Esistono "chiavi principali" che possono essere utilizzate per generare chiavi SSL valide?

6

Ero in una discussione su SSL, e stavo spiegando che è impossibile decifrare i dati inviati su SSL se non hai la chiave.

Qualcuno ha risposto con il seguente, che mi ha davvero confuso:

The important detail here is that there are hundreds of legitimate "master keys" out there that can be used to generate a valid key for a MITM scenario.

Quali sono queste chiavi principali che possono essere utilizzate per generare una chiave valida? Mai sentito parlare di loro.

    
posta BugHunterUK 05.04.2016 - 19:15
fonte

1 risposta

4

Ciò che probabilmente qualcuno voleva dire era:

There are a lot of certificate authorities out there, which's keys can be used to generate valid certificates.

Anche se è vero, le CA di fiducia non saranno considerate attendibili abbastanza a lungo quando distribuiscono i certificati da utilizzare per gli attacchi MITM (o, peraltro, non rispettano le altre regole riguardanti l'emissione di certificati).

Penso che ci sia stata una CA che ha firmato una sub-CA circa un anno fa che ha perso la sua credibilità piuttosto rapidamente.

Inoltre, le CA possono generare certificati validi per le chiavi (di loro scelta, in teoria), ma per le chiavi non valide per un certificato esistente; ciò è considerato non fattibile per i certificati con proprietà accettabili per cominciare.

L'intero concetto di catena di fiducia funziona solo se riponi fiducia nelle CA, se non lo fai, puoi chiamare quelle "chiavi principali", ma è una semplificazione enorme e non del tutto corretta - non possono sbloccare nulla ", solo "essere utilizzato per firmare certificati validi per un attacco MITM.

Per ulteriore foglio di alluminio:

Se "loro" hanno in qualche modo ottenuto chiavi da CA affidabili, "loro" possono in effetti fare alcuni MITM. Tuttavia, esistono alcune strategie di mitigazione, ad esempio blocco della chiave pubblica , il che rende più difficile per gli utenti regolari di un sito Web .

    
risposta data 05.04.2016 - 19:44
fonte

Leggi altre domande sui tag