Quale problema risolve PKI; come potrebbe qualcuno "mentire sulla propria identità"? [duplicare]

3

Che cosa protegge da un certificato emesso da un'autorità di contenuto? In tutto ciò che ho red (e guardato ) lo insegnano come "ti viene data la chiave pubblica per comunicare con Alice, ma come fai a sapere che è in realtà da Alice? " arriva il PKI ...

ciò che non capisco è il problema "come fai a sapere che la chiave pubblica proviene da Alice"?

Hai contattato la risorsa, sia essa con un nome host o un indirizzo IP. Fammi sapere se la mia domanda non ha senso e proverò a riformularla. Quello che sto chiedendo è di base: qual è la necessità di un certificato: si conosce sempre l'indirizzo IP della persona a cui si è indirizzati. Questo ha qualcosa a che fare se qualcuno ti manda la chiave pubblica, allora la persona potrebbe essere un attaccante e darti una chiave pubblica falsa? Tuttavia, si invierà comunque pacchetti al destinatario previsto, in modo che possano restituire un messaggio di errore in cui viene indicato che c'è qualcosa di sbagliato nel modo in cui i messaggi vengono crittografati.

    
posta Celeritas 19.10.2015 - 13:12
fonte

2 risposte

4

you always know the IP address of the person your sending to

Oh, vero? Personalmente non ho idea di quali indirizzi IP trovo i miei servizi web preferiti. Di solito scrivo un dominio e il mio computer contatta alcune terze parti per chiedere l'IP corrispondente. Questo è noto come Domain Name Service (DNS). Vedrai in un secondo perché dico questo.

Un classico esempio di un potenziale aggressore man-in-the-middle (MITM) è la persona che controlla il router a cui sei connesso. Senza il PKI, possono facilmente fingere di essere qualcun altro.

Diciamo che vai in un bar pubblico e vuoi accedere alla tua casella di posta Gmail. Digiti "gmail.com" nella barra degli indirizzi del browser e ti viene presentata una pagina che richiede il nome e la password del tuo account Gmail. Come fai a sapere che quella pagina è in realtà quella ospitata da Google, e non, ad esempio, servita da una macchina locale nella stanza sul retro del caffè? Un problema qui è che il computer ha inviato una richiesta a un DNS remoto per chiedere l'IP richiesto, ma questa richiesta passa attraverso il router, quindi senza misure di sicurezza aggiuntive, il MITM può restituire un IP arbitrario. In secondo luogo, il router potrebbe aver lasciato la richiesta e la risposta DNS invariate, ma ha poi pubblicato la pagina falsa indipendentemente dall'IP che stavi effettivamente cercando di raggiungere. Dopo tutto, ti sei affidato a loro per trasmettere la tua richiesta e la risposta di Gmail.

Ed è qui che entrano in gioco la crittografia a livello di trasporto e l'infrastruttura a chiave pubblica. Quando si tenta di contattare un server che esegue HTTPS, verrà visualizzata una chiave pubblica per crittografare ulteriori comunicazioni e tale chiave verrà generalmente firmata da una CA attendibile. Pertanto, senza accesso alla chiave privata del server, un intermediario non può leggere o manipolare i dati scambiati (da qui il nome crittografia end-to-end per questo tipo di meccanismo). Ciò che fa la CA è assicurarsi che la chiave pubblica originariamente presentata non possa essere falsificata senza che tu te ne accorga.

Allo stesso modo, DNSSEC (DNS Security Extensions) si basa su PKI per rilevare un MITM che sta manipolando richieste / risposte DNS.

    
risposta data 19.10.2015 - 15:24
fonte
0

La relazione di trust per quasi tutte le autorità di certificazione viene fornita tramite la fiducia nei sistemi operativi e nei fornitori di browser. Le chiavi pubbliche delle CA sono precaricate nel sistema operativo e nei browser e / o fornite tramite aggiornamenti. Pertanto, esiste un metodo fuori banda per confermare l'identità per la vostra base di fiducia.

Un concetto chiave in PKI è quello delle relazioni di fiducia. La maggior parte di questo processo si basa su una base fuori banda altrimenti, come suggerisci, il processo potrebbe essere sovvertito.

    
risposta data 19.10.2015 - 15:31
fonte