总结中间方攻击和CA认证中心

最新推荐文章于 2023-03-16 07:20:14 发布
最新推荐文章于 2023-03-16 07:20:14 发布
阅读量1.1k 收藏 1
点赞数 2
分类专栏: 网络工程 文章标签: CA证书 HTTPS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/justinzengTM/article/details/103956456
版权
本文详细介绍了中间方攻击的原理,以RSA密钥协商为例展示了攻击过程,并指出问题在于缺少身份验证。为解决这一问题,文章阐述了PKI公钥基础设施和CA证书的角色,解释了CA证书如何通过验证、签名确保通信安全。此外,还提到了证书请求文件(CSR)的生成和验证流程,强调了在HTTPS通信中CA证书的重要性。
摘要由CSDN通过智能技术生成

中间方攻击

在密钥协商阶段,通信双方都需要向对方提供密钥,拿DH密钥协商举例,客户端需要把自己的公钥发送给服务器端,服务器端把DH参数和服务器公钥发送给客户端,最终双方都持有对方的公钥拿来加密用,自己的私钥用来解密。RSA密钥协商也差不多,不过两种协商算法都有可能会遭到中间方攻击,导致密码套件泄露,来看个例子,在RSA密钥协商中,中间方是如何“获取”通信双方的密码套件的。

  1. RSA密钥协商,首先客户端向服务器端发送连接请求,希望服务器端回应并发送本次通信的RSA公钥。
  2. 中间方把客户端的连接请求截获,然后把自己的连接请求发送给服务器端,服务器端生成密钥对后,响应发送RSA公钥给中间方。
  3. 中间方保留服务器端公钥后,自己生成一个RSA密钥对,并把公钥发送给客户端,也就是把真正的服务器端公钥替换掉了。
  4. 客户端收到中间方的公钥后,误以为是服务器端公钥,继续进行密钥协商,通过随机数生成器生成了一个预备主密钥,并使用了中间方公钥对其进行机密,发送给服务器端。
  5. 中间方继续截获客户端发送的预备主密钥,用自己的私钥解密出预备主密钥后,再自己生成一个预备主密钥,用第一次或得到服务器端公钥加密,发送给服务器端。
  6. 服务器端接收到中间方发来的预备主密钥,并用自己的私钥解密,发现能正确解出预备主密钥,误以为密钥协商完成。
  7. 此时,客户端持有的是中间方公钥,服务器端持有的是中间方的预备主密钥,中间方却拥有服务器公钥和客户端生成的真正的预备主密钥,接下来中间方就可以随意伪造信息,同时不让通信双方发现,来看看它是怎么实现。
  8. 由于客户端持有的是中间方公钥,客户端使用它来加密信息,并发送给服务器,中间方截获密文后,因为拥有客户端生成的预备主密钥,可以知道客户端使用的加密算法,例如AES,解密出明文,最后再自己加密发送给服务器端。
  9. 由于服务器端持有的是中间方的预备主密钥,解密出的明文可能是被中间修改过的,到这一步,中间方攻击完成,通信双方的对话泄露了,同时存在消息被篡改的风险。
最低0.47元/天 解锁文章
大力海棠
关注
专栏目录
中间人攻击CA机构;数字证书的流转流程:防止中间者攻击;动态秘钥TLS1.3和TLS1.2QUIC(Quick UDP Internet Connections)TLS,
ZJQ的博客
04-24 261
爱丽丝收到公钥后,误以为这是鲍勃的公钥,因此她会使用马洛里的公钥加密她的消息,并发送给鲍勃。马洛里能够再次截获这条加密的消息,并使用自己的私钥解密它。在这个例子中,马洛里就是中间人,他成功地截取了爱丽丝和鲍勃之间的通信,并有机会窃取、篡改或伪造他们的消息。这只是一个非常简化的例子,实际中使用的质数p和q会非常大(通常有几百位),以确保加密的安全性。总的来说,TLS1.3相较于TLS1.2在密钥协商机制、安全性和性能上都有所提升,这使得它更加适合用于现代网络环境,为双方之间的通信提供更安全、更高效的保障。
认证中心 CA 公钥认证中心 P113
aiwo1376301646的博客
03-14 897
回顾身份认证协议ap5.0:中间人攻击产生的原因就是因为Bob不能够认证所接收到的公钥是否真的是Alice的公钥 举例,类似于中间人攻击的比萨恶作剧:产生原因都是因为缺少公钥认证机制(说明某个公钥确实是谁的) 假公钥导致以上两个问题的发生: 怎么让接收方拿到公钥时可以确定这确确实实是申请通讯的那一方的公钥,而不是其它的解决方案:认证中心(Certification Authorit...
【Linux 网络编程3】非对称+对称加密,中间人攻击CA机构如何保证公钥不被攻击--https应用层协议
最新发布
m0_72964546的博客
03-16 793
https就是http+关于安全的一层软件层(SLL、TSL)
HTTPS详解(原理、中间人攻击CA流程)
积水成多,水到渠成
03-07 3845
浏览器能通过本地CA证书的发行机构公钥对网站服务器的CA证书验签,验证通过后就可以获取服务器CA证书里的服务器公钥,用该公钥对对称密钥X进行加密。4、中间人截取到数据,将密钥X用中间人生成的私钥B解密,再解密的数据,获取到通信明文数据!1、浏览器获取服务器传来的CA证书后,浏览器用本地同发行机构的CA证书的公钥对签名解密,得到签名的hash值H。1、浏览器用随机生成的(对称)密钥X给数据进行加密,再用服务器给的(非对称)公钥A给密钥X加密,一起传给服务器。可以绕过密钥X获取到信息并确保数据传输正确。
北邮密码学-密钥管理
buctwx的博客
03-11 637
密钥管理技术
通过伪造CA证书,实现SSL中间人攻击
明明
04-10 2万+
最近在网络上查找SSL中间人攻击相关的文章,发现大多都是同一篇文章的转载,原创的很少,而这篇文章中又缺少很多细节。所以我在ubuntu10.04下使用openssl进行了一次SSL中间人攻击实验,并将实验过程记录下来,希望能对别人有所帮助。本人初次接触SSL中间人攻击,文章中可能有错误的地方,希望大家多多批评指正。 如若转载请注明出处,谢谢。 通过伪造CA证书,实现
针对证书攻击方法
实践求真知
10-01 3470
一 在公钥注册之前攻击 证书认证机构对公钥及其持有者的信息加上数字签名的产物,由于加上数字签名之后会非常难以攻击,因此我们可以考虑对施加数字签名之前的公钥进行攻击。 假设Bob生成了密钥对,并准备在认证机构注册自己的公钥。在认证机构进行数字签名之前,主动攻击者将公钥替换成了自己的。这样一来,认证机构就会对“Bob的个人信息”和“攻击者的公钥”这个组合进行数字签名。 要防止这种攻击,可以采用...
网络安全实验报告 CA认证及其应用
12-01
网络安全是计算机科学领域至关重要的一个分支,特别是在当前数字化社会中,数据...报告中可能还会包含实验步骤的详细记录、遇到的问题及解决方法,以及实验后的反思和总结,全面展示了学生对CA认证及其应用的掌握程度。
CA.rar_CA
09-24
通过公钥基础设施(PKI,Public Key Infrastructure),CA确保了数据传输的安全性,防止了中间人攻击和信息篡改。 二、2003环境下的CA服务器构建 在Windows Server 2003系统中,CA服务器的搭建主要包括以下几个步骤...
浅析HTTPS中间人攻击证书校验
马万明的专栏
07-01 6464
转载自 http://drops.wooyun.org/tips/17078?ref=myread 浅析HTTPS中间人攻击证书校验 白泽安全团队 · 2016/06/30 16:07 author:白泽安全团队 0x00 引言 随着安全的普及,https通信应用越发广泛,但是由于对https不熟悉导致开发人员频繁错误的使用https,例如最常见的是
服务器被攻击方式及防御措施?
咻一咻的博客
07-04 1万+
主流的服务器攻击方式有多种手段,但是唯独DDoS攻击、CC攻击以及ARP欺骗,这些攻击方式被称为三大攻击手段,不仅可以致使服务器瘫痪,而且还很无解。 DDOS攻击 DDoS攻击全名叫做分布式拒绝服务(DDoS:Distributed Denial of Service),攻击者往往将多个计算机平台联合起来对同一个目标或者多个目标进行攻击攻击所造成的后果也因此而严重程度不同。 DDoS攻...
SSL中间人证书攻击测试演练
gold0523的专栏
11-16 1452
SSL中间人攻击事件 这几天,SSL证书欺骗可以说是占尽了风头,打开微博,朋友圈,FreeBuf处处可以见到SSL证书欺骗的资讯文章。 微软账号系统遭遇大规模SSL中间人攻击 国内iCloud服务器遭遇中间人攻击,中国苹果用户隐私不保 根本停不下来:Yahoo在中国遭遇SSL中间人攻击 …… 先是iCloud,然后又是Yahoo,还有就是前几天的Microsoft。
加密算法与安全认证
weixin_33911824的博客
05-21 739
简述: 重要的数据在互联网中进行传输的时候必须保证数据的安全性,需从四个方面来做: 1.保证数据是从真正的源发送的,而不是其他人(源认证) 2.保证数据在传输的过程中没有被篡改过(数据的完整性) 3.保证数据在传输的过程中别人看不懂(数据的私密性) 4.保证数据的不可否认性(不可否认性) 加密算法 1、对称加密 概念:加密和解密使用同一个秘钥 算法:DES、3DES、AES、Bl...
X.509证书的解析、验证及使用
热门推荐
liuxiaoxiaocsdn的博客
01-05 4万+
X.509证书的解析、验证及使用 1.概述 1.1 简介 X.509格式证书是被广泛使用的数字证书标准,是用于标志通讯各方身份信息的一系列数据。 1.2常见的X.509格式证书 .cer/.crt是用于存放证书,以二进制形式存放,不含私钥 .pem跟.crt/.cer的区别是它以Ascii来表示,可以用于存放证书或私钥。 .pfx/.p12用于存放个人证书/私钥,他通常包含保护密码,
对称加密算法总结 – 流密码与块密码
大力海棠的博客
11-25 9839
随机数 在对称加密的流密码算法和块密码算法中,都需要生成随机的密钥流,明文通过密钥加密得到密文,所以随机数生成算法显得十分重要,它决定加密密钥,密钥决定了加密算法的安全性。 随机数的类型分有三种,伪随机数生成器,密码学伪随机数生成器和真正的随机数生成器,前两者生成随机数通过软件实现,真正的随机数生成器通过硬件实现。 1、伪随机数生成器:软件实现,随机性。 2、密码学伪随机数生成器:软件实现...
总结DH密钥协商(会话密钥)
大力海棠的博客
12-16 9742
密钥安全性 在对称加密中,无论加密解密,通信双方都是使用相同的密钥,如果其中一方密钥泄露了,信息便会遭到破解。使用公开密钥双向加密可以极大提高安全性,通信双方手握对方的公钥进行信息加密,保留自己的私钥进行解密,从客户端发去的加密信息即使被中途截获,没有私钥的话也无法解密,而私钥保存在服务器端,相反一样。这样将密钥对分成公钥和私钥的方式,比起对称加密共同使用相同的密钥,明显更安全。无论是对称加密还...
证书链-证书校验
大力海棠的博客
02-03 8718
先来打开一个网站的证书链看看: 它的结构是,顶端根证书DigiCert,中间证书GeoTrust RSA CA 2018,和最下级的服务器证书*.csdn.net。为什么会有中间证书?原因上一篇日志说过,由于权威的CA机构数量不多,如果所有的服务器申请证书都将CSR证书请求文件发送到CA机构,那么CA机构的工作量就会非常大,因此CA机构采取授权二级机构的方式来管理证书申请,经授权的二级机构也...
CA数字签名认证系统技术方案与实现
- 自建CA与第三方CA:自建CA适用于有高度安全和定制化需求的组织,而使用第三方CA如CTCA(China Trust Certification Center)则可以简化管理和提高信任度。 - **数字签名认证系统**: - 原理与流程:数字签名是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值