Ohne PKI Man-in-the-middle erkennen???

Hat einer ne Info wie das gehen soll??
Ich halte das eigentlich für unmöglich.

Cfx

Cfx schrieb:
-------------------------------------------------------
> Hat einer ne Info wie das gehen soll??
> Ich halte das eigentlich für unmöglich.
>
> Cfx
:) Hab zu schnell gepostet. Die Antwort kann man im Screenshot sehen :)
Coole Idee.

Cfx

kann man nicht 100% verhindern

mfg
loltroll


Cfx schrieb:
-------------------------------------------------------
> Cfx schrieb:
> --------------------------------------------------
> -----
> > Hat einer ne Info wie das gehen soll??
>
> Ich halte das eigentlich für unmöglich.
> >
> Cfx
> :) Hab zu schnell gepostet. Die Antwort kann man
> im Screenshot sehen :)
> Coole Idee.
>
> Cfx

loltroll schrieb:
-------------------------------------------------------
> kann man nicht 100% verhindern
Doch, mit 2-Faktor Authorisierung schon.
Aus der Website: "It uses ephemeral Diffie-Hellman with hash commitment, and allows the detection of man-in-the-middle (MiTM) attacks by displaying a short authentication string for the users to read and compare over the phone."
d.h. in diesem Fall ist der Faktor Wissen der vorgelesene Authentifizierungsstring und der Faktor Besitz ist die Stimme, die vom Gesprächspartner natürlich gekannt werden muss.

Um da erfolgreich eine Station zwischen zwei Parteien zu etablieren, müsste man online den Inhalt des Gesprächs änderen können. Nun sind wir zwar recht weit mit Stimmerkennung und Synthese, aber ich glaub so ein Angriff wird noch ziemlich lange Science Fiction bleiben.

Gruß,
Cfx

Cfx schrieb:
-------------------------------------------------------
> loltroll schrieb:
> --------------------------------------------------
> -----
> > kann man nicht 100% verhindern
> Doch, mit 2-Faktor Authorisierung schon.
> Aus der Website: "It uses ephemeral Diffie-Hellman
> with hash commitment, and allows the detection of
> man-in-the-middle (MiTM) attacks by displaying a
> short authentication string for the users to read
> and compare over the phone."
> d.h. in diesem Fall ist der Faktor Wissen der
> vorgelesene Authentifizierungsstring und der
> Faktor Besitz ist die Stimme, die vom
> Gesprächspartner natürlich gekannt werden muss.
>
> Um da erfolgreich eine Station zwischen zwei
> Parteien zu etablieren, müsste man online den
> Inhalt des Gesprächs änderen können. Nun sind wir
> zwar recht weit mit Stimmerkennung und Synthese,
> aber ich glaub so ein Angriff wird noch ziemlich
> lange Science Fiction bleiben.
>
> Gruß,
> Cfx
>
>

Ich bleibe dabei, eine Man-in-the-middle kann man nicht erkennen ;-) Der Aufwand ist einfach etwas grösser.