PKI、证书、证书颁发机构、前向保密的安全性

Question

我想了解证书如何增加信息交换的安全性。

假设我使用公钥/私钥对在Alice和Bob之间建立了一个加密的双向连接。只要我通过安全通道确认公钥实际上属于隧道的预期终端，我就已经从MITM那里获得了连接。

证书给表带来了什么安全性？理论上，我需要一个CA本身的证书，以确保来自此CA的进一步证书实际上来自同一个CA。

另一个疑问是，它还声明SSL/TLS支持完美的前向保密，因为IKE是定期发生的；我不明白这如何允许完全的前向保密；如果您保存了两个端点之间的所有数据包交换，并且碰巧强制发送-接收密钥，这将暴露在该会话期间发生的所有IKE。这可能可以通过在多个会话中执行IKE来缓解，也就是说，在多个会话密钥下交换每个密钥，这意味着您需要破解多个密钥才能到达其他密钥。

编辑:我添加了一个后续问题这里。

Answer 1

是的，如果您能够确保使用正确的公钥，则MITM攻击将被阻止。证书是一种公钥分发方法，它允许这样做。

证书的要点是，您只需要“知道”CA公钥，就可以验证CA颁发的所有证书--可能有数百万个证书，而且它还可以处理CA下周颁发的证书。因此，虽然证书并不完全消除对信任来源(先验已知公钥)的需求，但它们充分集中了所需的内容，从而解决了密钥分配的实际问题。

对公钥的信任可以通过证书以外的其他方案来实现；例如，SSH是通过缓存来实现的(您可以信任服务器公钥，因为您可以验证它与上次联系它时的密钥是否相同；在某种程度上，SSH实现了对时间的信任集中，而证书则实现了间隔)。

当您使用“DHE”套件时，可以使用SSL实现完美的前向保密--用于"Diffie-Hellman短暂“。这里的重要单词是“短暂的”：保护会话对称密钥的实际私钥是动态生成的，并且从不存储(这些是Diffie-Hellman密钥)；因此，这些密钥应该不受泄露的影响。存储的密钥(例如私钥文件中的密钥)仅用于签名，因此窃取密钥并不能解密过去的会话(不过，它使服务器能够模拟别有用心的对话)。PFS不是关于实际的密钥中断，而是关于密钥窃取，实际上，这是一种更合理的攻击路径。DHE密码套件通过从不存储密钥交换私钥来确保PFS。

Answer 2

什么安全性会将证书带到表中？理论上，我需要一个CA本身的证书

是的，默认情况下，默认情况下，浏览器中已经存在一个(巨大的) CA证书。当您下载包含浏览器的操作系统(或用于下载浏览器的分发包系统的证书)时，仍然会出现初始引导带问题。

我认为这样的妥协比在该列表中签名伪造的服务器证书的更容易被注意到，除非它是一个高调的站点，就像链接的情况一样。

另一个疑问；它还声明SSL/TLS支持完美的前向保密，因为IKE是定期发生的。

请注意，虽然SSL支持完美的前向保密，但由于性能原因，它通常是禁用的。

安全性属性不是基于频繁生成新的会话密钥，而是基于使用迪夫-赫尔曼进行密钥交换。

如果攻击者既不能修改数据流两端的内容，也不能修改数据流的目标，那么DH允许在不安全的线路上协商密钥。链接到维基百科的文章很好地解释了DH的工作原理。这是可以理解的，只有很少的数学背景知识。

完全前向保密背后的想法是防止攻击者在未来解码旧记录的数据流时，私钥可能被破坏。证书确保Alice与正确的Bob交谈。因此，在PFS场景中满足了DH (不修改，没有错误目标)的要求。