Alice和Bob需要传达重要的商业信息。 Alice创建了一个证书颁发机构,并将其妥善保存在锁定的保险箱中。她制作了两个证书,一个用于识别Alice,另一个用于识别Bob。然后,Alice使用她的证书设置接受SSL连接的服务器,并且仅接受使用Bob的客户端证书的客户端。使用IP地址而不是DNS主机名在Internet上完成连接。
在不妥协Alice或Bob的证书的情况下,以下攻击媒介是否可能?
最后,如果这两个证书中的一个被泄露,它怎么能被撤销?
答案 0 :(得分:1)
您没有指定证书以及SSL版本和选项,但通常使用证书来承诺某个站点的公钥是可信的(因此只有站点具有私钥) - 这就是CA来处理。
证书不是秘密。
如果你的意思是Alice和Bob现在都知道彼此的真实公钥,那么它仍然不意味着只有Alice和Bob知道彼此的公钥!
首先提出问题:
如果Chuck也知道公钥 - 他可以为Alice和Bob加密消息。但是,如果他收到一些使用Alice / Bob公钥加密的响应,他就不应该解密它。
但是,如果使用客户端身份验证(您没有指定使用哪种SSL方案),则服务器将在握手步骤中检测到它,而Chuck不知道私钥。 查看握手程序http://publib.boulder.ibm.com/infocenter/wmqv6/v6r0/index.jsp?topic=%2Fcom.ibm.mq.csqzas.doc%2Fsy10660_.htm 。来自服务器的客户端证书请求是可选的。
到第二个: 如果他们有真实的密钥,他们可以安全地进行通信。 Eve无法解密消息内容(概率可以忽略不计),并且只能通过辅助渠道(例如,时间,流量)来学习信息。