Как сертификат избегает человека в средней атаке?

Question

У меня есть еще один вопрос в безопасности в Интернете. Если я пойму это правильно, сертификаты предназначены для идентификации того, кто вы на самом деле. Таким образом, человек в средней атаке невозможен. Но когда я вижу это изображение:

http://upload.wikimedia.org/wikipedia/commons/thumb/2/2b/digital_signature_diagram.svg/800px-digital_signature_diagram.svg.png.

Я думаю, что человек в средней атаке возможен. Вы можете разделить подпись, сертификат от данных. Сделайте свою собственную подпись с помощью поддельных данных и отправляйте поддельные данные с поддельной подписью (но правым сертификатом) на сервер / клиент.

То, что я также не понимаю на этой картине, это то, где сертификат проверяется, на стороне проверки.

Благодарю.

Сосредоточенность

Answer 1

Сделайте свою собственную подпись с помощью поддельных данных и отправляйте поддельные данные с поддельной подписью (но правым сертификатом) на сервер / клиент.

Проблема в том, что приемник сможет посмотреть на поддельную подпись и увидеть, что она не соответствует сертификату настоящего отправителя.

Вы можете создавать только подписи, которые соответствуют данному сертификату, когда у вас есть правильный закрытый ключ для этого сертификата (даже если сам сертификат является общественным, то есть магия асимметричной криптографии). Этот закрытый ключ хранится в секрете владельцем сертификата (оригинал отправителя сообщения).

Человек-в-середине предотвращается путем распространения доверенных сертификатов заранее. Вы должны доверять подлинности сертификатов, либо доверяя им напрямую (корневые сертификаты), либо доверив цепочку подписей на сертификате, ведущую к тому, что вы доверяете.

Если человек в середине может заставить вас поверить, что его поддельный сертификат является реальной сделкой, то вся система не удалась.