4
回答
原来HTTPS SSH SSL是可以轻松被监听的
华为云4核8G,高性能云服务器,免费试用   

文章 The End of SSL and SSH?

实现方法

http://www.ibm.com/developerworks/cn/security/s-sniff/part1/index.html

http://blog.chinaunix.net/uid-2469966-id-2595315.html

证实了我那个猜想 A,B中间C的监听。(我之前没了解过这方面的知识)

所以SSH不是用证书登录的,都可以轻松被监听。

HTTPS方面,浏览器没有内置的根证书的,也可以在网络验证的时候被截获替换,并且监听。HTTPS常用的RC4是序列密码,据说有爆破的可能?

我总结,分组密码的对称加密才是最安全的。比如SSH的证书登录。(浏览器内置跟证书应该算是对称的吧?因为不用联网认证。)

简单的例子还是我之前举的,我就用RAR,ZIP,DES,RC5,IDEA.....带密码嵌套加密1个文件1万次,在网络上传输,就算完整的截获了,这个怎么破?不能每个加密方法都有漏洞吧?爆破的可能性更是无限接近于0,这就是传输过程中的绝对安全

学习中...欢迎指教


<无标签>
举报
Foou
发帖于5年前 4回/2K+阅
共有4个答案 最后回答: 5年前
这种攻击方式在SSL/SSH设计之初就已经被考虑到了,对称加密面临的关键问题是如何在不安全的网络上交换密钥,非对称加密面临的关键问题是如何保证公钥不被篡改,如果没有办法验证公钥来源的话,在一个完全暴露的网络环境下通讯是没有办法做到安全的。至于用多少算法加密多少次,在密钥无法安全传输的情况下是毫无意义的
--- 共有 2 条评论 ---
汤医森回复 @tianso : 所谓one-time pad,即借助了预先约定好的密钥并且每次都从中取出一部分不低于明文长度的密钥用于加密,这种方法在香农时代就已经被证明是“绝对”安全的,但需要借助一个安全的信道,目前这种信道的可靠实现只有一种,即线下交换 5年前 回复
Foou说的对。但是秘钥是不通过网络传输的。其他途径。就像楼下举的例子 one time pad。否则怎么能做到传输的绝对安全? 5年前 回复

你要追求绝对安全,请去搜索one time pad

现实中使用的加密方案要考虑实用性

--- 共有 1 条评论 ---
Foou哈,现实中得考虑实用性 5年前 回复
顶部