Если мы рассмотрим человека в середине атаки; Может ли такая атака произойти, если используются симметричные ключи?
Конечно. Все, что вам нужно сделать, это перехватить обмен ключами. Затем вы можете передать свой (поддельный) ключ на другой конец. Вы перехватываете сообщения, используя полученный вами обманным путем ключ, повторно шифруете с помощью своего поддельного ключа и переходите на другой конец.
Хитрость заключается в том, чтобы согласовать симметричный ключ в первую очередь. Атаки «человек посередине» обычно происходят на этапе обмена ключами (заставляя вас согласовывать ключ с посредником, а не с реальным партнером).
Итак, что обычно происходит (в сеансах SSL веб-браузеров), вы используете асимметричную криптографию для обмена симметричным ключом. Однако это зависит от того, действительно ли открытый ключ вашего партнера принадлежит тому, кто, по вашему мнению, это делает. Обычно для этого вы берете слово Verisign или (некоторых других CA).
В какой-то момент должен был произойти безопасный и аутентифицированный обмен ключами.
Поскольку атака MIM может происходить во время обмена ключами, вы можете делать то, что делает SSL / TLS.
SSL / TLS использует RSA в обмене ключами, так что обмен симметричным ключом [в значительной степени] защищен RSA.
Вышеуказанные ответы верны, конечно, но вы должны заметить, что существует несколько эффективных, криптографически безопасных методов для безопасного обмена ключами . Я думаю, что один вау использует SRP6 .
Ага. Даже если вы используете симметричный ключ, вы должны использовать проверку подлинности / целостности. Использование шифрования с симметричным ключом без проверки подлинности / целостности делает вас уязвимыми к различным типам атак воспроизведения или замены. Злоумышленник может изменить ваши шифротексты и даже узнать, каков эффект его изменений.