Intercambio de claves públicas con DHE-RSA

Navega tus respuestas
1

El documento "Secreto impecable hacia adelante: cómo falla Diffie-Hellman en la práctica" por Adrian et al. afirma que la NSA podría ser capaz de escuchar un gran porcentaje de conexiones TLS, porque lograron romper ciertos grupos Diffie-Hellman. Ahora, asumo una situación en la que un cliente está conectado a un servidor a través de DHE-RSA. Lo que no entiendo es por qué, en esta situación, romper a Diffie-Hellman solo sería suficiente para espiar. ¿No sería necesario que la NSA también se hiciera con la clave RSA privada del servidor? Dicho en otras palabras: cuando el cliente envía su clave pública DH al servidor, ¿no cifra su clave pública DH con la clave pública RSA del servidor? (Si no, ¿por qué no?)

    
pregunta HjP 06.05.2018 - 04:19
fuente

1 respuesta

0

En el caso de DHE-RSA, la parte RSA solo se usa para autenticar que el cliente habla con el servidor adecuado. Si bien podría usarse para detectar modificaciones del intercambio de claves, no detectará el análisis pasivo del intercambio de claves, es decir, protegerá contra ataques que solo requieren rastrear pero no modificar los datos. Un atacante que ha logrado descifrar el grupo DH específico utilizado por el intercambio de claves (o ha plantado una puerta trasera cryptopgrahic en él) no es necesario jugar activamente con la conexión, sino que solo tiene que rastrear pasivamente la conexión para llegar a la clave intercambiada y descifrar el tráfico.

Se sabe que los Cinco Ojos (es decir, NSA, GCHQ, ...) pero también otros servicios gubernamentales en varios países tienen acceso a para una gran parte de los sistemas centrales de internets y, por lo tanto, pueden escuchar estos datos de forma pasiva. Combinado con una criptografía débil o backdoored esto hace posible detectar y descifrar el tráfico sin cambiar el tráfico y en una la forma en que el remitente y el destinatario no lo notarán.

Para abordar la pregunta en el comentario sobre por qué RSA no se utiliza para proteger el intercambio de claves: se podría argumentar que el conocimiento de los servidores RSA clave pública por parte del cliente permitiría cifrar la parte del intercambio de claves que es enviado desde el cliente al servidor ya que el servidor podría descifrar esta parte usando su clave privada. Si bien esto sería posible con RSA, significaría que el intercambio de claves DH está demasiado ligado al uso de RSA y ya no es un mecanismo más o menos independiente. Por ejemplo, requeriría que el cliente conozca la clave pública de los servidores primero. Si bien es posible con TLS 1.0 ... TLS 1.2 donde el intercambio de claves DH solo se realiza después de que se conoce el certificado del servidor, este ya no es el caso con TLS 1.3 donde el intercambio de claves DH se inicia antes de que se conozca el certificado. Además, los mecanismos de autenticación más modernos basados en ECC (es decir, ECDSA) están diseñados solo para la firma pero no para el cifrado, lo que significaría que no podrían usarse para proteger el intercambio de claves DH de todos modos.

    
respondido por el Steffen Ullrich 06.05.2018 - 06:30
fuente

Lea otras preguntas en las etiquetas

¿Por qué usar el token de actualización de oAuth2 es más seguro que regenerar un access_token? ¿Cómo me hackearon? [cerrado]