makerofthings7 escribió:
parece que TOR es mejor / más seguro, ya que no usa DNS y no depende de las CA
Así como, en última instancia, es responsabilidad del usuario verificar un certificado TLS antes de aceptarlo, es responsabilidad del usuario verificar que la dirección deseada sea una dirección de cebolla. Comenzando con
- (a) Conozco una dirección de cebolla
- (b) Conozco un nombre de dominio regular (por ejemplo, "google.com")
usted está afirmando, por hipótesis:
- (a) He resuelto un problema difícil
- (b) Tengo todavía para resolver un problema complicado
y (a) implica directamente más seguridad que (b) debido a la hipótesis más sólida.
Pero decir (a) en realidad significa " Sé cómo resolver problemas difíciles ", por lo que también debería poder resolver (b). IOW, si puede obtener de manera confiable una dirección de correo electrónico (por ejemplo, una persona cuya voz conoce), debería poder obtener de manera confiable una huella digital de certificado TLS del sitio web por el mismo proveedor.
Pero probablemente esté confiando en algún recurso de Internet (sitio web, mensaje de Usenet, correo electrónico ...) para conocer la dirección de la cebolla:
- (1) ¿confía en el autor reclamado del mensaje?
- (2) ¿confía en que el mensaje fue realmente escrito por este autor?
Tal vez el mensaje se encontró en un sitio web de HTTPS, y está de vuelta con:
- (a) verificar que el propietario del sitio web es la persona en la que confía
- (b) el sitio web que ve es el sitio web real, IOW que el certificado TLS es válido.
Tal vez el mensaje se encontró en un correo electrónico, y usted debe verificar la firma PGP / GPG (o S / MIME). Entonces vuelve con: ¿quién es el propietario de esta firma PGP / GPG / S / MIME? En cualquier caso, necesita un ancla de confianza .
Ningún protocolo o herramienta criptográfica solo resuelve este problema, ya que no es una cuestión algorítmica, es una cuestión de comprobación de hechos , hechos como " esta clave realmente pertenece a esta persona ", y en la mayoría de los casos confiando en otros para que verifiquen el hecho , a menos que pueda reunirse con el tipo en persona y preguntarle su huella digital clave, lo que, honestamente, rara vez es el caso Banco y no tenían idea de cuál era la huella digital de la clave).