Hlavní navigace

Názor ke zprávičce Šifrování je velký problém, říká šéf FBI Christopher Wray od Jarda_P - A část plaintextu může útočník často ovlivnit. Představte...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 27. 10. 2017 0:12

    Jarda_P

    A část plaintextu může útočník často ovlivnit. Představte si, budete si prohlížet tv.nova.cz (plain HTTP), já budu (třeba s pomocí Wi-Fi Pineapple) modifikovat komunikaci a vložím tam „<img src="https://­mail.google.com/?012345­67890123456789ab­cdef">“. Váš prohlížeč se nejspíš pokusí připojit na mail.google.com:443, udělat TLS handshake a poslat* „GET /?01234567890­123456789abcdef“, což je 256 bitů známého (a dokonce do jisté míry libovolně zvoleného) plaintextu. Tím jsem celkem jednoduše splnil precondition útoku. Pokud by se mi podařil, mohl bych si přečíst i zbytek požadavku, včetně hlavičky Cookie, což by pro krádež identity mohlo stačit.

    Nevim, v tom se moc nevyznam. Treba jste ucinil velky objev, ktery by ovsem soudruzi z tripismenkovych agentur ucinili jiz pred vami a pokud je to tak jednoduche, aktivne by to pouzivali.

    To, co popisujete, ale neni ten typ sifrovani, ktery soudruhum zpusobuje problemy. Ty jim delaji zasifrovane founy a nepochybne nejen ty, ale i vse, co dela end-to-end sifrovani. Tedy napriklad IM nebo sifrovany mail. A to i tehdy, kdyz ho nekdo posle pres webmail, vy se prohackujete pres TLS a ukradnete zpravu. Ta ovsem bude ASCI kodovana sifrovana zprava, ke ktere nemate klic a urcite nemate ten plaintex a nemate moznost ho ziskat. Muzete leda tak doufat, ze zprava zacina nejakym znamym oslovenim, tedy napriklad Hi, Hello, Cest praci...... To vam ale asi na rekonstrukci klice stacit nebude.