Come assicurarsi che la chiave pubblica non sia stata manomessa durante il transito?

Naviga le tue risposte
2

Capisco come funziona l'infrastruttura a chiave pubblica.

C'è una chiave privata e pubblica e qualcuno può utilizzare la chiave pubblica per crittografare i dati che possono essere decodificati solo con la chiave privata.

Tuttavia sembra esserci un difetto con questo ...

Quando vuoi qualcuno, E.g Bob per mandarti un messaggio segreto, gli mandi la chiave: Public key ==> Bob

Bob quindi crittografa i dati e me li restituisce.

Data ==> Public key ==> back to me

Ma cosa succede se al primo stadio Public key ==> Bob un utente malintenzionato modifica la chiave pubblica a cui ha la chiave privata, quindi decodifica i dati che Bob invia inconsapevolmente?

Come viene impedito?

    
posta Joseph A. 25.05.2016 - 02:31
fonte

2 risposte

8

In entrambi i

  • dai la chiave pubblica a Bob quando lo incontri fisicamente e verifichi reciprocamente le identità (come a una parte che firma le chiavi), o

  • Bob verifica la tua chiave pubblica tramite un introduttore affidabile (ad esempio un'autorità di certificazione)

Questa è la parte "Infrastruttura" di PKI.

    
risposta data 25.05.2016 - 03:02
fonte
1

Esistono in generale due classi di metodi: consegnare la chiave pubblica di persona (che presuppone che tu stesso sia immune da manomissioni durante il transito, ovviamente), oppure usi un intermediario affidabile per garantirlo, ad esempio, firmando un certificato - crittografato o in altro modo - o trasportandolo in una busta sigillata e, auspicabilmente, a prova di manomissione.

In pratica, le persone private interessate allo scambio di chiavi sicure tendono a riunirsi e a tenere parti di keynote ; esistono ormai tradizioni consolidate per questo genere di cose. Nella letteratura crittografica, la metafora comunemente usata per la consegna sicura delle chiavi è borsa diplomatica .

    
risposta data 03.04.2018 - 04:54
fonte

Leggi altre domande sui tag

Qual è la sicurezza del codice casuale per l'autenticazione dei prodotti? Il congelamento del browser può essere considerato una vulnerabilità di sicurezza?