Diffie Hellman Hash MITM

Navega tus respuestas
1

Recientemente he visto una aplicación que usaba el algoritmo Diffie Hellman. No es una implementación efímera de Diffie-Hellman, sino una implementación de Diffie Hellman. Una vez que se han calculado las claves secretas, el cliente envía un hash SHA-512 de la clave al servidor cuando el servidor lo solicita. La única razón por la que puedo pensar es que el servidor calcula un hash SHA-512 de su clave secreta y solicita al hash de los clientes que detecte los ataques MITM. ¿Es esto sabio? ¿seguro? ¿Para qué otra razón necesitaría la aplicación hacer esto?

    
pregunta npn_or_pnp 23.08.2014 - 23:58
fuente

1 respuesta

2

Al enviar un hash SHA-512, no expones más información útil sobre la clave, que la que el atacante tenía de los mensajes de Diffie-Hellman. Sin embargo, es completamente inseguro confiar en ese hash. El hombre en el medio podría dar a cada lado el hash necesario, y aún podría interceptar el tráfico. Para que Diffie-Hellman proporcione seguridad, los mensajes deben firmarse con un sistema de cifrado de clave pública o con la clave negociada. Tenga en cuenta que cuando se transmite una firma, no se filtra más información sobre el contenido firmado que un hash.

    
respondido por el user10008 24.08.2014 - 03:14
fuente

Lea otras preguntas en las etiquetas

Almacenamiento de contraseña en 1password y otras aplicaciones similares de almacenamiento de contraseña ¿Por qué Google no desinstala o informa, instala aplicaciones pirateadas? [cerrado]