MITM durante el cambio legítimo de clave / huella digital

5

Se produjo un cambio de clave / huella digital en el servidor de un amigo al que tengo acceso. Así que le escribí un mensaje y le pregunté: "¿Cambió los certificados?" a lo que responde "si".

Mi primer pensamiento es actualizar mi huella digital local, pero luego se me ocurrió: ¿qué sucede si alguien hace un ataque MITM simultáneamente cuando mi amigo ha hecho este cambio legítimo?

¿Cómo procedo para asegurarme de que no me engañen?

PS! En este caso particular, mi amigo pasó de un certificado autofirmado a usar Let's Encrypt, pero las respuestas deben reflejar cualquier situación que involucre un cambio de huella digital.

    
pregunta forthrin 24.07.2017 - 15:52
fuente

2 respuestas

3

Llamemos a tu amigo Bob .

Bob ha actualizado su certificado, pero como nunca lo has visto antes, estás preocupado de que Eve esté en el medio. Usted ha hecho lo correcto al contactarlo para verificar su observación, pero todavía no hay una forma automática de confirmar la nueva clave. ¿Supongo que no está utilizando ninguna autoridad de firma y confía explícitamente en el certificado específico en el final de Bob?

Ya confías en él para confirmar los cambios clave sobre el texto, así que simplemente enviar la huella dactilar sobre otro texto haría el truco.

Esencialmente, necesita usar algún método fuera de banda para confirmar la nueva clave (por ejemplo, reunirse con él en persona), o encontrar una manera de entregar la clave sobre otro canal de confianza establecido, por ejemplo. correo electrónico firmado, PGP firmado, Texto / WhatsApp, colocándolo en un sitio web que usted sepa que solo él controla, etc.

Esta es la razón por la que una Autoridad de certificación es tan útil: es la raíz de su confianza en el sistema remoto. Si confía en Let's Encrypt (que debería ser por defecto, ya que su certificado es emitido por otra CA raíz de confianza en la mayoría de los navegadores / sistemas operativos), este problema desaparece.

    
respondido por el Liam Dennehy 24.07.2017 - 17:29
fuente
2
  

¿Cómo procedo para asegurarme de que no me engañen?

Su amigo no debería responderle "Sí", pero "Sí, la nueva huella digital SHA-256 es ...". En ese caso, puede eliminar la clave anterior y verificar manualmente la nueva clave de host.

    
respondido por el Jakuje 24.07.2017 - 20:20
fuente

Lea otras preguntas en las etiquetas