Julkisen avaimen salaus
kuten kaikissa tietoturvaan liittyvissä järjestelmissä, on tärkeää tunnistaa mahdolliset heikkoudet. Lisäksi huono valinta epäsymmetrinen avaimen algoritmi (on olemassa muutamia, jotka ovat laajalti pitää kuin tyydyttävä) tai liian lyhyt avaimen pituus, chief security riski on, että yksityisen avaimen parin tulee tunnetuksi. Kaikki viestien turvallisuus, tunnistautuminen jne. menetetään.
AlgorithmsEdit
Kaikki julkisen avaimen järjestelmiä ovat teoriassa alttiita ”brute-force-näppäintä haku hyökkäys”., Tällaiset hyökkäykset ovat epäkäytännöllisiä, kuitenkin, jos laskentaa tarvitaan menestyä – niin sanottu ”työn tekijä” Claude Shannon – on poissa kaikki mahdolliset hyökkääjät. Monissa tapauksissa työtekijää voidaan lisätä yksinkertaisesti valitsemalla pidempi avain. Mutta muilla algoritmeilla voi luonnostaan olla paljon alhaisempia työtekijöitä, mikä tekee raa ’ an hyökkäyksen vastustamisesta (esim.pidemmistä avaimista) merkityksetöntä., Joitakin erityisiä ja erityisiä algoritmeja on kehitetty auttamaan hyökkää joitakin julkisen avaimen salaus algoritmit – sekä RSA-ja ElGamal salaus on tunnettuja hyökkäyksiä, jotka ovat paljon nopeammin kuin brute-force lähestymistapa. Mikään näistä ei kuitenkaan ole niin paljon parempi, että se olisi käytännössä mahdollista.
useista aiemmin lupaavista epäsymmetrisistä avainalgoritmeista on löydetty merkittäviä heikkouksia. ”Knapsack packing” – algoritmi todettiin turvattomaksi uuden hyökkäyksen kehittelyn jälkeen., Kuten kaikki salaustoimintoja, julkisen avaimen toteutukset voivat olla alttiita puoli-kanava hyökkäykset, jotka hyödyntävät tietoja vuoto yksinkertaistaa haku varten salainen avain. Nämä ovat usein riippumattomia käytetystä algoritmista. Tutkimus on käynnissä sekä uusien hyökkäysten löytämiseksi että suojautumiseksi.,
muutoksia julkisen keysEdit
Toinen mahdollinen tietoturva-aukko käyttämällä epäsymmetrinen avaimia on mahdollisuus ”man-in-the-middle” hyökkäys, jossa tiedonannon julkisia avaimia on siepata kolmannen osapuolen (”man in the middle”) ja sitten muutettu tarjota eri julkisten avainten sijaan. Salattuja viestejä ja vastauksia on, kaikissa tapauksissa, olla, siepata, salaus, ja salattu hyökkääjä käyttää oikeaa julkisia avaimia eri viestintä segmentit, jotta vältetään epäilyksiä.,
tiedonannon sanotaan olevan epävarma, jos tiedot välitetään tavalla, joka mahdollistaa telekuuntelun (kutsutaan myös ”nuuhkimiseksi”). Nämä termit viittaavat lähettäjän yksityistietojen lukemiseen kokonaisuudessaan. Viestintä on erityisen vaarallista silloin, kun lähettäjä ei voi estää tai valvoa salakuuntelua.
keskihyökkäys voi olla vaikea toteuttaa nykyaikaisten turvaprotokollien monimutkaisuuden vuoksi. Tehtävä kuitenkin yksinkertaistuu, kun lähettäjä käyttää epävarmoja medioita, kuten julkisia verkkoja, Internetiä tai langatonta viestintää., Näissä tapauksissa hyökkääjä voi vaarantaa viestintäinfrastruktuurin itse datan sijaan. Internet-palveluntarjoajan (ISP) hypoteettinen pahansuopa toimihenkilö saattaa löytää mies keskellä-hyökkäyksen suhteellisen suoraviivaisesti. Syömällä julkinen avain olisi vain vaatia etsivät avainta kuin se saa lähetetään kautta ISP”: n viestinnän laitteisto; oikein toteutettu epäsymmetrinen avaimen järjestelmiä, tämä ei ole merkittävä riski.,
joissakin kehittyneissä man-in-the-middle-hyökkäyksissä toinen puoli viestinnästä näkee alkuperäisen tiedon ja toinen saa haitallisen muunnoksen. Epäsymmetriset man-in-the-middle-hyökkäykset voivat estää käyttäjiä tajuamasta, että heidän yhteytensä on vaarantunut. Näin on myös silloin, kun yhden käyttäjän tiedot tiedetään vaarantuneen, koska tiedot vaikuttavat hyvältä toiselle käyttäjälle. Tämä voi johtaa hämmentäviin erimielisyyksiin Käyttäjien välillä, kuten ”it must be on your end!”kun kumpikaan käyttäjä ei ole syypää., Näin ollen keskihyökkäykset ovat täysin estettävissä vain silloin, kun viestintäinfrastruktuuri on fyysisesti toisen tai molempien osapuolten hallinnassa; esimerkiksi lähettäjän oman rakennuksen sisällä olevan Langallisen reitin kautta. In summattu, julkiset avaimet on helpompi muuttaa, kun viestinnän laitteistoa, jota käytetään lähettäjän ohjaa hyökkääjä.,
Julkinen avain infrastructureEdit
Yksi tapa estää tällaiset hyökkäykset liittyy käytön julkisen avaimen infrastruktuuri (PKI); joukko rooleja, käytäntöjä ja menettelyjä, joita tarvitaan luoda, hallita, jakaa, käyttää, tallentaa ja peruuttaa digitaalisia varmenteita ja hallita julkisen avaimen salausta. Tässä on kuitenkin mahdollisia heikkouksia.,
esimerkiksi, todistuksen myöntävän viranomaisen todistus täytyy olla luottaa, että kaikki osallistuvat osapuolet ovat asianmukaisesti tarkastetaan henkilöllisyys avain-haltija, on varmistettava oikeellisuuden julkisen avaimen, kun se antaa todistuksen, olla turvassa tietokoneen piratismi, ja on tehty järjestelyjä, jossa kaikki osallistujat tarkistaa kaikki todistukset ennen kuin suojattu viestintä voi alkaa., Web-selaimet, esimerkiksi, ovat mukana pitkä lista ”itse allekirjoitetun identiteetin varmenteet” alkaen PKI tarjoajat – nämä ovat tottuneet tarkista bona fides todistus viranomaisen ja sitten, toisessa vaiheessa, todistukset, mahdolliset kommunikaattorit. Hyökkääjä, joka voisi horjuttaa yksi niistä todistuksen viranomaisten tulee antaa todistus väärä julkisen avaimen voisi sitten asentaa ”man-in-the-middle” hyökkäys yhtä helposti kuin jos todistus järjestelmää ei ole käytetty ollenkaan., Vaihtoehtoisessa skenaariossa, harvoin keskusteltu, hyökkääjä, joka tunkeutuu viranomaisen”s-palvelimia ja saa sen myymälä-varmenteita ja-avaimia (julkinen ja yksityinen) olisi mahdollisuus huijaus, naamiaiset, purkaa ja luoda liiketoimia ilman rajaa.
teoreettisista ja mahdollisista ongelmistaan huolimatta tätä lähestymistapaa käytetään laajalti. Esimerkkejä ovat TLS ja sen edeltäjä SSL, joka on yleisesti käytetty vakuus web-selain tapahtumat (esimerkiksi, voit turvallisesti lähettää luottokortin tiedot, online-kauppa).,
Syrjään vastus hyökkäys tiettyä avainparia, turvallisuus sertifiointi hierarkia on otettava huomioon, kun käyttöön julkisen avaimen järjestelmät. Jotkut certificate authority – yleensä tarkoitusta varten rakennettu ohjelma käynnissä palvelimella tietokone – vouches identiteettejä määrittää tiettyjä yksityisiä avaimia tuottamalla digitaalinen sertifikaatti. Julkisen avaimen varmenteet ovat yleensä voimassa useita vuosia kerrallaan, joten niihin liittyvät yksityiset avaimet on tallennettava turvallisesti ja yli aikaa., Kun yksityinen avain, jota käytetään varmenteen luominen korkeampi PKI-palvelin hierarkia on vaarantunut, tai vahingossa paljastaa, sitten ”man-in-the-middle-hyökkäys” on mahdollista, mikä tahansa alisteinen todistus kokonaan epävarma.