¿Qué problema corrige PKI; ¿Cómo mentiría alguien sobre su identidad? [duplicar]

Question

¿Qué problema corrige PKI; ¿Cómo mentiría alguien sobre su identidad? [duplicar]

#1 de zinfandel (4 votos)
#2 de zedman9991 (0 votos)

3

¿Contra qué protege tener un certificado emitido por una Autoridad de contenido? En todo lo que he visto en rojo (y ) lo enseñan como "se te ha dado la clave pública para comunícate con Alice, pero ¿cómo sabes que en realidad es de Alice? viene el PKI ...

lo que no entiendo es el problema "¿cómo sabes que la clave pública proviene de Alice"?

Se contactó con el recurso, ya sea con un nombre de host o una dirección IP. Avíseme si mi pregunta no tiene sentido y trataré de reformularla. Lo que pregunto es básico: cuál es la necesidad de un certificado: siempre se sabe la dirección IP de la persona a la que se envía. ¿Tiene esto algo que ver si alguien te envía la clave pública, entonces la persona puede ser un atacante y darte una clave pública falsa? Pero todavía estaría enviando paquetes al destinatario deseado real, por lo que es probable que devuelvan un mensaje de error que indique que hay algún problema con la forma en que se cifran sus mensajes.

public-key-infrastructure digital-signature man-in-the-middle

pregunta Celeritas 19.10.2015 - 13:12

fuente

2 respuestas

Lea otras preguntas en las etiquetas public-key-infrastructure digital-signature man-in-the-middle

Ataques comunes cuando no hay puertos abiertos alguien está inyectando malware en mi sitio web

score 4 · Answer 1

siempre sabes la dirección IP de la persona a la que envías

Oh, ¿verdad? Personalmente no tengo idea de en qué direcciones IP puedo encontrar mis servicios web favoritos. Por lo general, escribo un dominio y mi computadora se comunica con un tercero para preguntar sobre la IP correspondiente. Esto se conoce como Servicio de nombres de dominio (DNS). Verás en un segundo por qué menciono esto.

Un ejemplo clásico de un potencial atacante de hombre en el medio (MITM) es la persona que controla el enrutador al que está conectado. Sin la PKI en su lugar, fácilmente pueden pretender ser otra persona.

Digamos que vas a un café público y quieres acceder a tu bandeja de entrada de Gmail. Escribe 'gmail.com' en la barra de direcciones de tu navegador y se te presenta una página que solicita el nombre y la contraseña de tu cuenta de Gmail. ¿Cómo sabe que esa página es, de hecho, la que está alojada por Google y no, digamos, servida desde una máquina local en la sala de atrás del café? Un problema aquí es que su computadora habrá enviado una solicitud a un DNS remoto para solicitar la IP requerida, pero esta solicitud pasa por el enrutador, por lo que, sin medidas de seguridad adicionales, el MITM puede devolver una IP arbitraria. En segundo lugar, es posible que el enrutador haya dejado su solicitud y respuesta de DNS sin cambios, pero luego haya publicado la página falsa, independientemente de la IP a la que realmente intentaba acceder. Después de todo, confió en ellos para transmitir su solicitud y la respuesta de Gmail.

Y aquí es donde el cifrado de la capa de transporte y la infraestructura de clave pública entran en juego. Cuando intente comunicarse con un servidor que ejecuta HTTPS, le presentará una clave pública para encriptar otras comunicaciones, y esa clave generalmente estará firmada por una CA de confianza. Por lo tanto, sin acceso a la clave privada del servidor, un intermediario no puede leer ni manipular los datos intercambiados (de ahí el nombre encriptación de extremo a extremo para este tipo de mecanismo). Lo que hace la CA es asegurarse de que la clave pública presentada originalmente no pueda ser falsificada sin que usted se dé cuenta.

De manera similar, DNSSEC (DNS Security Extensions) se basa en PKI para detectar un MITM que está manipulando solicitudes / respuestas de DNS.

score 0 · Answer 2

La relación de confianza para casi todas las Autoridades de certificación se proporciona a través de su confianza en el sistema operativo y los proveedores del navegador. Las claves públicas de las CA se cargan previamente en su sistema operativo y navegadores y / o se proporcionan a través de actualizaciones. Por lo tanto, existe un método fuera de banda para confirmar la identidad para su base de confianza.

Un concepto clave en PKI es el de las relaciones de confianza. La mayor parte de ese proceso se basa en una base fuera de banda, de lo contrario, como sugiere, el proceso podría ser subvertido.