Hlavní navigace

Názor k článku TrueCrypt: profesionální ochrana dat zdarma od PMoravec - Dobry den, neni v pripade MitM utoku problem s...

  • Článek je starý, nové názory již nelze přidávat.
  • 17. 7. 2007 12:27

    PMoravec (neregistrovaný)
    Dobry den,
    neni v pripade MitM utoku problem s prolomenim bezpredmetny? Mam za to, ze v pripade neuspechu APOP (-ERR Unknown command: APOP) E-mailovy klient automaticky zkouset nesifrovane USER/PASS; resp. APOP vubec nepouzije, pokud nenarazi v uvitani od serveru na timestamp, uvedeny mezi <>. Oboji muze falesny prostrednik sam zaridit. Jina situace by samozrejme nastala pri odposlechu periodicke kontroly E-mailu ve schrance.

    Jinak by bylo treba pokazde nove spojeni, protoze se pro MD5 pouzije zmineny timestamp z uvitani POP3 serveru vcetne <> a shared secret.

    RFC1939 uvadi jako priklad <1896.697170952@dbc.mtview.ca.us>tanstaaf s MD5 c4c9334bac560ecc979e58001b3e22fb.

    Otazkou je, zda by podobny utok sel pouzit na CRAM-MD5 nebo novejsi variantu Digest-MD5.