百科问答小站 logo
百科问答小站 font logo



HTTPS体系中若攻击者将自己公钥上传CA得到签名,并将两者一起用于篡改证书的中间人攻击会怎样? 第1页

  

user avatar   Gh0u1L5 网友的相关建议: 
      

谢邀,首先我得纠正一下你的说法。当CA签名的时候,它不是只对公钥签名的,而是会对整张数字证书签名。所以一张完整的数字证书你不可能只换签名,这样通不过完整性校验,要换只能把整张证书换掉。

所以这个问题的正确表述应该是:

比如A和B通信,B的公钥和数字证书被O截取。而O原先已将自己的公钥上传CA,并得到了CA签发的一张等效的数字证书。于是O将B的公钥和证书一起替换成O的公钥和O的证书,再发给A。A能够识别自己正在遭受中间人攻击吗?

好,如果你想问的问题是这个的话,那么一句话总结:用户没有任何办法判断自己是不是正在遭受攻击,而且这样的攻击已经大规模发生过最少两次了。这两次攻击一次是印度政府发动的,一次是中国政府发动的,都在相关机构手里留下了确凿的证据,之后涉案的CA都被开除了Root CA资格。

当然,我个人怀疑美国国安局可能也没少玩类似的把戏,但是既然人家没有漏出马脚,那我也不好意思多说什么。

除此之外,我记得零几年还发生过这么一件事:某男子通过社会工程学手段伪装成微软的法人代表,然后诈骗到了一张CA签发的微软证书。但是我现在搜不到那条新闻了,有人记得的话麻烦在评论区贴一下资料。

总而言之,这个问题完全依赖于CA的安全措施做得够不够周到。而CA毕竟也只是一个商业机构,不是什么科技领先人类文明三五百年的神奇仙境,该出安全问题还是照样出安全问题,该屈服于强权还是屈服于强权,不要对它们盲目信任。


我记得斯诺登泄露过NSA如何窃听Yahoo和Google的网络流量来着,刚才翻出来仔细看了一眼,发现NSA玩得高端多了,是直接在CDN里面做手脚,根本不需要CA的配合,中印两国在这方面还是嫩了点啊。

NSA的手段就跟原题不搭了,暂时先跳了吧,哪天看到了相关问题我再写一下。


user avatar   Ivony 网友的相关建议: 
      

CA当然有审核的责任,要不然凭什么收钱,大家又凭什么信任这个CA。




  

相关话题

  有什么可以快速心算解码但是又较为安全的解码方案? 
  FATE联邦学习框架中基于RSA的PSI(隐私集合交)真的比RAW(只基于哈希)的版本更安全吗? 
  黑客为什么不攻击支付宝? 
  八年抗战时,中国有密码学家去破解日本加密的电报? 有没有攻破purple machine? 
  hook是钓子的意思,它和钓鱼网站有关系吗? 
  怀疑被女朋友公安系统内部的朋友监控,怎么办? 
  不用 https 自己实现对 http请求的内容的 rsa 加密,这样足够安全吗? 
  为什么机器学习解决网络安全问题总是失败? 
  为什么印章的安全性极低,但仍然是许多单位的唯一凭证? 
  HTTPS体系中若攻击者将自己公钥上传CA得到签名,并将两者一起用于篡改证书的中间人攻击会怎样? 

前一个讨论
如果C#开放了值类型的继承,会有什么问题发生?
下一个讨论
C#泛型(MSIL)的内部是怎么实现的?





© 2024-12-22 - tinynew.org. All Rights Reserved.
© 2024-12-22 - tinynew.org. 保留所有权利