Puncte:1

Sunt mesajele PGP susceptibile la atacuri de tip man-in-the-middle?

drapel pl
Lee

Să spunem că Alice vrea să-i trimită lui Bob un mesaj criptat PGP.
Ea generează o cheie simetrică, o criptează cu cheia publică a lui Bob și îi trimite atât mesajul, cât și cheia simetrică criptată lui Bob. Apoi Bob este capabil să-și decripteze mesajul.
Dar ce se întâmplă dacă un atacator MiTM modifică atât cheia simetrică criptată, cât și mesajul și le trimite lui Bob?
Atacatorul nu este capabil să modifice mesajul original? Ce am inteles eu gresit?

kelalaka avatar
drapel in
Certificate digitale? sau obțineți cheia publică?
drapel pl
Lee
Cheia publică a lui @kelalaka Bob este publică pentru toată lumea, așa că atacatorul o poate folosi și el. Cum implici certificatele digitale?
kelalaka avatar
drapel in
Ai uitat să semnezi mesajele? https://web.archive.org/web/20080702073337/http://www.pgpi.org/doc/pgpintro/
drapel pl
Lee
@kelalaka Semnați mesajele, dar atacatorul își poate semna și propriul mesaj și, totuși, destinatarul ar putea decripta mesajul atacatorului (deoarece a fost criptat cu cheia publică a receptorului)
kelalaka avatar
drapel in
Când verificați semnătura mesajului, ce veți vedea? Știți ce este o semnătură digitală? Este nevoie de cheia privată a proprietarului pentru a semna și cheia publică pentru verificare. Când primiți un mesaj de la Bob, verificați existența cheii publice a lui Bob sau o obțineți dintr-un director de încredere,,. Dacă semnătura nu este verificată cu cheia publică a lui Bob, atunci fie fișierul este corupt, fie cineva încearcă un fals...
drapel kr
@Lior: *dar atacatorul își poate semna și propriul mesaj* - Nu. Atacatorul **nu poate** să semneze, deoarece nu are cheia privată a lui Alice. Dacă atacatorul semnează cu propria cheie, atunci Bob va vedea că semnătura nu îi aparține Alicei.
Puncte:1
drapel in

Motivul pentru care acest lucru nu este posibil este, după cum au afirmat ceilalți, că un mesaj semnat nu poate fi falsificat. Desigur, un atacator este capabil să semneze orice mesaj, dar numai cu o cheie privată aparținând propriei chei publice/certificat.

Deci ceea ce se întâmplă este că:

  1. Alice semnează mesajul cu cheia ei privată, indicând cheia publică/certificatul;
  2. Alice criptează mesajul semnat cu cheia publică a lui Bob (deoarece PGP folosește semn-apoi-criptare);
  3. Bob primește mesajul și îl decriptează folosind cheia sa privată;
  4. Bob primește ID-ul cheii lui Alice și caută cheia publică / certificatul ei, aflând că este ea;
  5. Bob verifică că semnătura de sub mesaj este cea a Alicei.

Acum, Malory (MitM folosind numele normale) poate trimite, evident, mesaje criptate lui Bob, dar nu poate decripta mesajul lui Alice, deoarece nu are cheia privată a lui Bob.

În ceea ce privește generarea semnăturii: Malory ar putea să-și pună propria semnătură și să-și schimbe ID-ul, dar apoi mesajul nu ar fi de la Alice.

Desigur, acest lucru necesită ca Bob să cunoască și să aibă încredere în prealabil cheia publică/certificatul lui Alice, altfel Malory ar putea crea o pereche de chei și ar putea trimite cheia publică/certificatul lui Bob, usurându-se Alice. Cu PGP, această încredere este creată folosind o rețea de încredere.

Întrucât această rețea de încredere nu a fost niciodată atât de sigură pentru PGP, este foarte recomandat să se stabilească încrederea direct, de ex. prin trimiterea prin poștă a certificatului și apoi verificarea amprentei cheii prin telefon. PGP a fost proiectat având în vedere acest lucru (de exemplu, stabilirea unui sistem de amprentă ușor de verificat și solicitarea de încredere explicită a cheilor publice / certificatelor din depozitul de încredere).

Maarten Bodewes avatar
drapel in
Atenție că PGP este un protocol vechi; există atacuri, iar protocoalele mai noi pot oferi o securitate mai bună.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.