È necessario Man-In-The-Middle affinché una CA possa leggere il testo in chiaro HTTP?

Naviga le tue risposte
6

Sebbene comprenda la teoria di base dei certificati e della crittografia asimmetrica, non sono abbastanza sicuro sui dettagli del protocollo X.509. Mi chiedo quale modello di attaccante che una determinata CA richiede per attaccare il traffico TLS / SSL. Specificamente, supponendo che la CA rilasci la chiave privata che mi ha inviato a una terza parte Mallory (Mallory potrebbe anche essere identica a CA), l'intercettazione passiva dei pacchetti TCP consente a Mallory di ottenere il testo in chiaro? O Mallory ha bisogno delle capacità Man-In-The-Middle per leggere il testo in chiaro?

Il mio fondamento logico per questo è il seguente: se il certifiacte abilita semplicemente un Diffie-Hellman verificato, devi interferire con lo scambio di chiavi per essere in grado di ingannare server e client nell'usare le tue chiavi. Ma X.509 lo fa?

    
posta bitmask 12.03.2015 - 13:09
fonte

1 risposta

15

CA non emette chiavi private per nessuno. CA firma (usando la sua propria chiave privata, che mantiene molto segreto) la tua chiave pubblica . La CA non ha affatto accesso alla tua chiave privata.

Se la chiave privata della CA viene divulgata a Mallory, Mallory è in grado di emettere certificati validi per qualsiasi nome. Ciò significa che può rendere quasi inosservabile (beh, ovviamente, può rilevare il certificato modificato, ma quanti utenti lo controllano?) Attacchi man-in-the-middle. Ma non ha nulla che lo possa aiutare con l'intercettazione passiva.

Se la chiave privata tua è trapelata, potrebbe essere possibile l'intercettazione passiva, ma in tale scenario la CA non prende affatto parte.

    
risposta data 12.03.2015 - 13:38
fonte

Leggi altre domande sui tag

Qual è la differenza tra doppio DES e 3-DES? La tecnologia IPS in un UTM può impedire un attacco DDoS?