The Daily Mail riportato nel dicembre 2014 su una società che affermava di aver risolto l'attacco MITM.
Qualcuno può spiegare come è possibile o qual è la differenza rispetto a TLS?
The Daily Mail riportato nel dicembre 2014 su una società che affermava di aver risolto l'attacco MITM.
Qualcuno può spiegare come è possibile o qual è la differenza rispetto a TLS?
TL; TR: c'è forse (o forse no) una certa sostanza per il brevetto ma ritengo che le affermazioni fatte sulla stampa siano ampiamente esagerate. Non vedo alcuna sostanza per le affermazioni di aiutare contro il MITM. E si rivolge a diversi casi d'uso rispetto a TLS, quindi non c'è bisogno di confrontare.
Mentre c'era un sacco di comunicato stampa del 2014 su questo problema, sostanzialmente si ripete lo stesso affermazioni confuse ("privacy", "avrebbe potuto prevenire attacchi a sony") senza entrare nei dettagli.
Il brevetto a cui probabilmente si riferiscono è probabilmente Sistema e metodo per far rispettare una politica del computer (o brevetti simili in altri paesi). Osservando le affermazioni di questo brevetto si descrive fondamentalmente l'uso di un TPM nel client e un server centralizzato per garantire la crittografia e la decrittografia sul client, cioè utilizzare l'attestazione remota per assicurarsi che solo il client corretto ottenga le chiavi e utilizzi il TPM per aiutare con crittografia / decrittografia in modo che le chiavi stesse non siano disponibili in chiaro per le applicazioni client.
Quindi sì, probabilmente avrebbe aiutato Sony a crittografare i suoi dati un po ', ma non riesco a vedere come avrebbe potuto impedire il furto dei dati una volta che il client ha avuto accesso ai dati (ne ha bisogno per lavorare con loro) e l'attaccante è anche sul client. E completamente non riesco a capire come questo potrebbe aiutare nella privacy come sostenuto dalla stampa. E l'unica cosa che ha a che fare con MITM è probabilmente assicurarsi che lo scambio tra il server delle politiche e il client sia protetto, ma non ha nulla a che fare con MITM della connessione tra un client e un server web.
Quindi, perché abbiamo ottenuto una copertura così particolare ed esagerata dalla stampa? Potrebbe essere che l'azienda debba mostrare ai suoi investitori che ha un buon patrimonio perché finanzia lo stesso non sembra buono . Ed è molto strano che non riesca nemmeno a trovare un sito web ufficiale per questa azienda.
Leggi altre domande sui tag public-key-infrastructure tls man-in-the-middle