บรรจวบ เข้าสู่ระบบ
Score:1
avatar Crypto

ข้อความ PGP เสี่ยงต่อการถูกโจมตีจากคนกลางหรือไม่?

ธง pl
Lee

สมมติว่าอลิซต้องการส่งข้อความที่เข้ารหัส PGP ถึงบ๊อบ
เธอสร้างคีย์สมมาตร เข้ารหัสด้วยคีย์สาธารณะของ Bob และส่งทั้งข้อความและคีย์สมมาตรที่เข้ารหัสไปให้ Bob จากนั้น Bob ก็สามารถถอดรหัสข้อความของเธอได้
แต่จะเป็นอย่างไรหากผู้โจมตี MiTM แก้ไขทั้งคีย์สมมาตรที่เข้ารหัสและข้อความ แล้วส่งไปให้ Bob
ผู้โจมตีไม่สามารถแก้ไขข้อความต้นฉบับได้หรือไม่ ฉันเข้าใจอะไรผิดหรือเปล่า?

110
0 + 0
kelalaka avatar
in flag
kelalaka
ใบรับรองดิจิทัล? หรือรับรหัสสาธารณะ?
0
ตอบกลับ
pl flag
Lee
รหัสสาธารณะของ @kelalaka Bob เป็นแบบสาธารณะสำหรับทุกคน ดังนั้นผู้โจมตีจึงสามารถใช้รหัสดังกล่าวได้เช่นกัน คุณเกี่ยวข้องกับใบรับรองดิจิทัลอย่างไร
0
ตอบกลับ
kelalaka avatar
in flag
kelalaka
คุณลืมลงนามในข้อความหรือไม่? https://web.archive.org/web/20080702073337/http://www.pgpi.org/doc/pgpintro/
0
ตอบกลับ
pl flag
Lee
@kelalaka คุณลงนามในข้อความ แต่ผู้โจมตีสามารถลงนามในข้อความของตนเองได้ แต่ผู้รับจะสามารถถอดรหัสข้อความของผู้โจมตีได้ (เนื่องจากได้รับการเข้ารหัสด้วยรหัสสาธารณะของผู้รับ)
0
ตอบกลับ
kelalaka avatar
in flag
kelalaka
เมื่อคุณตรวจสอบลายเซ็นของข้อความ คุณจะเห็นอะไร? คุณรู้หรือไม่ว่าลายเซ็นดิจิทัลคืออะไร? ต้องใช้รหัสส่วนตัวของเจ้าของเพื่อลงนามและรหัสสาธารณะเพื่อตรวจสอบ เมื่อคุณได้รับข้อความจาก Bob ให้คุณตรวจสอบการมีอยู่ของ Public Key ของ Bob หรือรับจากไดเร็กทอรีที่เชื่อถือได้ ,, หากลายเซ็นไม่ได้รับการตรวจสอบด้วยรหัสสาธารณะของ Bob แสดงว่าไฟล์นั้นเสียหายหรือมีคนพยายามปลอมแปลง...
1
ตอบกลับ
kr flag
mentallurg
@Lior: *แต่ผู้โจมตียังสามารถลงชื่อในข้อความของตนเองได้* - ไม่ ผู้โจมตี **ไม่สามารถ** ลงชื่อได้ เนื่องจากไม่มีคีย์ส่วนตัวของอลิซ หากผู้โจมตีเซ็นชื่อด้วยรหัสของตัวเอง Bob จะเห็นว่าลายเซ็นนั้นไม่ใช่ของ Alice
0
ตอบกลับ
Score:1
Maarten Bodewes avatar Crypto
ธง in
Maarten Bodewes

เหตุผลที่เป็นไปไม่ได้ก็อย่างที่คนอื่นๆ กล่าวไว้ ข้อความที่เซ็นชื่อไม่สามารถปลอมแปลงได้ แน่นอน ผู้โจมตีสามารถลงนามในข้อความใดๆ ก็ได้ แต่ต้องใช้คีย์ส่วนตัวที่เป็นของคีย์สาธารณะ/ใบรับรองของตนเท่านั้น

สิ่งที่เกิดขึ้นคือ:

  1. อลิซลงนามในข้อความด้วยคีย์ส่วนตัวของเธอ โดยระบุคีย์สาธารณะ / ใบรับรองของเธอ
  2. อลิซเข้ารหัสข้อความที่เซ็นชื่อด้วยคีย์สาธารณะของ Bob (เนื่องจาก PGP ใช้ sign-then-encrypt)
  3. Bob ได้รับข้อความและถอดรหัสโดยใช้คีย์ส่วนตัวของเขา
  4. Bob ได้รับ ID คีย์ของ Alice และค้นหาคีย์สาธารณะ / ใบรับรองของเธอ โดยพบว่าเป็นของเธอ
  5. Bob ยืนยันว่าลายเซ็นใต้ข้อความนั้นเป็นของ Alice

ตอนนี้ Malory (MitM ที่ใช้ชื่อปกติ) สามารถส่งข้อความเข้ารหัสถึง Bob ได้อย่างชัดเจน แต่เธอไม่สามารถถอดรหัสข้อความของ Alice ได้ เนื่องจากเธอไม่มีรหัสส่วนตัวของ Bob

เกี่ยวกับการสร้างลายเซ็น: Malory สามารถใส่ลายเซ็นของเธอเองและเปลี่ยน ID ได้ แต่ข้อความนั้นจะไม่มาจากอลิซ

แน่นอนว่าสิ่งนี้จำเป็นต้องให้รหัสสาธารณะ/ใบรับรองของอลิซเป็นที่รู้จักและไว้วางใจล่วงหน้าโดย Bob มิฉะนั้น Malory สามารถสร้างคู่กุญแจและส่งรหัสสาธารณะ/ใบรับรองไปยัง Bob โดยแอบอ้างเป็นอลิซ ด้วย PGP ที่สร้างความไว้วางใจโดยใช้เว็บแห่งความไว้วางใจ

เนื่องจากเว็บแห่งความไว้วางใจนั้นไม่เคยมีความปลอดภัยเพียงพอสำหรับ PGP จึงขอแนะนำอย่างยิ่งให้สร้างความไว้วางใจโดยตรง เช่น โดยส่งใบรับรองทางไปรษณีย์แล้วตรวจสอบลายนิ้วมือที่สำคัญทางโทรศัพท์ PGP ได้รับการออกแบบโดยคำนึงถึงสิ่งนี้ (เช่น การสร้างระบบตรวจสอบลายนิ้วมือที่ง่าย และต้องการให้คีย์สาธารณะ/ใบรับรองที่เชื่อถือได้อย่างชัดเจนภายในที่เก็บที่เชื่อถือได้)

0 + 0
Maarten Bodewes avatar
in flag
Maarten Bodewes
ระวังว่า PGP เป็นโปรโตคอลเก่า การโจมตีที่มีอยู่และโปรโตคอลที่ใหม่กว่าอาจให้ความปลอดภัยที่ดีกว่า
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา