Уведомления

Группа в Telegram: присоединиться

#1 Сен. 16, 2018 00:25:34

DamMercul
Зарегистрирован: 2017-11-26
Сообщения: 234
Репутация: +  7  -
Профиль   Отправить e-mail  

Сложная тема, но в топике повыше людей мало

Не легко будет объяснить - я попробую.
Идея такова: есть опенсурсный сервер, который создан, чтобы позволить юзерам меняться данными анонимно, не напрямую по “зашифрованному каналу через сервер”. Типо юзер1 ген. публичный ключ для юзера2, а юзер2 - для юзера1. Задача сервера - просто передать друг другу их ключи и потом направлять данные от 1ого юзер второму. Но вот в чем проблема, я - злоумышленник, скачавший/установивший/раскрутивший сервер на моем скрипте, только вот он его переписал, и теперь вместо того, чтобы передавать юзерам ключи других юзеров, он генерирует свои публичные/приватные ключи и заменяет пуб. ключи юзеров на свои. Теперь сервер просматривает данные юзера1 по их пути, дешифруя их прив. ключом своим, а потом шифруя пуб. ключом юзера2 и отправляя их ему. Итог: оба юзера довольны, ведь юзер1 отправил данные, юзер2 их получил, и вот только сервер теперь знает, что юзер1 сегодня пойдет вечером в клуб торчать, его возьмут.

Вопрос: как обеспечить безопасность данным, подтверждая валидность публичного ключа на обеих концах. Вы скажете OpenPGP/GnuPG, но вот незадача: как юзер2 узнает ИД юзера1, если сервер все ИД поменяет на свои и опять же, ты ничего не знаешь о безопасности данных, и юзер1 уже собирается в клуб, где его уже ждут с дубинками и погонами?



____________________________________________________

 # Life loop
while alive:
    if (fun > boredom) and money:
        pass_day(fun, boredom, money)
        continue
    else: break

Офлайн

#2 Сен. 16, 2018 15:18:16

BM21
Зарегистрирован: 2018-09-15
Сообщения: 29
Репутация: +  0  -
Профиль   Отправить e-mail  

Сложная тема, но в топике повыше людей мало

DamMercul
овать
При коннекте к серверу (посреднику) проверять сертификат сервера(посредника), данные для проверки зашить в программы(клиенты) .

Офлайн

#3 Сен. 18, 2018 21:48:11

DamMercul
Зарегистрирован: 2017-11-26
Сообщения: 234
Репутация: +  7  -
Профиль   Отправить e-mail  

Сложная тема, но в топике повыше людей мало

BM21
Я об этом думал. Скажи как реализовать и будет тебе поклон. Скажи мне, ты уверен что его подделать нельзя? Можно. В этом и проблема. При МИТМ аттаках можно тоже на изи сертификат подменить, никто даже и не заметит. Я режил пока сервера в опенсурс не выкладывать



____________________________________________________

 # Life loop
while alive:
    if (fun > boredom) and money:
        pass_day(fun, boredom, money)
        continue
    else: break

Офлайн

#4 Сен. 18, 2018 23:54:37

BM21
Зарегистрирован: 2018-09-15
Сообщения: 29
Репутация: +  0  -
Профиль   Отправить e-mail  

Сложная тема, но в топике повыше людей мало

TLS но опять же сертификат зашивается прям в софт, самоподписный и все в принципе.
Но это если все сервера, будут ваши, и заданы в программе. А если каждый будет свой сервер подымать это вопрос другой. Если прям чтоб каждый мог сервер свой развернуть у себя и неизвестно злонамеренный сервер или нет. То тут надо Tor см в плане как у них реализовано.
Непонятно причем MITM к сертификату который зашит в софт.

Офлайн

Board footer

Модераторировать

Powered by DjangoBB

Lo-Fi Version