2010-12-28 18 views
2

セッション、クッキー、SSLを使用せずに安全な認証が可能ですか?SSLなしで安全で安心な認証が可能ですか?

私はSRPやDiffie Helmanのような他のプロトコルを見てきましたが、最終的には鍵の証明をワイヤーに送る必要があり、それは "Man In The Middle"攻撃に脆弱です。

+2

SRPはMITMに対して脆弱ではありません。しかし、あなたはSSL/TLSに対して何を持っていますか? –

+0

SSL/TLSの一般的な問題は、「信頼できる第三者」が必要だということです。信頼できるサードパーティ全般には何も問題はありませんが、現在のところ、信頼のチェーン全体が冷たい現金を中心に回っている状況があります。 – Jacco

答えて

2

事前共有されていない情報がない場合、man-in-the-middle攻撃から何も安全ではありません。あなたは、中間者の人に安全であるために、常に事前共有された情報が必要です。パッシブ盗聴から安全にしたいだけなら、事前共有情報は必要ありません。

SSLが最も効果的な主な理由は、事前共有されたセキュリティ情報証明書があることです。 Webブラウザは既にバンドルされています。たとえば、FirefoxでTools/Options/Advanced/Encryption/View certificates/authorityを表示し、証明書を選択してViewをクリックします。

もちろん、事前共有情報に基づいて異なる暗号化プロトコルを使用できます。したがって、原則としてSSLなしで可能です。 現在のところ、Webブラウザにバンドルされている唯一の事前共有情報はSSL証明書です。

+0

ポイントは有効ですが、「事前共有キー」という表現を使用しないでください。 SSL/TLSのコンテキストでは、[PSK](http://tools.ietf.org/html/rfc4279)は事前共有*対称*(または秘密)キーです(PKIベースのTLSほど広くは使用されていません認証)ではなく、CA証明書による公開鍵の配布に関するものではありません。あなたは、バンドルされ、事前に信頼されているCA証明書について話しています(CAは、それらをあなたと「共有」していないので、信頼できるようにします)。 – Bruno

+0

@ブリュノ、私は同意する、私の用語は正確ではない、私は原理について話している。私はこれを反映するために私のポストを少し編集しました(PSKという言葉を削除しました)。あなたのコメントをありがとう! – TMS

+0

それは非常に良い説明です、私はいつもSSLが根本的により安全である理由についていつも興味がありました。ありがとう。 –

4

接続(秘密交換鍵、メッセージを暗号化できるなど)の前に通信がない限り、Web上でSSLを使用しなければ何も安全ではありません。

+0

SSLを使用していても、100%安全ではありません.SSLストリップを見てください。 –

+1

@ M.H:SSLに対する攻撃ではありません。 –

+0

@M.Hほとんどのブラウザは最近、STSをサポートしています。また、+1、sslが必要です – rook

1

認証のみのために、任意の公開鍵ベースの暗号化が代わりになる可能性があります。デジタル署名と署名者の証明書への参照を含むカスタムHTTP要求ヘッダーを追加できます。これは完全に独自のアプローチですが、あなたのニーズに合っているかもしれません。

関連する問題