MITM durante il cambio di chiave / impronta digitale legittima

5

Una modifica di chiave / impronta digitale si è verificata sul server di un amico a cui ho accesso. Quindi gli mando un messaggio e gli chiedo "Hai cambiato i certificati?" su cui risponde "Sì".

Il mio pensiero iniziale è quindi aggiornare la mia impronta digitale locale, ma poi mi è venuto in mente: e se qualcuno eseguisse un attacco MITM contemporaneamente come il mio amico ha fatto questo cambiamento legittimo?

Come procedo per assicurarmi di non essere ingannato?

PS! In questo caso particolare, il mio amico è passato da un certificato autofirmato all'utilizzo di Let's Encrypt, ma le risposte dovrebbero riflettere qualsiasi situazione che implichi un cambio di impronta digitale.

    
posta forthrin 24.07.2017 - 15:52
fonte

2 risposte

3

Chiamiamo il tuo amico Bob .

Bob ha aggiornato il suo certificato, ma dal momento che non l'hai mai visto prima, sei giustamente preoccupato che Eve potrebbe essere nel mezzo. Hai fatto la cosa giusta contattandolo per verificare la tua osservazione, ma non c'è ancora un modo automatico per confermare la nuova chiave. Presumo che tu non stia utilizzando un'autorità di firma e ti fidi esplicitamente del certificato specifico su Bob's end?

Ti fidi già di lui per confermare le modifiche chiave sul testo, quindi è sufficiente inviare l'impronta digitale su un altro testo.

In sostanza, devi utilizzare un metodo fuori banda per confermare la nuova chiave (ad esempio incontrarlo di persona) o trovare un modo per consegnare la chiave su un altro canale affidabile stabilito, ad es. posta elettronica firmata, PGP firmato, Text / WhatsApp, inserendolo in un sito Web che conosci solo lui controlla ecc.

Ecco perché un'Autorità di certificazione è così utile: è la radice della vostra fiducia nel sistema remoto. Se ti fidi Let's Encrypt (che dovresti per impostazione predefinita, dato che il certificato è emesso da un'altra CA radice attendibile nella maggior parte dei browser / sistemi operativi), questo problema scompare.

    
risposta data 24.07.2017 - 17:29
fonte
2

How do I proceed to make sure I'm not being tricked?

Il tuo amico non dovrebbe rispondere "Sì", ma "Sì, la nuova impronta digitale SHA-256 è ...". In tal caso, puoi rimuovere la vecchia chiave e verificare manualmente la nuova chiave host.

    
risposta data 24.07.2017 - 20:20
fonte

Leggi altre domande sui tag