Điểm:0

Tránh tấn công MITM trong ECDH mà không cần HTTPS hoặc Cơ quan cấp chứng chỉ bên thứ ba

lá cờ cn

Bối cảnh của tôi: Tôi có giao thức ECHD, mối quan tâm chính của tôi là tấn công MITM, không thành vấn đề nếu bạn thực hiện HMAC hoặc bất kỳ điều gì khác trong tương lai để ký yêu cầu nếu trao đổi khóa của bạn bị xâm phạm,

Khác xa với https và cơ quan cấp chứng chỉ của bên thứ ba, có thể bảo vệ kênh này không, có tính đến (giả sử https không an toàn và chúng tôi không có cơ quan cấp chứng chỉ) khỏi các cuộc tấn công MITM không?

Những gì tôi có trong tâm trí: Thực hiện ECDSA, với "muối" hoặc "hạt tiêu" được mã hóa cứng có trong thiết bị di động và phụ trợ, về cơ bản không bao giờ được chia sẻ trong kênh "Thù địch" thông qua mạng:

Di động: ECDSA(tin nhắn+muối/tiêu) -> Gửi đến phụ trợ bằng khóa công khai Phụ trợ: (dữ liệu đến + muối/tiêu) _> Xác minh chữ ký bằng khóa công khai của thiết bị di động

Quá trình này có hai mặt (Chúng tôi sẽ làm tương tự khi nhận được phản hồi của dịch vụ)

Đây là một cách tiếp cận khiêm tốn, chúng tôi làm việc trong ngành tài chính và chúng tôi đang tìm cách tăng cường bảo mật trong trường hợp xấu nhất; tôi biết rằng trong hầu hết các trường hợp, dữ liệu/khóa/muối được mã hóa cứng và không xoay vòng không phải là một ý tưởng hay; phản hồi từ các chuyên gia, trong bối cảnh này là vô giá, làm thế nào bạn bảo vệ kênh này mà không có https hoặc cơ quan cấp chứng chỉ? tất nhiên, có thể là không thể, nhưng có thể không, tôi nghe thấy bạn và cảm ơn trước!

knaccc avatar
lá cờ es
Điều dễ dàng và an toàn nhất cần làm là sử dụng TLS với chứng chỉ CA tự ký của riêng bạn mà bạn cài đặt vào các cửa hàng ủy thác trên mỗi khách hàng. Nếu bạn đang phát minh lại bánh xe, thì bạn có thể đạt được điều tương tự bằng cách mã hóa cứng khóa công khai của máy chủ vào máy khách, sau đó chỉ cần yêu cầu máy chủ ký khóa công khai ECDH tạm thời của nó bằng khóa chung của máy chủ được mã hóa cứng để không có một cuộc tấn công MITM. Tôi giả định rằng máy khách cũng sẽ được xác thực với máy chủ bằng mật khẩu hoặc một số cơ chế khác sau khi phiên được thiết lập.
Freddy Maldonado Pereyra avatar
lá cờ cn
vâng, cách chúng tôi xác thực kết nối là bằng tiêu đề http, gửi khóa api và người dùng api mà chúng tôi đã cung cấp trước đó; chúng tôi sẽ sử dụng CA tự ký tls, cảm ơn bạn đã phản hồi!! @knaccc

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.