análisis del protocolo SSL

0

1) ¿Cuál es el uso de Cert B en este protocolo?

2) ¿Qué le demuestra a Alice?

3) ¿Está bien si eliminamos Cert B en este protocolo? Incluso sin Cert B, ¿el hecho de que Bob usó su clave privada para descifrar la clave AB ya demostró su identidad a Alice?

    
pregunta Ricky 29.05.2016 - 11:45
fuente

2 respuestas

4

Acabo de editar un intruso MITM furtivo en tu imagen:

El problema con este protocolo es que Bob no se autentica con Alice. Eso significa que un atacante hombre en el medio que puede manipular el flujo de datos entre Alice y Bob puede interceptar el intento de conexión inicial de Alice y responder con su propio certificado.

Alice se comunicará de forma segura con Eavesdropper, pensando que se comunica con Bob.

Eavesdropper puede entonces construir simultáneamente una conexión segura con Bob mientras dice ser Alicia.

Ahora, Alice y Bob creen que se están comunicando entre sí, mientras que en realidad se están comunicando con Eavesdropper. Eso significa que Eavesdropper puede ver todas sus comunicaciones en texto claro e incluso manipularlas.

Solución

O Alice debe autenticar a Bob o Bob debe autenticarse a Alice. Pero, ¿cómo pueden hacerlo antes de que se establezca una conexión segura? Ya sea intercambiando sus certificados de antemano o haciendo que firmen sus certificados por un tercero confiable (una autoridad de certificación).

    
respondido por el Philipp 29.05.2016 - 12:27
fuente
0

Cualquiera puede responder a Alice. Puedo decir que soy Bob, y luego nos comunicaremos de manera segura, Alice me enviará información importante y ella creerá que soy Bob.

Para evitarlo, Bob responde al certificado que le otorgó un CA de confianza, lo que demuestra que realmente es Bob.

    
respondido por el VladGincher 29.05.2016 - 11:50
fuente

Lea otras preguntas en las etiquetas