Come certificato di evitare l'attacco man in the middle?

Question

Ho un'altra domanda per la sicurezza nel web. Se ho ben capito i certificati sono per identificare chi sei veramente. Così l'attacco man in the middle non è possibile. Ma quando vedo questa immagine:

http: // upload.wikimedia.org/wikipedia/commons/thumb/2/2b/Digital_Signature_diagram.svg/800px-Digital_Signature_diagram.svg.png

Credo che un uomo in mezzo l'attacco è possibile. Si potrebbe dividere la firma, il certificato dai dati. Fai la tua firma con i tuoi dati falsi e inviare i dati falsi con la firma falsa (ma il certificato di destra) al server / client.

Quello che non capisco anche in questa foto è dove il certificato viene selezionata, sul lato di verifica.

Grazie.

SCBoy

Answer 1

  

Fai la tua firma con i tuoi dati falsi e inviare i dati falsi con la firma falsa (ma il certificato di destra) al server / client.

Il problema è che il ricevitore poi guardare la firma falsa e vedere che non corrisponde al certificato del vero mittente.

È possibile creare solo le firme che corrispondono a un determinato certificato quando si ha la chiave privata corretta per tale certificato (anche se il certificato stesso è pubblico, che è la magia di crittografia asimmetrica). Questa chiave privata viene tenuta segreta da parte del proprietario del certificato (il mittente originale del messaggio).

Il man-in-the-middle è impedito distribuendo certificati attendibili in anticipo. Devi avere fiducia l'autenticità dei certificati, sia affidandosi direttamente (certificati root) o affidandosi una catena di firme sul certificato che porta a uno che ti fidi.

Se l'uomo nel mezzo può farvi credere che il suo certificato falso è il vero affare, allora l'intero sistema non riesce.