Ataque Man-In-The-Middle (SSL) en mi caso

3

Estoy tomando un curso en una escuela sobre seguridad de la red. En un ejercicio experimental, me pidieron que instalara una aplicación Man-In-The-Middle (SSL) en un teléfono móvil e instalé un certificado (con clave privada en el interior) en el teléfono.

Mis preguntas:

  1. ¿Se usa el certificado para generar un certificado falso para simular que la aplicación (podría ser un proxy) es el servidor que el cliente solicita?

  2. ¿Por qué hay una clave privada dentro de este tipo de certificado? ¿Para qué se usa la clave privada aquí?

pregunta Leem.fin 09.11.2016 - 22:28
fuente

2 respuestas

1

Suponiendo que te entendí correctamente y que la aplicación del teléfono está haciendo el MITM, entonces:

1) Sí: generalmente se utiliza como CA raíz para crear (sobre la marcha) nuevos certificados para todos los sitios web visitados. La clave pública de esa CA raíz debe ser de confianza para el navegador.

2) La clave privada se utiliza para firmar todos los certificados posteriores (para los sitios), por eso es necesaria. La aplicación MITM genera el certificado del sitio utilizando la clave privada y el navegador lo verifica mediante la clave pública.

    
respondido por el crovers 09.11.2016 - 22:35
fuente
1
  

¿Se utiliza el certificado para generar un certificado falso para simular que la aplicación (podría ser un proxy) es el servidor que el cliente solicita?

Sí, este certificado se usa para que su aplicación se haga pasar por el servidor. La gente a menudo entiende mal para qué se usan los certificados. Se utilizan para autenticar el servidor y no el cliente. Entonces, cuando su aplicación se haga pasar por el servidor real, deberá proporcionar un certificado que demuestre su identidad.

  

¿Por qué hay una clave privada dentro de este tipo de certificado? ¿Para qué se usa la clave privada aquí?

La clave privada presente en el certificado es la que se utiliza para generar el certificado.
Digital ocean tiene una buena referencia para Certificados, claves privadas y generación de certificados

    
respondido por el Limit 09.11.2016 - 22:37
fuente