Un estratto di uno dei miei corsi su SSL / TLS dice quanto segue,
Questo estratto è subito dopo la fase Finitura stretta di mano di SSL (con change_cipher_spec
e finished
messaggi).
Role of the finish phase : counter the downgrade attack.
An attacker could have removed the cipher suites with strong encryption from the client_hello message, causing the entities to agree upon a weaker cipher.
Qual è il change_cipher_spec utile per contrastare l'attacco di downgrade?
Se un utente attaccato avrebbe rimosso il metodo di crittografia strong e ne avrebbe lasciato solo quelli deboli, dal momento che change_cipher_spec
sceglie un cifrario da client_hello
, qual è l'utilità? Cosa mi manca?