L'uomo nella teoria dell'attacco intermedio [duplicato]

7

Io e il mio collega stiamo cercando di trovare un modo per evitare un uomo teorico nell'attacco centrale.

Lo scenario è:

La comunicazione avviene solo attraverso un canale e nessuno dei due lati è a conoscenza di ciò che verrà detto.

Alice e Bob vogliono comunicare tra loro.

Eve è "l'uomo nel mezzo". Tutte le comunicazioni dall'inizio la attraversano per prime.

Se Alice pubblica la sua chiave pubblica, Eve può intercettarla e inviare la propria chiave pubblica a Bob. Quando Eve intercetta un messaggio da Bob, usa la sua chiave privata e decrittografa il messaggio, fa quello che vuole e lo crittografa con la chiave pubblica di Alice e lo invia ad Alice.

Come Eve ha intercettato il primo messaggio e le due parti inconsapevoli non hanno mai scambiato alcuna chiave o certificato c'è un modo in cui possono comunicare senza Eve che legge i messaggi?

Non riesco a vedere alcun modo immaginabile in cui Eve abbia intercettato prima la chiave pubblica di Alice, quindi Bob non ha un modo genuino per verificare se il messaggio proviene da Alice.

    
posta Softey 25.05.2015 - 15:55
fonte

2 risposte

8

[...] is there any way that they can communicate without Eve reading the messages?

No. Contro un attacco attivo di Man in the Middle (avversario attivo tradizionalmente chiamato "Mallory") come questo, sei sfortunato.

Contro un MITM puramente passivo (intercettatore passivo, tradizionalmente chiamato "Eve") questo avrebbe funzionato.

    
risposta data 25.05.2015 - 16:39
fonte
10

Il caso presentato è il primo esempio per cui un certificato autofirmato non fornisce quasi alcuna sicurezza: può crittografare i dati ma è impossibile autenticarlo. Chiunque può creare qualsiasi certificato in nome di qualsiasi cosa e farlo crittografare i dati.

Ecco perché ci sono le catene di certificazione in HTTPS e la firma delle chiavi su PGP, per esempio.

In questo caso, Alice e Bob non possono assicurarsi che stiano parlando tra loro. Se entrambi conoscono un certo John affidabile e John firma le loro chiavi, Bob e Alice possono sapere con certezza che la chiave è valida.

    
risposta data 25.05.2015 - 16:33
fonte

Leggi altre domande sui tag