Ⅰ RSA、Diffie-Hellman和中間人攻擊
網路上常常有對RSA、DH演算法,以及中間人攻擊的討論。
一種說法是「RSA密鑰協商(交換)不會受到中間人攻擊」,聽起來似乎RSA比DH做密鑰協商更優。
這種說法有些不負責任。下面把這個問題中涉及到的概念都解釋一下,再來看這個問題。
中間人攻擊,可以這樣解釋:攻擊者一定程度上控制了網路,成為網路雙方通信的中間者,從而獲取到雙方的通信信息;而通信雙方都感知不到中間人的存在。
這個話題往往和加密通信一起討論:如果加密信道中存在中間人,那明文就會被中間人獲取,而通信雙方還不會知曉。
中間人攻擊的根本,在於通信雙方沒有進行身份認證。即:不知道和自己直接通信的人是誰。如果雙方能確認直接通信的人就是對方,也就不存在中間人攻擊了。
RSA加密演算法 是一種非對稱加密技術。由一對密鑰(公鑰+私鑰)組成。
可以利用私鑰來生成公鑰。
一般來說,私鑰會被秘密保存起來,而公鑰則分發出去。
公鑰加密,私鑰解密,稱為RSA加密演算法。 是為了保證公鑰加密的內容,只有私鑰持有者可以解密。常常用在客戶端賬密登錄過程:客戶端對密碼進行公鑰加密,發送到服務端後用私鑰解密,這樣即使請求被截獲也不會泄露密碼(實際上要更復雜一些)。
私鑰加密,公鑰解密,稱為RSA簽名演算法。 是為了保證公鑰持有者獲取的內容,確實是來自私鑰持有者的正確內容。比如伺服器持有私鑰,將一個重要信息計算hash再私鑰簽名後,和信息本身一起發送到客戶端;客戶端用公鑰解密簽名得到hash值,再計算信息的hash值,進行比對,就知道內容是否被篡改。由於私鑰的保密性,攻擊者無法偽造有效的簽名。
DH密鑰交換演算法 並不是 加密演算法,而是雙方在不安全的網路中交換信息而生成雙方僅有的密鑰的一種方法。其結果是,交換的雙方得到了一樣的會話密鑰,而其他任何人不能得到這個密鑰。
由於演算法的結果是通信雙方擁有了一樣的密鑰,雙方往往會利用這個密鑰進行 對稱 加密通信。
DH演算法的過程可以簡單解釋如下:通信雙方AB,各自生成一對DH密鑰(Pa,Sa)和(Pb,Sb)(P代表公鑰,S代表私鑰)。雙方交換各自的公鑰P,於是A持有Sa、Pb,B持有Sb、Pa。通過某種計算,Sa、Pb可以生成會話密鑰K,Sb、Pa也可以生成相同的K。
DH演算法本身不包含身份認證機制,所以中間人攻擊是其明顯的問題。
設想:
在AB間,有一C。AB交換DH公鑰P時,C在中間截獲;C自己生成一對DH密鑰(Pc,Sc),用Pc和A、B完成密鑰交換。於是C與A間有了會話密鑰Kac=f(Pa,Sc)=f(Pc, Sa),C與B間有了會話密鑰Kcb=f(Pb,Sc)=f(Pc, Sb)。只要C從一方獲得的信息,重新加密後傳遞給另一方,AB就都不會發現他們的通信被劫持了。
密鑰協商(key establishment)包括「密鑰傳輸」(key transmission)和「密鑰交換」(key exchange)。
所謂RSA密鑰協商實際是密鑰傳輸,即一方生成密鑰,傳遞給另一方,而不必雙方交換。
具體來說,就是A自己生成一個密鑰K,用自己的RSA公鑰加密,再傳遞給B;B用RSA私鑰解密得到K。僅就這個過程而言,不會存在中間人攻擊。
但是這不是說RSA就比DH就更安全了。設想上面的情況,必須先要令A持有RSA公鑰,B持有RSA私鑰。這首先先進行一次RSA公鑰傳遞,而這個傳遞過程是存在中間人攻擊的。
設想:
B生成一對RSA密鑰Pb、Sb,將公鑰Pb發送給A。而AB中有C。C截獲了Pb,而自己生成了一對RSA密鑰Pc、Sc,將Pc發送給A。
A用Pc加密了會話密鑰K,發送給B,被C截獲。C用Sc解密得到K,再用Pb加密後給B。這時C完成了中間人攻擊。
所以說: RSA的公鑰在端與端間傳遞時,存在中間人攻擊問題。
RSA最好的使用場景在服務端/客戶端之間,服務端持有私鑰,客戶端直接內置好公鑰,就不用擔心中間人攻擊了。
平時我們使用的,號稱安全的https協議,也存在中間人攻擊問題。比如Fiddler這種抓包軟體,就能充當https通信中的中間人。
一般上網時使用的https是 單向認證 ,即客戶端通過CA認證伺服器持有有效證書,來確認其身份。伺服器不會驗證客戶端的身份。
如果使用 雙向認證 ,通過CA確認兩端的身份都是正確的,就可以防止中間人攻擊了。這種雙向認證一般出現在企業應用對接中。
網路上有這樣一種說法:
通信兩端交換RSA公鑰,通過對方公鑰加密數據,自己私鑰解密。這樣就實現了端到端加密。
實際上這 不是端到端加密 。因為不能保證伺服器無法修改數據:伺服器可以用公鑰來加密任何的數據發給兩端。
而且,按之前所說的,這種交換, 存在中間人攻擊問題 。
Ⅱ ssh能防範中間人攻擊嗎,需不需要數字證書
其實SSH已經有自己的一套驗證方式了,可以阻攔大不部分的攻擊,當然有人撞庫嘗試密碼,你只有設置防火牆或者做其它的安全措施了。
從客戶端來看,SSH提供兩種級別的安全驗證。
第一種級別(基於口令的安全驗證)
只要你知道自己帳號和口令,就可以登錄到遠程主機。所有傳輸的數據都會被加密,但是不能保證你正在連接的伺服器就是你想連接的伺服器。可能會有別的伺服器在冒充真正的伺服器,也就是受到「中間人」這種方式的攻擊。
第二種級別(基於密匙的安全驗證)
需要依靠密匙,也就是你必須為自己創建一對密匙,並把公用密匙放在需要訪問的伺服器上。如果你要連接到SSH伺服器上,客戶端軟體就會向伺服器發出請求,請求用你的密匙進行安全驗證。伺服器收到請求之後,先在該伺服器上你的主目錄下尋找你的公用密匙,然後把它和你發送過來的公用密匙進行比較。如果兩個密匙一致,伺服器就用公用密匙加密「質詢」(challenge)並把它發送給客戶端軟體。客戶端軟體收到「質詢」之後就可以用你的私人密匙解密再把它發送給伺服器。
用這種方式,你必須知道自己密匙的口令。但是,與第一種級別相比,第二種級別不需要在網路上傳送口令。第二種級別不僅加密所有傳送的數據,而且「中間人」這種攻擊方式也是不可能的(因為他沒有你的私人密匙)。但是整個登錄的過程可能需要10秒。
Ⅲ 如何防範中間人攻擊
中間人攻擊英文名叫:Man-in-the-MiddleAttack,簡稱MITM攻擊。指攻擊者與通訊的兩端分別創建獨立的聯系,並交換其所收到的數據,使通訊的兩端認為他們正在通過一個私密的連接與對方直接對話,但事實上整個會話都被攻擊者完全控制。
如何防範中間人攻擊
1、使用HTTPS:確保您只訪問那些使用著HTTPS的網站。HTTPS提供了額外的安全保護層。在此,您可以考慮下載並安裝Electronic
Frontier Foundation的HTTPS Everywhere瀏覽器擴展程序。它是Google Chrome瀏覽器最好的隱私擴展程序之一。
2、不要忽略警告:如果您的瀏覽器提示,您正在訪問的網站存在著安全問題,那麼就請引起足夠的重視。畢竟安全證書警告可以幫您直觀地判定,您的登錄憑據是否會被攻擊者截獲。
3、不要使用公共WiFi:如果您無法避免使用公共WiFi,那麼請下載並安裝安全防護,為連接增加安全性。同時,在使用公共WiFi連接時,請留意瀏覽器的安全警告。如果警告的數量突然猛增,那麼很可能就表明某個漏洞遭到了中間人攻擊。
4、運行並更新防病毒軟體:除了此外,也請考慮使用諸如Malwarebytes Premium之類的其他安全工具。
Ⅳ https怎麼解決中間人劫持攻擊
1、搜索引擎優先收錄網站:谷歌、網路、搜狗、360搜索。
2、瀏覽器安全信任強制:國外主要瀏覽器谷歌、火狐等,增加安全不非安全的直接標志。
3、APP ios蘋果上線商城與微信小程序強制SSL證書,第一條件HTTPS協議。
4、SSL證書可以防止網站劫持、網站數據採集、用戶信息泄漏等。
5、形象地址欄的明顯的小鎖安全標志,有助於網友更放心的訪問網站。
6、SSL證書已成為互聯網入門身份證的專業窗口,傳統的HTTP傳輸將越來越少。
7、客戶端與伺服器HTTPS加密傳輸隱私數據密文傳輸,即使截獲也無法解密。
8、EV企業SSL證書地址欄直接顯示企業名稱,實名信息一目瞭然。
總結:SSL比行業中的網站認證要更好,因為網站認證只是一個圖標代表形象而已,而且很多瀏覽器是不顯示的,SSL證書是知根知底的加密傳輸,並且所有瀏覽器都會顯示。
Ⅳ 如何防範中間人攻擊
中間人攻擊(Man-in-the-MiddleAttack,簡稱「MITM攻擊」)是一種「間接」的入侵攻擊,這種攻擊模式是通過各種技術手段將受入侵者控制的一台計算機虛擬放置在網路連接中的兩台通信計算機之間,這台計算機就稱為「中間人」。攻防為一家,有攻就有防,只要措施正確,MITM攻擊是可以預防的。中間人攻擊對於DNS欺騙,要記得檢查本機的HOSTS文件,以免被攻擊者加了惡意站點進去;其次要確認自己使用的DNS伺服器是ISP提供的,因為目前ISP伺服器的安全工作還是做得比較好的,一般水平的攻擊者無法成功進入;如果是依靠網關設備自帶的DNS解析來連接Internet的,就要拜託管理員定期檢查網關設備是否遭受入侵。至於區域網內各種各樣的會話劫持(區域網內的代理除外),因為它們都要結合嗅探以及欺騙技術在內的攻擊手段,必須依靠ARP和MAC做基礎,所以網管應該使用交換式網路(通過交換機傳輸)代替共享式網路(通過集線器傳輸),這可以降低被竊聽的機率,當然這樣並不能根除會話劫持,還必須使用靜態ARP、捆綁MAC+IP等方法來限制欺騙,以及採用認證方式的連接等。但是對於「代理中間人攻擊」而言,以上方法就難以見效了,因為代理伺服器本來就是一個「中間人」角色,攻擊者不需要進行任何欺騙就能讓受害者自己連接上來,而且代理也不涉及MAC等因素,所以一般的防範措施都不起作用。除非你是要干壞事,或者IP被屏蔽,或者天生對網路有著恐懼,否則還是不要整天找一堆代理來隱藏自己了,沒必要的。常在河邊走,即使遇上做了手腳的代理也難察覺。
Ⅵ 如何甄別防範中間人郵件攻擊的方法
1、加強防範意識。
對公司用於和國外貿易公司聯系用的郵箱進行專人管理,郵件密碼和密碼保護問題進行強化。對國外貿易公司的異常行為如長期貿易的銀行賬戶進行更改等問題及時電話聯系確認。
2、從技術上甄別。
實驗一:
普通正常信件來往,假設模擬國內公司郵件地址([email protected]),國外郵件地址([email protected])國內公司向國外公司發送了一封正常的郵件.我們可以通過outlook或者faxmail之類的郵件軟體將郵件完整的下載到本地,通過查看原始文件,那麼我們可以看見
,使用的發送郵件伺服器為smtp-6-96.vip.sina.com ,由於ob發件人郵箱是新浪網注冊的郵件,所以從域名我們可以看出這個就是新浪網的郵件發送伺服器。因此我們可以判斷該信件是正常通過新浪郵箱發送過來的。