क्या आप किसी व्यक्ति को संदेश पढ़ने से बीच में रोक सकते हैं?


10

मैंने इन सभी मैन-इन-द-मिडिल अटैक की रोकथाम के बारे में सुना है और मैं सोच रहा हूं, यह कैसे काम कर सकता है यदि बीच का आदमी केवल आपकी स्ट्रीम को सुनता है और संदेश को स्वयं बदलना नहीं चाहता है।

क्या बीच का आदमी विरोधियों द्वारा बदली गई चाबियों को नहीं ले सकता, चाबी बदल सकता है और फिर संदेश को फिर से डिक्रिप्ट और एन्क्रिप्ट कर सकता है?

एक प्रमाण पत्र इसे कैसे रोक सकता है?

संपादित करें:

मैंने सुना है कि सर्टिफिकेट अथॉरिटी आम तौर पर कहती है: "हाँ, यह अन्य महत्वपूर्ण है"। लेकिन मैं कैसे निश्चित हो सकता हूं, कि प्रमाण पत्र के हस्ताक्षर को ठगना नहीं है?

जवाबों:


10

क्या बीच का आदमी विरोधियों द्वारा बदली गई चाबियों को नहीं ले सकता, चाबी बदल सकता है और फिर संदेश को फिर से डिक्रिप्ट और एन्क्रिप्ट कर सकता है?

हा वो कर सकते है।

डीएच का एक प्रमुख विनिमय प्रोटोकॉल ("पाठ्यपुस्तक" संस्करण) ईवीएसड्रॉपिंग के खिलाफ सुरक्षित है (यानी, केवल चैनल पर प्रसारित किया जा रहा है), लेकिन मानव-में-बीच (MITM) हमलों के खिलाफ पूरी तरह से टूट जाता है, जैसा कि आपने कहा है

प्रमाण पत्र एक प्रयास उपाय है, लेकिन एक और समस्या उत्पन्न होती है: आप कैसे सुनिश्चित कर सकते हैं कि दोनों पक्ष सही प्रमाण पत्र प्राप्त करें? स्पष्ट रूप से आप असुरक्षित चैनल पर प्रमाणपत्र नहीं भेज सकते क्योंकि यह फिर से एक MITM हमले के लिए अतिसंवेदनशील है।

समाधान एक विकल्प का अस्तित्व है , (पूरी तरह से) सुरक्षित चैनल । यह या तो व्यक्तिगत रूप से या कुछ वैकल्पिक, विश्वसनीय चैनल (उदाहरण के लिए, टेलीफोन पर, अगर इस पर भरोसा किया जा सकता है) पर अपने प्रमाणपत्रों का आदान-प्रदान करने वाले व्यक्ति में दो दलों की बैठक होगी।

कंप्यूटर नेटवर्क में, वैकल्पिक चैनल आमतौर पर एक सार्वजनिक-कुंजी अवसंरचना (PKI) है। इसका अर्थ है कि आपके ऑपरेटिंग सिस्टम या ब्राउज़र में पूर्व-निर्धारित रूट प्रमाणपत्रों का एक सेट है, जिसमें से अन्य प्रमाणपत्रों पर हस्ताक्षर किए गए हैं (और संभवतः इन्टरमीडिएट प्रमाणपत्रों के रूप में इनका उपयोग करके और भी प्रमाणपत्र )। इसलिए, जब आप किसी वेबसाइट पर जाते हैं, तो यह एक हस्ताक्षरित प्रमाण पत्र प्रस्तुत करता है , जिस पर (पहले से ही भरोसा किए गए) प्रमाणपत्रों का उपयोग करके हस्ताक्षर किए जाते हैं। फिर, इस प्रमाण पत्र का उपयोग करके, एक प्रामाणिक कुंजी विनिमय संभव है (उदाहरण के लिए, साधारण सममित एन्क्रिप्शन के साथ उपयोग करने के लिए एक पंचांग कुंजी पर सहमत होने के लिए)।


तो हम मूल रूप से एक दूसरे चैनल के माध्यम से प्रमाण पत्र का संचार कर रहे हैं, हम सुरक्षित होना जानते हैं?
TVSuchty

हाँ; अन्यथा, एक MITM हमला हमेशा संभव है। पीकेआई के रूप में एक संरचना को "चैनल" के रूप में सोचना थोड़ा जवाबी है, लेकिन विचार इतना दूर नहीं है यदि आप इसे केवल सूचना प्रसारित करने के तरीके के रूप में मानते हैं (इस मामले में, प्रमाण पत्र)।
dkaeae

लेकिन हम चैनल के बारे में बात क्यों नहीं करेंगे, हम पहले स्थान पर सुरक्षित होना जानते हैं?
TVSuchty

1
@TVSuchty आपको कुछ प्रारंभिक विश्वसनीय कुंजी की आवश्यकता है, लेकिन यह केवल जीवनकाल में एक बार संवाद करना होगा। यह कुंजी एक प्रमाणीकरण प्राधिकरण की कुंजी भी हो सकती है, जिसे आप दूसरों के लिए प्रमाण पत्र जारी करने पर भरोसा करते हैं। उदाहरण के लिए, जब आप एक ब्राउज़र स्थापित करते हैं, तो यह कई CA की कुंजी के साथ आता है। जब आप किसी https साइट पर जाते हैं, तो आपको साइट के लिए एक कुंजी मिलती है और एक CA द्वारा प्रमाण पत्र दिया जाता है, जिसमें कहा गया है कि कुंजी सही है, इसलिए आप https को ठीक शुरू कर सकते हैं। लेकिन यह मानता है कि 1) ब्राउज़र में सीए कीज़ सही हैं, और 2) सीए खुद पर भरोसा कर सकते हैं।
चि 0

1
@TVSuchty एक विश्वसनीय कुंजी पर्याप्त है, जब तक यह CA के लिए सार्वजनिक कुंजी है जिस पर आप भरोसा कर सकते हैं। फ़ायरफ़ॉक्स ~ 100 सीए कुंजी का उपयोग करता है ।
चि

5

एक आदमी के बीच में हमले में, आप बॉब से उसकी चाबी मांगते हैं लेकिन ईव संदेश को स्वीकार करता है और आपको इसके बजाय उसकी चाबी भेजता है। वह बॉब से अपनी चाबी मांगती है और फिर आपके और बॉब के बीच संदेश भेजती है, उन्हें डिक्रिप्ट करती है, पढ़ने और / या उन्हें प्रक्रिया में बदलती है।

समस्या यह है कि आप नहीं जानते कि आपके पास वास्तव में बॉब की कुंजी है या नहीं। प्रमाण पत्र इसके चारों ओर मिलते हैं क्योंकि प्रमाणन प्राधिकरण (CA) बॉब को एक डिजिटल हस्ताक्षरित संदेश देता है जिसमें कहा गया है कि "बॉब की कुंजी 12345 है"। आप इस प्रमाणपत्र को सत्यापित कर सकते हैं क्योंकि कई CA नहीं हैं इसलिए आपके ब्राउज़र में केवल मान्य CA कुंजियों की एक सूची है। अब, यदि ईव बॉब के साथ एन्क्रिप्टेड संचार शुरू करने के आपके प्रयास को स्वीकार करता है, तो उसके पास दो विकल्प हैं। यदि वह आपको बताती है कि बॉब की कुंजी 67890 है, तो या तो वह एक प्रमाण पत्र प्रदान नहीं करता है और आप कहते हैं "क्षमा करें, आपको यह साबित करने की आवश्यकता है कि" या वह एक नकली प्रमाण पत्र प्रदान करता है और आप कहते हैं कि "वह प्रमाणपत्र मान्य नहीं है।" वैकल्पिक रूप से, वह आपको बताती है कि बॉब की कुंजी 12345 है और उस का एक वैध प्रमाण पत्र प्रदान करता है, लेकिन यह उसके लिए कोई उपयोग नहीं है क्योंकि यह '


ईव मुझे सिर्फ बोब्स सर्टिफिकेट क्यों नहीं भेज सकता? मेरा मतलब है कि बॉब की कुंजी के साथ क्या खास है ताकि पूर्व संध्या एक समान को दोहरा नहीं सके? मुझे कैसे पता चलेगा कि यह कुंजी प्रमाणित है? मैं प्रमाण पत्र कैसे सत्यापित करूं?
TVSuchty

मैंने आपको बताया कि वह आपको बॉब का प्रमाण पत्र क्यों नहीं भेज सकता (या, इसके बजाय, आपको बॉब का प्रमाण पत्र भेजने से उसकी मदद क्यों नहीं होती)। "समान कुंजी" जैसी कोई चीज नहीं है। आपको पता है कि कुंजी प्रमाणित है क्योंकि आपके पास प्रमाणपत्र है। आप CA की कुंजी का उपयोग करके डिजिटल हस्ताक्षर की पुष्टि करके प्रमाण पत्र की जांच करते हैं।
डेविड रिचीर्बी

@TVSuchty ईव को पहले इसे पढ़ने के लिए मैसेज को डिक्रिप्ट करना चाहिए और फिर इसे ऑन करने के लिए मैसेज को री-एन्क्रिप्ट करना चाहिए। केवल बॉब का निजी हस्ताक्षर प्रमाण पत्र आपको बॉब की तरह एन्क्रिप्ट करने की अनुमति देगा लेकिन MITM हमले के अधीन दुर्भाग्यपूर्ण व्यक्ति को यह साबित करने में सक्षम होना चाहिए कि क्या उनके पास बॉब का प्रमाण पत्र है ताकि यह पता चल सके कि क्या ईव की बजाय आपूर्ति की गई है। यही कारण है कि कुछ सुरक्षित एप्लिकेशन आपको पहली बार एन्क्रिप्शन कुंजी को स्वीकार करने के लिए संकेत देते हैं और हर बार यह बदल जाता है।
विल्ट

1
@TVSuchty एक प्रमाण पत्र मूल रूप से कहता है "मैं एक्स हूं, और आप भरोसा कर सकते हैं कि मैं एक्स हूं क्योंकि वाई ऐसा कहता है"। ईव आसानी से एक प्रमाण पत्र बना सकता है जो कहता है "मैं बॉब हूं, और आप भरोसा कर सकते हैं कि मैं बॉब हूं क्योंकि ईव ऐसा कहता है"। अगर मेरे कंप्यूटर को वह सर्टिफिकेट मिल जाता है तो वह हंसता है। "हव्वा ऐसा कहती है" यह बॉब के प्रमाण पत्र पर विश्वास करने का कोई कारण नहीं है। "क्योंकि Verisign ऐसा कहता है", Verisign का कहना है कि 100 प्रमाण पत्र प्रदाताओं में से एक है जो निर्माता द्वारा आपके कंप्यूटर पर स्थापित किया गया था, यह विश्वास करने का एक कारण है। लेकिन ईव इस तरह के एक प्रमाण पत्र नहीं बना सकते।
gnasher729

"क्यों ईव मुझे भेज सकते हैं बॉब का प्रमाण पत्र:" ईव या तो बॉब का प्रमाण पत्र बनाने की कोशिश कर सकता है, या चोरी कर सकता है। शायद बॉब के प्रमाण पत्र की एक प्रति सौंपने के लिए बॉब के कर्मचारियों में से एक को रिश्वत देने के लिए एक मिलियन डॉलर पर्याप्त है। बॉब को यह सुनिश्चित करना होगा कि प्रमाणपत्र चोरी करना मुश्किल है। यदि चोरी हुई है, तो एक प्रमाणपत्र निरस्त किया जा सकता है और अब स्वीकार नहीं किया जाएगा। प्रमाणपत्र अब कहेगा "यह बॉब का एक वास्तविक प्रमाण पत्र है, लेकिन यह चोरी की सूचना दी गई थी, इसलिए इस पर भरोसा न करें"।
gnasher729 20
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.