¿Cómo asegurarse de que la clave pública no haya sido manipulada durante el tránsito?

Navega tus respuestas
2

Entiendo cómo funciona la infraestructura de clave pública.

Hay una clave privada y pública, y alguien puede usar la clave pública para cifrar los datos que solo se pueden descifrar con la clave privada.

Sin embargo, parece que hay un error con esto ...

Cuando quieres que alguien, por ejemplo, Bob te envíe un mensaje secreto, le envías la clave: Public key ==> Bob

Bob luego cifra los datos y me los devuelve.

Data ==> Public key ==> back to me

Pero, ¿qué sucede si en la primera etapa Public key ==> Bob un atacante modifica la clave pública a una a la que tiene la clave privada y luego desencripta los datos que Bob envía sin saberlo?

¿Cómo se evita esto?

    
pregunta Joseph A. 25.05.2016 - 02:31
fuente

2 respuestas

8

O bien

  • le das la clave pública a Bob cuando te encuentras físicamente con él y verificas mutuamente las identidades (como en una parte de firma de clave), o

  • Bob verifica su clave pública a través de un presentador confiable (por ejemplo, una Autoridad de Certificación)

Esta es la parte de "Infraestructura" de PKI.

    
respondido por el mlp 25.05.2016 - 03:02
fuente
1

En términos generales, existen dos clases de métodos: usted entrega la clave pública en persona (lo que supone que usted mismo es inmune a la manipulación en tránsito, por supuesto), o utiliza un intermediario confiable para responder, por ejemplo, firmando un Certificado, criptográficamente o de otra manera, o llevarlo en un sobre sellado y, con suerte, a prueba de falsificaciones.

En la práctica, las personas privadas interesadas en el intercambio de claves seguras tienden a reunirse y mantener las partes de firma de claves ; hay tradiciones bien establecidas para este tipo de cosas por ahora. En la literatura criptográfica, la metáfora que se usa comúnmente para la entrega segura de material clave es diplom diplomated .

    
respondido por el dig 03.04.2018 - 04:54
fuente

Lea otras preguntas en las etiquetas

¿Se puede considerar una vulnerabilidad de seguridad congelar el navegador? ¿Cuál es la seguridad del código aleatorio para autenticar productos?