是否有可能执行单向OTR MITM？

Question

下面是最近困扰我的一些事情:假设我和我的朋友建立一个OTR会话，并且--作为结果-- DH密钥交换被执行。我的朋友验证我的钥匙，但我不能核实他的指纹。尽管如此，我们有一个安全的渠道，他可以通过这个渠道向我发送一点信息--不管我的密钥是否有效。如果他成功地验证了我的密钥并发送给我这个确认文件，我能信任OTR会话吗?还是仍然存在着中间人攻击的风险？

Answer 1

最后，我在OTR的开发人员邮件列表上询问，下面是我得到的回复：

2015年4月8日，Wed，下午02:51:14PM +0200，Jacek Wielemborek写道:你好，有件事一直困扰着我。这是一种假设的情况，所以请不要再问“你是怎么给你的朋友寄来的？”

1. 我的朋友在一个安全的通道上接收到我的OTR指纹(例如见面)，但他不给我指纹，破坏通道，
2. 我和我的朋友建立了一个完全安全的通道，它有两个限制:我的朋友只能向我发送消息(而不是另一种方式)，而且只能传输一小部分信息。
3. 我们同意，通过这个频道，他会在未来的OTR会话中告诉我，我的指纹是否与他在第一步中从我那里得到的指纹匹配，
4. 我们回家，在互联网上建立一个OTR会话，这还不安全。我的朋友根据我们在第一步得到的指纹来验证我的指纹，并告诉我第二步的指纹是否在通道上匹配，

如果他在屏幕上看到的指纹与他从第一步中得到的指纹相符，我可以假设中间没有人吗？换句话说，我的朋友真的能看到我真正的指纹，但当他做出回应时，我看不到他的指纹，而是从MITM上看到的，这是否有可能执行单向OTR MITM？希望我能解释清楚。干杯，，早在OTRv1，这是可能的。然而，MITM将无法读取、写入或修改消息；问题是，您的伙伴会将您的密钥视为会话中的合作伙伴，而您则会将MITM视为您的谈话伙伴。(不过，这些信息实际上会传递给你真正的朋友。)我们在2005年对密钥交换协议进行了升级，以解决这个问题，我不认为MITM能够用OTRv2或OTRv3实现这一点(当然，除非其中一个端点被破坏)。更好的方法是在步骤1中交换一个共享秘密，然后使用SMP来相互验证您的长期密钥.但是，这需要在保密感知，而您的版本只需要在真实性感觉；后者在实践中有时更容易实现. -- Ian副教授兼大学研究教授，滑铁卢大学客座教授，ESAT/COSIC，KU Leuven