Score:0

ทำความเข้าใจกับ MITM ในตัวอย่างโปรโตคอลการตรวจสอบสิทธิ์

ธง de

ลองนึกภาพว่าเรามีโปรโตคอลดังนี้:
B -> A: ร
A -> B: {ร,ข}เค

เป้าหมาย: ตรวจสอบสิทธิ์ A ถึง B
K: รหัสที่ใช้ร่วมกันระหว่าง A และ B
{}เค: เข้ารหัสโดย K

หลังจากได้รับ{ร, ข}เค โดย B, B สามารถพิสูจน์ตัวตนของ A ได้ แต่ถ้าเรามีบางอย่างเช่น:
A -> C: {ร,ข}เค
C -> B: {ร,ข}เค
ดังนั้นในกรณีนี้ B จะรับรองความถูกต้องของ C แทน A ใช่ไหม

Score:1
ธง ng

ในตัวอย่างคำถาม C ทำหน้าที่เป็นคนกลาง (MitM) โดยเลียนแบบ B ด้วยความเคารพ A (ในระดับการสื่อสาร) เมื่อได้รับ {R,ข}เคและปลอมตัวเป็น A ด้วยความเคารพ B (ในทำนองเดียวกัน) เมื่อส่ง {R,ข}เค. มาตรการที่ไม่ได้อธิบายไว้ B จะยอมรับข้อความ {R,ข}เค ส่งโดย C ราวกับว่ามาจาก A โดยตรง

ความเป็นไปได้ดังกล่าวของ MitM เป็นสมมติฐานมาตรฐานในการเข้ารหัสและการออกแบบโปรโตคอล เนื่องจากมีความเป็นไปได้ทางกายภาพในวิธีการสื่อสารส่วนใหญ่ที่ใช้กันในปัจจุบัน เช่น สายไฟ ใยแก้วนำแสง วิทยุ (รวมถึงดาวเทียม)

การที่ "B จะรับรองความถูกต้องของ C แทน A" นั้นขึ้นอยู่กับแบบแผนและบริบทหรือไม่ ซึ่งสิ่งเหล่านี้จะแตกต่างกันไป

หากไม่มีการโจมตีอื่น ๆ โปรโตคอลรับรองว่า A เข้าร่วมในการแลกเปลี่ยนและฉันจะไม่พูดว่าคุณสมบัติการตรวจสอบความถูกต้องของโปรโตคอลที่ จำกัด เฉพาะสิ่งที่อธิบายไว้ในคำถาม² ใช้งานไม่ได้หรือไร้ประโยชน์ ตัวอย่างเช่น หาก A เป็นรีโมตคอนโทรลสำหรับอุปกรณ์ B แสดงว่ารีโมตเกี่ยวข้องภายในช่วงเวลาระหว่างการสร้าง R และรับ{ร,ข}เค. ถ้า B ต่อไปตรวจสอบว่าช่วงเวลานี้มีค่ามากที่สุด $t$แล้ว B ก็มีประกัน A อยู่ในระยะ $t\,c/2$, ที่ไหน $ค$ คือความเร็วแสง


¹ การโจมตีเป็นไปได้หรือไม่ขึ้นอยู่กับคุณสมบัติของการเข้ารหัสที่ใช้ และบุคคลที่มีความรู้เรื่องคีย์ K (รวมถึง A และ B) ใช้มันนอกเหนือจากที่อธิบายไว้ในคำถามอย่างไร

² สิ่งต่าง ๆ จะแตกต่างไปจากเดิมอย่างสิ้นเชิงหากคำถามลงท้ายด้วย: การรับรองความถูกต้องของ A, B จะดำเนินการสื่อสาร

Score:0
ธง de

ปัญหาหลักในคำถามนี้คือการเข้าใจการรับรองความถูกต้องอย่างถูกต้อง
หาก B ต้องการรับรองความถูกต้องของ A หมายความว่า B จะต้องได้รับหลักฐานที่เพียงพอเกี่ยวกับการตรวจสอบข้อความและการรับรองความถูกต้องของเอนทิตีจาก A

A -> C: {RB,B}เค
C -> B: {RB,B}K 

ในรูปแบบนี้ ในแง่หนึ่ง C ทำตัวเหมือนสาย และในทางกลับกัน B ได้รับหลักฐานเพียงพอในการตรวจสอบข้อความและการรับรองความถูกต้องของเอนทิตีจาก A

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา