Protezione contro / individuazione di un uomo specifico nell'attacco centrale

Naviga le tue risposte
0

Sto lavorando su una situazione specifica (ipotetica), in cui ho due macchine client che tentano di eseguire uno scambio di chiavi pubbliche, tramite un server. Non c'è possibilità per una connessione diretta tra i due client, poiché lo scambio è asincrono.

Il server non può essere completamente fidato. Poiché facilita lo scambio di chiavi, esiste la possibilità che sostituisca la chiave del client con una che controlla.

C'è un modo in cui questo può essere rilevato al minimo dal client ricevente o, meglio ancora, protetto attivamente o aggirato? Tecniche come lo scambio di chiavi Diffie-Hellman non sembrano funzionare qui, poiché il canale è controllato dall'entità che stiamo cercando di proteggere (cioè il server).

    
posta Silk 10.03.2014 - 16:17
fonte

2 risposte

1

Se ciò potrebbe essere fatto, le CA non esisterebbero - il loro unico scopo è quello di fornire un servizio di terze parti attendibile che puoi controllare da entrambe le parti e determinare se qualcosa di strano si è verificato durante lo scambio di chiavi.

A parte questo, la tua unica opzione è far sì che entrambe le parti eseguano la verifica umana generando una stringa difficile da indovinare sulle chiavi scambiate - come fanno molti IM mobili "sicuri" come Silent Circle - e chiedono agli utenti di verificare ciascuna altro su un canale difficile da simulare come un contatto visivo o una chiamata vocale.

Con un numero sufficiente di utenti nel sistema puoi provare una specie di web-of-trust interrogando gli altri utenti per verificare se hanno la stessa chiave per lo stesso utente, ma questo potrebbe proteggerti solo contro i MITM senza energia sufficiente per generare un gran numero di coppie di chiavi valide per intercettare tutti i controlli quindi non proprio così sicuri.

    
risposta data 11.03.2014 - 03:46
fonte
0

È possibile utilizzare blocco dei certificati , a condizione che tu abbia il controllo sulla verifica del certificato client.

    
risposta data 11.03.2014 - 21:44
fonte

Leggi altre domande sui tag

Ci sono soluzioni software che prendono i dati della carta di credito criptati presi direttamente da un lettore di carte di credito quadrato e li inseriscono in un modulo web standard? [chiuso] due casi di crittografia / hashing, qual è il migliore