ฉันได้รับแจ้งว่า TLS 1.3 รองรับเฉพาะโครงร่างการเข้ารหัสที่ไม่ยืนยันตัวตนเท่านั้น รูปแบบการเข้ารหัสแบบไม่ผูกมัดที่รับรองความถูกต้องคืออะไร? อะไรคือความแตกต่างระหว่างโครงร่างการเข้ารหัสที่ยืนยันตัวตนและไม่ผูกมัดที่ยืนยันตัวตน? ข้อดีข้อเสียคืออะไร?
รูปแบบการเข้ารหัสที่รับรองความถูกต้องที่ยอมรับคือรูปแบบการเข้ารหัสที่สามารถสร้างข้อความเข้ารหัสและแท็กโดยคีย์เฉพาะเดียวเท่านั้น รูปแบบการเข้ารหัสแบบไม่ผูกมัดที่รับรองความถูกต้องคือรูปแบบหนึ่งที่ผู้โจมตีอาจสร้างชุดรหัสรหัส / แท็กที่ถูกต้องโดยใช้คีย์อื่น
แน่นอนว่าปัญหาสำหรับผู้โจมตีคือพวกเขาจะไม่รู้ว่าชุดค่าผสมเฉพาะนั้นถูกต้อง a-priori หรือไม่ หากไม่เป็นเช่นนั้น ผู้โจมตีสามารถเปิดการโจมตีแบบคนอยู่ตรงกลางได้
โดยหลักการแล้ว แผนการผูกมัดมีความปลอดภัยมากกว่า เนื่องจากคุณสามารถพิสูจน์ได้ว่าข้อความนั้นถูกสร้างขึ้นโดยฝ่ายที่ถูกต้อง
แน่นอนว่าสิ่งนี้อาจได้ผลในทางอื่นด้วย เพราะมันหมายความว่าไม่มีการปฏิเสธที่สมเหตุสมผลเช่นกัน นี่เป็นปัญหาน้อยกว่าเมื่อใช้รหัสลับแบบสมมาตร เนื่องจากคุณสามารถเชื่อมโยงข้อความรหัสไปยังเอนทิตีเฉพาะได้หากคุณมีรหัสลับ
TLS เป็นโปรโตคอลที่ทั้งสองฝ่ายกำหนดคีย์ไว้ล่วงหน้า ดังนั้นจึงไม่ได้รับผลกระทบโดยตรงจากรหัสที่กระทำหรือไม่ ผู้โจมตีไม่ควรเปลี่ยนข้อความที่มีอยู่หรือส่งข้อความอื่นที่ถูกต้องโดยใช้คีย์ผิด
สำหรับข้อมูลเพิ่มเติม เข้าใจง่าย นี่คือชุดสไลด์ที่ดี สร้างโดย Paul Grubbs สำหรับการประชุมในเดือนพฤศจิกายน 2019
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
