Dove vengono utilizzati i certificati per dimostrare l'identità e perché non sono i responsabili DNS del lavoro?

Naviga le tue risposte
0

Ho letto come vengono utilizzati i certificati per verificare il proprietario di una chiave pubblica nella crittografia asimmetrica. In questo momento tutto mi sembra davvero teorico e mi piacerebbe sapere come funziona in pratica. Ad esempio, i siti su cui accedi come Facebook (o questo) usano la crittografia asimmetrica?

Ciò che non capisco è questo: il certificato rivendica per es. Facebook è quello che dicono di essere, e una volta verificato la chiave pubblica può essere estratto da esso. Non è più il rotolo del server DNS? Un utente digita facebook.com e il server DNS è responsabile per sapere che facebook.com si risolve ad es. 1.2.3.4 ?

Alcune connessioni non usano il server DNS che potresti dire. Ad esempio, un client di posta può essere configurato per connettersi a un particolare indirizzo IP. Nessun problema. Allora dovresti già sapere che l'indirizzo IP è corretto: se non è come dire che hai inviato un pacchetto all'indirizzo sbagliato ma sei turbato dal fatto che sia stato ricevuto dalla persona sbagliata.

Ultima domanda, solitamente le chiavi pubbliche non sono fornite dall'autore del proprietario e in realtà dall'autorità di certificazione (poiché secondo a qui la chiave pubblica viene estratta dal certificato)? Ad esempio quando mi connetto a Facebook è la sua chiave pubblica datami da DigiCert Inc, non in realtà Facebook?

    
posta Celeritas 19.10.2015 - 06:50
fonte

2 risposte

1

do sites you log into such as Facebook (or this one) use asymmetric encryption?

Sì. Entrambi in realtà. TLS regolare utilizza sia la crittografia asimmetrica (per la parte del certificato e per negoziare una chiave di crittografia di massa) sia la crittografia simmetrica (per la parte di crittografia di massa). Questa combinazione è per la velocità, perché il solito crypto simmetrico qui è circa 100 volte più veloce della parte asimmetrica.

Questa combinazione è conosciuta come Hybrid cryptosystem .

Isn't this more of the roll of the DNS server?

Sì e no. Sebbene tu possa farlo in questo modo, e mentre ci sono tentativi di memorizzare (o almeno segnare) chiavi crittografiche valide direttamente in DNS, questo non è (almeno in questo momento) il solito modo di farlo.

Che cosa significa? Uno dei tanti modi in cui una CA può verificare la validità del tuo reclamo su un determinato nome di dominio è inviarti e-mail al admin@ -account del tuo dominio.

E se qualcuno riesce a inserirsi tra la CA e il loro server DNS in quel preciso momento, può ingannare la CA. Quindi, se qualcuno ha dirottato quei fili (ad es. Dipendente corrotto, ad esempio il programma di sfruttamento del router QUANTUM della NSA), la CA potrebbe essere ingannato nel rilasciare un certificato a loro.

Se quell'attore malevolo poi usa la stessa man-in-the-middle-trick quando una persona normale visita il sito con il certificato rubato / errato otterrà il green-lock e non se ne accorgerà. (A meno che gli operatori del sito non abbiano prestato particolare attenzione a ciò, ad esempio precaricando determinati browser con certificati di sito conosciuti).

are the public keys usually not provided by the owner them self and actually the certificate authority (since [according to here][1] the public key is extracted from the certificate)? For example when I connect to Facebook is its public key given to me by DigiCert Inc, not actually Facebook?

No. Mentre alcune CA offrono questo servizio convenienza / non è richiesto tecnicamente di conoscere sia la parte pubblica che quella privata della coppia pubkey / privkey. (E correvo urlando da un CA che ha fatto una simile offerta.)

Invece tu invii loro il pubkey e fagli firmare (e sapere ) proprio questo.

    
risposta data 19.10.2015 - 09:22
fonte
0

Anche se si ottiene l'indirizzo IP corretto dal server DNS, non si può essere sicuri che nessuno stia ascoltando a meno che non si veda un certificato valido. Potresti usare un proxy che potrebbe essere inaffidabile. Oppure, in una rete locale, un utente malintenzionato potrebbe utilizzare l'avvelenamento ARP per posizionarsi nel mezzo della tua connessione e tu non saresti mai più saggio.

Un altro esempio: è prassi corrente in molte aziende limitare l'accesso Web per i dipendenti, filtrando siti dannosi e / o siti non pertinenti (come Facebook o Porno). Alcuni provider di wifi gratuiti bloccano anche i siti che ritengono inappropriati (porn, warez, ecc.). O stai usando il wifi del tuo amico esperto di tecnologia che ha un po 'di problemi nel rispetto della privacy.

Anche se si ottiene l'IP corretto del sito che si desidera visitare, il proprietario della rete può ancora vedere ciò che si sta facendo e modificare il traffico a meno che non sia crittografato. E per essere sicuro che i dati siano stati crittografati da chi pensi, hai bisogno di certificati.

    
risposta data 22.10.2015 - 09:40
fonte

Leggi altre domande sui tag

impedisce l'invio di moduli Protezione dei file php da esterni include [chiuso]