Рейтинг:1

Crypto

Может ли MITM во время обмена ключами Диффи-Хеллмана манипулировать обеими сторонами для создания симметричных секретов?

smatt

16.09.2023, 13:18

Может ли злоумышленник при обмене ключами Диффи-Хеллмана манипулировать обеими сторонами таким образом, чтобы секрет, сгенерированный на каждой стороне, был идентичен?

Или, другими словами, можно ли обнаружить атаку через MITM, если мы можем обнаружить через другой канал, что секреты обеих сторон не совпадают?

104

0 + 0

обмен ключами

Диффи-Хеллман

кодирование

Рейтинг:1

Crypto

Maarten Bodewes

16.09.2023, 13:34

Может ли злоумышленник при обмене ключами Диффи-Хеллмана манипулировать обеими сторонами таким образом, чтобы секрет, сгенерированный на каждой стороне, был идентичен?

Если обе стороны используют хорошо засеянный CSPRNG, то это не должно быть возможным иметь идентичный DH. закрытые ключи.

Для поделился секретом, вся идея DH — и любой схемы установления ключей — заключается в том, что секреты с обеих сторон совпадают. Поэтому, если злоумышленник ничего не делает, «секрет на каждой стороне идентичен».

Или, другими словами, можно ли обнаружить атаку через MITM, если мы можем обнаружить через другой канал, что секреты на обеих сторонах не совпадают?

Мы можем аутентифицировать открытые ключи в схеме, чтобы можно было доверять ключам и сгенерированным ключам.

Мы также можем убедиться, что обе стороны имеют правильный секрет, выполнив код аутентификации сообщения над известным сообщением (например, расшифровкой сообщения на данный момент).

0 + 0

smatt

16.09.2023, 14:57

Спасибо за ответ.

Ответить

Maarten Bodewes

16.09.2023, 15:06

Пожалуйста.Если вы думаете, что это отвечает на ваш вопрос, вы можете принять его, это лучший способ сказать спасибо (вы также можете немного подождать, чтобы увидеть, появятся ли какие-либо другие ответы, если хотите, не нужно торопиться).

Ответить

smatt

16.09.2023, 15:08

Если «человек посередине» попытается перехватить связь, он будет отдельно выполнять обмен ключами Диффи-Хелмана с обеими сторонами, правильно? Возможно ли в этом сценарии, чтобы злоумышленник тщательно «выбирал» свои закрытые ключи в таком взаимодействии, чтобы в сочетании с открытыми ключами были получены идентичные общие секреты для обеих сторон?

Ответить

Maarten Bodewes

16.09.2023, 15:57

А, да, хороший вопрос. Я думаю, что вам нужно взглянуть на [этот ответ] (https://crypto.stackexchange.com/q/2131/1172). По сути, вам нужно выполнить проверку открытого ключа. Совершенно очевидно: если вы используете 0 в качестве закрытого ключа, то открытый ключ $g^x = g^0 = 1$, и вы можете возвести его в любую степень, но он останется $1$ (это крайний случай). Один из способов обойти это — использовать [X25519](https://cr.yp.to/ecdh.html#validate) или X448.

Ответить

Рейтинг:0

Crypto

kelalaka

16.09.2023, 19:45

Может ли MITM во время обмена ключами Диффи-Хеллмана манипулировать обеими сторонами для создания симметричных секретов?

Предположим, что злоумышленник MITM может создать обмениваемый ключ, который будет одинаковым для обеих сторон. то есть партия $А$ получает $г^т$ от злоумышленника и вычисляет $ г ^ {в} $ и вечеринка $В$ получает $g^u$ от злоумышленника и вычисляет $г^{бу}$ такой, что $g^{at} = g^{bu}$.

Если злоумышленник отправляет элемент идентификации, то обе стороны будут иметь ключ в качестве элемента идентификации. Это тривиальное решение и его можно обнаружить (кроме пробного решения, которое требует сокращения...)

можно ли обнаружить атаку через MITM, если мы сможем обнаружить по другому каналу, что секреты на обеих сторонах не совпадают?

В основных системах защита от MITM-атак осуществляется с помощью сертификатов. Иногда мы делаем TOFU (доверяйте при первом использовании), как в Signal (и в более слабом WhatsApp), а затем проверяем открытые ключи. ^*.

Одним из простых решений является чтение шестнадцатеричных значений на телефоне, так как сложнее (не невозможно) подделать речь в реальном времени.

_{^* Вы когда-нибудь проверяли один ключ в Сигнале (или WhatsApp)?}

0 + 0

Maeher

16.09.2023, 20:46

Это сокращение не работает. Ошибка в том, что злоумышленнику не нужно вычислять $t$ и $u$. Им нужно только вычислить $g^t$ и $g^u$. Одна атака, например. отправка нейтрального элемента группы.

Ответить

kelalaka

16.09.2023, 21:20

@ Махер Ты прав.существует тривиальное решение. Вы видите сокращение в нетривиальном случае? Если да, то можете ли вы написать ответ, я рад видеть и удалить это.

Ответить

Admin

Этот вопрос на других языках:

EN: Can a MITM during Diffie-Hellman key exchange manipulate both sides to generate symmetric secrets?

TH: MITM ระหว่างการแลกเปลี่ยนคีย์ Diffie-Hellman สามารถจัดการทั้งสองฝ่ายเพื่อสร้างความลับที่สมมาตรได้หรือไม่

RO: Poate un MITM în timpul schimbului de chei Diffie-Hellman să manipuleze ambele părți pentru a genera secrete simetrice?

RU: Может ли MITM во время обмена ключами Диффи-Хеллмана манипулировать обеими сторонами для создания симметричных секретов?

VI: MITM có thể trong quá trình trao đổi khóa Diffie-Hellman thao túng cả hai bên để tạo bí mật đối xứng không?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.