百科问答小站 logo
百科问答小站 font logo



HTTPS体系中若攻击者将自己公钥上传CA得到签名,并将两者一起用于篡改证书的中间人攻击会怎样? 第1页

  

user avatar   Gh0u1L5 网友的相关建议: 
      

谢邀,首先我得纠正一下你的说法。当CA签名的时候,它不是只对公钥签名的,而是会对整张数字证书签名。所以一张完整的数字证书你不可能只换签名,这样通不过完整性校验,要换只能把整张证书换掉。

所以这个问题的正确表述应该是:

比如A和B通信,B的公钥和数字证书被O截取。而O原先已将自己的公钥上传CA,并得到了CA签发的一张等效的数字证书。于是O将B的公钥和证书一起替换成O的公钥和O的证书,再发给A。A能够识别自己正在遭受中间人攻击吗?

好,如果你想问的问题是这个的话,那么一句话总结:用户没有任何办法判断自己是不是正在遭受攻击,而且这样的攻击已经大规模发生过最少两次了。这两次攻击一次是印度政府发动的,一次是中国政府发动的,都在相关机构手里留下了确凿的证据,之后涉案的CA都被开除了Root CA资格。

当然,我个人怀疑美国国安局可能也没少玩类似的把戏,但是既然人家没有漏出马脚,那我也不好意思多说什么。

除此之外,我记得零几年还发生过这么一件事:某男子通过社会工程学手段伪装成微软的法人代表,然后诈骗到了一张CA签发的微软证书。但是我现在搜不到那条新闻了,有人记得的话麻烦在评论区贴一下资料。

总而言之,这个问题完全依赖于CA的安全措施做得够不够周到。而CA毕竟也只是一个商业机构,不是什么科技领先人类文明三五百年的神奇仙境,该出安全问题还是照样出安全问题,该屈服于强权还是屈服于强权,不要对它们盲目信任。


我记得斯诺登泄露过NSA如何窃听Yahoo和Google的网络流量来着,刚才翻出来仔细看了一眼,发现NSA玩得高端多了,是直接在CDN里面做手脚,根本不需要CA的配合,中印两国在这方面还是嫩了点啊。

NSA的手段就跟原题不搭了,暂时先跳了吧,哪天看到了相关问题我再写一下。


user avatar   Ivony 网友的相关建议: 
      

CA当然有审核的责任,要不然凭什么收钱,大家又凭什么信任这个CA。




  

相关话题

  ActiveX 到底差在哪? 
  如何看待 Mozilla 决定停止信任沃通 (WoSign) 和 StartCom 颁发的证书? 
  360 作了哪些恶? 
  有什么推荐的安全的聊天软件? 
  https证书服务商和网站服务器所在国家相同时,https应对国家级别的监听/篡改是否无效? 
  评估内网的web应用意义大吗? 
  黑客为什么不攻击淘宝? 
  如何看待QQ邮箱翻译出他人的快递通知? 
  如何看待货拉拉 CEO 发长沙事件反思信:「难辞其咎,不逃避尽力做好」?其还可以从哪方面进行安全提升? 
  「18岁黑客窃取银行卡信息 涉案15亿元」从技术层面上来看是否可行? 

前一个讨论
如果C#开放了值类型的继承,会有什么问题发生?
下一个讨论
C#泛型(MSIL)的内部是怎么实现的?





© 2024-12-23 - tinynew.org. All Rights Reserved.
© 2024-12-23 - tinynew.org. 保留所有权利