El hombre en la teoría del ataque central [duplicar]

Navega tus respuestas
7

Mi colega y yo estamos tratando de encontrar una manera de evitar a un hombre teórico en el ataque central.

El escenario es:

La comunicación es solo a través de un canal y ambas partes no están conscientes de lo que se va a decir.

Alice y Bob quieren comunicarse entre ellos.

Eva es el "hombre en el medio". Toda la comunicación desde el principio pasa por ella primero.

Si Alice publica su clave pública, Eve puede interceptarla y enviar su propia clave pública a Bob. Cuando Eve intercepta un mensaje de Bob, ella usa su clave privada y descifra el mensaje, hace lo que quiere con él y lo cifra con la clave pública de Alice y se lo envía a Alice.

Como Eve ha interceptado el primer mensaje y las dos partes desconocidas no han intercambiado ninguna clave o certificado, ¿hay alguna forma de que puedan comunicarse sin que Eve lea los mensajes?

No puedo ver ninguna forma concebible, ya que Eve ha interceptado la clave pública de Alice en primer lugar, por lo que Bob no tiene una forma genuina de verificar si el mensaje es de Alice.

    
pregunta Softey 25.05.2015 - 15:55
fuente

2 respuestas

8
  

[...] ¿hay alguna forma de que puedan comunicarse sin que Eve lea los mensajes?

No. Contra un ataque activo de Man in the Middle (adversario activo tradicionalmente llamado "Mallory") como este, no tienes suerte.

En contra de un MITM puramente pasivo (escuchas pasivas, tradicionalmente llamado "Eve"), esto hubiera funcionado.

    
respondido por el StackzOfZtuff 25.05.2015 - 16:39
fuente
10

El caso presentado es el mejor ejemplo de por qué un certificado autofirmado casi no proporciona seguridad: puede cifrar los datos pero es imposible autenticarlos. Cualquiera puede crear cualquier certificado con el nombre de cualquier cosa y hacer que cifre los datos.

Por eso hay cadenas de certificación en HTTPS y firma de claves en claves PGP, por ejemplo.

En este caso, Alice y Bob no pueden asegurarse de que estén hablando entre ellos. Si ambos conocen a un cierto John confiable y John firma sus claves, Bob y Alice pueden estar seguros de que la clave es válida.

    
respondido por el ThoriumBR 25.05.2015 - 16:33
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son las convenciones de nomenclatura aceptadas para los términos "claves públicas / privadas" y "certificados"? ¿Bloquea una computadora usando olas o técnicas similares?