Si tuviera que capturar una sesión TLS (y secretos compartidos) entre mí y un sitio web operado por otra parte, ¿podría usar el HMAC (o algo más?) para verificar a un tercero la autenticidad del Datos descargados, es decir, ¿probar que no lo alteré?
Si tuviera que capturar una sesión TLS (y secretos compartidos) entre mí y un sitio web operado por otra parte, ¿podría usar el HMAC (o algo más?) para verificar a un tercero la autenticidad del Datos descargados, es decir, ¿probar que no lo alteré?
Tenga en cuenta que en su descripción falta una parte importante: la persona a la que desea demostrar que no modificó el mensaje. La pregunta realmente es: ¿puede esa parte confiar en usted para no generar un mensaje que no intercambió con la otra parte en la sesión TLS?
La respuesta es no, porque ha guardado la clave y, por lo tanto, puede generar etiquetas válidas para cualquier mensaje que desee, que tal vez no haya enviado al otro extremo de la conexión TLS.