungsstelle.
Zu einem bestimmten Zeitpunkt muss ein sicherer und authentifizierter Schlüsselaustausch stattgefunden haben.
John Christman
Punkte
573
JP Alioto
Punkte
44283
Die obigen Antworten sind natürlich richtig, aber Sie sollten beachten, dass es mehrere effiziente, kryptografisch sichere Methoden gibt, um sicher Austausch von Tasten . Ich glaube, der, den Wow benutzt, ist SRP6 .
Accipitridae
Punkte
3116
Ja. Selbst wenn Sie einen symmetrischen Schlüssel verwenden, müssen Sie Authentifizierungs-/Integritätsprüfungen durchführen. Eine Verschlüsselung mit symmetrischem Schlüssel ohne Authentifizierungs-/Integritätsprüfungen macht Sie anfällig für verschiedene Formen von Wiederholungsangriffen oder Substitutionsangriffen. Ein Angreifer kann Ihre Chiffriertexte ändern und weiß vielleicht sogar, welche Auswirkungen seine Änderungen haben.
