Как сертификат избегает человека в средней атаке?
-
30-09-2019 - |
Вопрос
У меня есть еще один вопрос в безопасности в Интернете. Если я пойму это правильно, сертификаты предназначены для идентификации того, кто вы на самом деле. Таким образом, человек в средней атаке невозможен. Но когда я вижу это изображение:
Я думаю, что человек в средней атаке возможен. Вы можете разделить подпись, сертификат от данных. Сделайте свою собственную подпись с помощью поддельных данных и отправляйте поддельные данные с поддельной подписью (но правым сертификатом) на сервер / клиент.
То, что я также не понимаю на этой картине, это то, где сертификат проверяется, на стороне проверки.
Благодарю.
Сосредоточенность
Решение
Сделайте свою собственную подпись с помощью поддельных данных и отправляйте поддельные данные с поддельной подписью (но правым сертификатом) на сервер / клиент.
Проблема в том, что приемник сможет посмотреть на поддельную подпись и увидеть, что она не соответствует сертификату настоящего отправителя.
Вы можете создавать только подписи, которые соответствуют данному сертификату, когда у вас есть правильный закрытый ключ для этого сертификата (даже если сам сертификат является общественным, то есть магия асимметричной криптографии). Этот закрытый ключ хранится в секрете владельцем сертификата (оригинал отправителя сообщения).
Человек-в-середине предотвращается путем распространения доверенных сертификатов заранее. Вы должны доверять подлинности сертификатов, либо доверяя им напрямую (корневые сертификаты), либо доверив цепочку подписей на сертификате, ведущую к тому, что вы доверяете.
Если человек в середине может заставить вас поверить, что его поддельный сертификат является реальной сделкой, то вся система не удалась.