Puoi dimostrare a una terza parte che si è svolta una sessione TLS HTTPS? [duplicare]

Naviga le tue risposte
4

Alice è un browser / client (potenzialmente modificato). Bob è un server Web HTTPS non modificato che esegue pratiche di sicurezza comuni.

Eve sta raccogliendo dati da Bob da molte Alice, Eva ha bisogno di queste informazioni per essere precisi, e Alice è felice di fornire le informazioni appena vengono pagate. Tuttavia, Eva ha bisogno di verificare che le informazioni siano state inviate da Bob, e non un tentativo di truffa da parte di Alice per fare soldi veloci.

Alice tuttavia non vuole che Eve conosca i loro cookie ecc. e acquisisca il controllo sul proprio account.

Alice può dimostrare a Eve che i dati di uno scambio https / tls provengono da bob e che non hanno falsificato i dati. E se è così, possono farlo senza Eve che ruba la loro sessione / cookie.

    
posta Ryan The Leach 09.12.2016 - 19:12
fonte

1 risposta

7

Mentre TLS identifica il server e protegge i dati dallo sniffing e dalla modifica, non contiene alcun tipo di prova che il server abbia inviato dati specifici che possono essere utilizzati al di fuori della connessione TLS. Ciò significa che se Alice riuscisse a catturare il traffico TLS completo, estrarre le chiavi di crittografia e consegnare tutto questo a Eve, allora Eve potrebbe effettivamente verificare che i dati siano stati inviati da Bob (o almeno qualcuno in possesso della chiave privata di Bobs) ma, potrebbe anche ottenere il resto del traffico, cioè tutti i cookie ecc.

Per ottenere tale prova, Bob avrebbe effettivamente bisogno di firmare i dati rilevanti (e solo questi dati) al di fuori di TLS in modo che Alice potesse consegnare i dati firmati a Eve, che potrebbe quindi verificare la firma utilizzando il certificato Bobs.

    
risposta data 09.12.2016 - 19:44
fonte

Leggi altre domande sui tag

Un certificato SSL può dettare il protocollo? È sicuro usare HMAC con una chiave pubblica allo scopo di salare?