¿Dónde se usan los certificados para demostrar la identidad y por qué DNS no es responsable del trabajo?

0

He estado leyendo acerca de cómo se utilizan los certificados para verificar el propietario de una clave pública en cifrado asimétrico. En este momento, todo me parece realmente teórico y me gustaría saber cómo funciona esto en la práctica. Por ejemplo, ¿los sitios en los que inicia sesión, como Facebook (o este) utilizan cifrado asimétrico?

Lo que no entiendo es esto: el certificado afirma, por ejemplo, Facebook es quien dice ser, y una vez verificada, se puede extraer de ella la clave pública. ¿No es esto más del rol del servidor DNS? Un usuario escribe facebook.com y el servidor DNS es responsable de saber que facebook.com se resuelve, por ejemplo. 1.2.3.4 ?

Algunas conexiones no usan el servidor DNS, puedes decir. Por ejemplo, un cliente de correo puede estar configurado para conectarse a una dirección IP particular. No hay problema. Entonces ya deberías saber que la dirección IP es la correcta: si no es así, es como decir que enviaste un paquete a la dirección equivocada pero te molesta que la haya recibido la persona incorrecta.

La última pregunta, ¿son las claves públicas generalmente no proporcionadas por el propio propietario y en realidad la autoridad de certificación? hasta aquí la clave pública se extrae del certificado)? Por ejemplo, cuando me conecto a Facebook es su clave pública que me ha dado DigiCert Inc, ¿no es realmente Facebook?

    
pregunta Celeritas 19.10.2015 - 06:50
fuente

2 respuestas

1
  

¿Los sitios en los que inicias sesión, como Facebook (o este) usan cifrado asimétrico?

Sí. Ambos en realidad TLS regular utiliza tanto el cifrado asimétrico (para la parte del certificado y para negociar una clave de cifrado masivo) como un criptografía simétrica (para la parte del cifrado masivo). Esta combinación es para la velocidad, porque el cripto simétrico habitual aquí es aproximadamente 100 veces más rápido que la parte asimétrica.

Esta combinación se conoce como Cryptosystem híbrido .

  

¿No es esto más del rollo del servidor DNS?

Sí y no. Si bien puede hacerlo de esta manera, y si bien hay intentos de almacenar (o al menos marcar) claves criptográficas válidas directamente en el DNS, esta no es (al menos en este momento) la forma habitual de hacerlo.

¿Qué significa eso? Una de las varias formas en que una CA puede verificar la validez de su reclamación a un nombre de dominio en particular es enviándole un correo electrónico a la cuenta admin@ de su dominio.

Y si alguien logra insertarse entre la CA y su servidor DNS en ese momento preciso, puede engañar a la CA. Entonces, si alguien ha secuestrado esos cables (por ejemplo, empleado sobornado, por ejemplo, programa de explotación del enrutador QUANTUM ), la CA puede ser engañado para emitirles un certificado.

Si ese actor malintencionado utiliza luego el mismo truco del hombre en el medio cuando una persona normal visita el sitio con el certificado robado / perdido, obtendrán el candado verde y no se darán cuenta. (A menos que los operadores del sitio hayan puesto especial cuidado en ello. Por ejemplo, cargando previamente ciertos navegadores con certificados de sitios que se consideran buenos).

  

¿las claves públicas generalmente no son proporcionadas por el propietario y, en realidad, por la autoridad de certificación (ya que [según aquí] [1] la clave pública se extrae del certificado)? Por ejemplo, cuando me conecto a Facebook es su clave pública que me ha dado DigiCert Inc, ¿no es realmente Facebook?

No. Si bien algunas CA ofrecen esto como un servicio de conveniencia / no se requiere técnicamente que conozcan tanto la parte pública como la parte privada del par pubkey / privkey. (Y corrí gritando desde una CA que hizo tal oferta).

En su lugar, les envía la clave de publicación y les pide que firmen (y saben ) solo eso.

    
respondido por el StackzOfZtuff 19.10.2015 - 09:22
fuente
0

Incluso si obtiene la dirección IP correcta del servidor DNS, no puede estar seguro de que nadie esté escuchando a menos que vea un certificado válido. Podría estar usando un proxy que puede no ser confiable. O, en una red local, un atacante podría usar el envenenamiento ARP para posicionarse en el medio de su conexión y usted no sabría nada.

Otro ejemplo: es una práctica estándar en muchas compañías restringir el acceso web para los empleados, filtrando sitios maliciosos y / o sitios no relevantes (como facebook o pornografía). Algunos proveedores de wifi gratuitos también bloquean los sitios que consideran malos (porno, warez, etc.). O está utilizando el wifi de su amigo experto en tecnología que tiene un pequeño problema con el respeto a la privacidad.

Incluso si obtiene la IP correcta del sitio que desea visitar, el propietario de la red aún puede ver lo que está haciendo y modificar su tráfico a menos que esté cifrado. Y para asegurarse de que los datos hayan sido cifrados por quien usted cree, necesita certificados.

    
respondido por el Volker 22.10.2015 - 09:40
fuente