-
Ohne PKI Man-in-the-middle erkennen???
Autor: Cfx 15.03.06 - 10:57
Hat einer ne Info wie das gehen soll??
Ich halte das eigentlich für unmöglich.
Cfx -
Re: Ohne PKI Man-in-the-middle erkennen???
Autor: Cfx 15.03.06 - 11:00
Cfx schrieb:
-------------------------------------------------------
> Hat einer ne Info wie das gehen soll??
> Ich halte das eigentlich für unmöglich.
>
> Cfx
:) Hab zu schnell gepostet. Die Antwort kann man im Screenshot sehen :)
Coole Idee.
Cfx -
Re: Ohne PKI Man-in-the-middle erkennen???
Autor: loltroll 15.03.06 - 11:11
kann man nicht 100% verhindern
mfg
loltroll
Cfx schrieb:
-------------------------------------------------------
> Cfx schrieb:
> --------------------------------------------------
> -----
> > Hat einer ne Info wie das gehen soll??
>
> Ich halte das eigentlich für unmöglich.
> >
> Cfx
> :) Hab zu schnell gepostet. Die Antwort kann man
> im Screenshot sehen :)
> Coole Idee.
>
> Cfx
-
Re: Ohne PKI Man-in-the-middle erkennen???
Autor: Cfx 15.03.06 - 11:28
loltroll schrieb:
-------------------------------------------------------
> kann man nicht 100% verhindern
Doch, mit 2-Faktor Authorisierung schon.
Aus der Website: "It uses ephemeral Diffie-Hellman with hash commitment, and allows the detection of man-in-the-middle (MiTM) attacks by displaying a short authentication string for the users to read and compare over the phone."
d.h. in diesem Fall ist der Faktor Wissen der vorgelesene Authentifizierungsstring und der Faktor Besitz ist die Stimme, die vom Gesprächspartner natürlich gekannt werden muss.
Um da erfolgreich eine Station zwischen zwei Parteien zu etablieren, müsste man online den Inhalt des Gesprächs änderen können. Nun sind wir zwar recht weit mit Stimmerkennung und Synthese, aber ich glaub so ein Angriff wird noch ziemlich lange Science Fiction bleiben.
Gruß,
Cfx
-
Re: Ohne PKI Man-in-the-middle erkennen???
Autor: loltroll 15.03.06 - 11:52
Cfx schrieb:
-------------------------------------------------------
> loltroll schrieb:
> --------------------------------------------------
> -----
> > kann man nicht 100% verhindern
> Doch, mit 2-Faktor Authorisierung schon.
> Aus der Website: "It uses ephemeral Diffie-Hellman
> with hash commitment, and allows the detection of
> man-in-the-middle (MiTM) attacks by displaying a
> short authentication string for the users to read
> and compare over the phone."
> d.h. in diesem Fall ist der Faktor Wissen der
> vorgelesene Authentifizierungsstring und der
> Faktor Besitz ist die Stimme, die vom
> Gesprächspartner natürlich gekannt werden muss.
>
> Um da erfolgreich eine Station zwischen zwei
> Parteien zu etablieren, müsste man online den
> Inhalt des Gesprächs änderen können. Nun sind wir
> zwar recht weit mit Stimmerkennung und Synthese,
> aber ich glaub so ein Angriff wird noch ziemlich
> lange Science Fiction bleiben.
>
> Gruß,
> Cfx
>
>
Ich bleibe dabei, eine Man-in-the-middle kann man nicht erkennen ;-) Der Aufwand ist einfach etwas grösser.