若是涉及到账户密码等安全需求较高的数据传输,中间人攻击无疑是一场“噩梦”。所以,为了保护您的好隐私,将中间人攻击拒之门外,人人都应该选择权威的数字证书,对公钥进行有效验证和保护,才能让“中间人”攻击无处下手。 2015年4月1日,谷歌突然在官方微博上宣布其旗下产品将删除中国互联网信息中心(CNNIC)数字证书,随后Firefox(火狐浏览器)也发布了类似声明。根据最新Mozilla安全博客的博文,CNNIC被发现向埃及MCS公司颁发了用于中间人攻击的数字证书,存在重大安全隐患。抛开这次事件,到底是CNNIC蒙冤还是谷歌正义不说,消息一出,除了专业人士,几乎人人都对此无动于衷,丝毫没有危机感,那是由于大多数网民对中间人攻击以及数字证书的重要性都没有足够的了解。 中间人攻击,最常见的是ARP欺骗。ARP指地址转换协议,在以太网中,两台主机在进行网络通讯时,彼此需要知道对方的主机地址,好比两人之间写信,需要知道对方的家庭住址,但网络通讯使用MAC地址,而不是IP地址,ARP的任务则是将主机的IP地址转换成MAC地址,顾名思义,RARP则相反。而“中间人”则通过欺骗两台主机,让他们误以为对方的“地址”是中间人的“地址”,导致“中间人”成功成为两者通讯的中介,造成数据泄露或者遭到篡改。
数字证书的功能在于对主机的“权威”证明,好比身份证发放机构给每个公民发放身份证,证明其真实身份。那么,在通讯过程中,为了防范中间人攻击,现在大都采用密钥交换协议,每台主机都配有公钥和私钥。公钥,顾名思义,属于公开的,包括电子签证机关的信息、公钥用户信息、权威机构的数字签字和有效期等,可以发送给其它任何主机,用于加密发送的数据、私钥属于私密的,每台主机的私钥都不能公开,用于解密接收到的数据。公钥和私钥一一对应,每台主机的公钥所加密的数据只有用这台主机的私钥才能解开。 那么,“中间人”是如何实施攻击的呢?比如A主机和B主机在进行数据交换(例如QQ聊天),C主机想“偷听”它们的谈话。首先,A向B索取B公钥,B发送的公钥被C截取了,然后,C向A发送自己的公钥(我们记为“B”公钥),声称是B的公钥(实际上是C公钥),A相信了(结果是A和B得到了C的公钥,但两台主机都以为是对方的证书,而C同时获得了A和B的公钥)。然后A用“B”公钥对数据进行加密后,将数据包发送给B,C截获了数据包,用C私钥进行解密,于是获取了数据信息,当然,C可以修改A的数据后,重新用截获的B公钥加密后发送数据包给B,B这时相信数据包是A直接发过来的。在这个过程中,C其实充当中间人的角色。若至少一台主机安装的数字证书出现漏洞,则很容易遭到以上的“中间人攻击”。 若是涉及到账户密码等安全需求较高的数据传输,中间人攻击无疑是一场“噩梦”。所以,为了保护您的好隐私,将中间人攻击拒之门外,人人都应该选择权威的数字证书,对公钥进行有效验证和保护,才能让“中间人”攻击无处下手。 |
|
|
