自我驗證防篡改第一次會議
我不確定我要找的確切詞是什麼,所以如果有更好的表達方式,我深表歉意。我在想的是以一種防篡改且可用於身份驗證的方式轉移身份的方法。
通常要知道某人是誰,人們使用駕駛執照或人的臉。在加密術語中,這類似於您的公鑰。您可以使用它來對消息進行簽名和加密,以驗證您是您所說的自己,就像有人說話而您在這裡它來自那個人的嘴一樣。你看他們的臉就知道他們是誰。
如果您通過不安全的網路發送公鑰,則它有機會在使用 Diffie-Hellman 密鑰交換等情況下被修改。您的通信是安全的,但未經驗證。
對此的一種解決方案是 PGP 使用的這種信任網路,人們在看到您的照片 ID 或通過成為您的朋友等而認識您之後會簽署您的密鑰。他們通過查看那些證明您是誰的東西來保證您的身份。
是否可以通過傳輸具有您鑰匙的二維碼表示的人的影片來將其數字化?例如影片聊天,其他人可以看到你的臉和你的公鑰。對此的攻擊將是中間人,但即便如此,您也必須修改影片流或使用您自己的 QR 碼創建影片的假冒。
這是否還有我沒有看到的其他漏洞(顯然,如果您沒有網路攝像頭,它將無法工作)?有沒有辦法以更好的方式減輕對 QR 碼的修改(顯然這將是一種非常具體的攻擊,但除非你能以某種方式使其時間敏感或以某種方式使其無法更改*)?
編輯
其他一些想法,而不是 QR 碼(人們可能無法使用列印機,並且您不想僅以數字方式傳輸螢幕或它的圖片,因為它很容易被替換)可能是公眾的雜湊鍵,儘管它確實有 sha1 160 個字元的缺點,所以它很長。
PGP 使用信任網路,這也可能發生在您已經認識許多很可能認識您認識的人的人。你可以通過你們都認識的其他人確認實際上是他們(在一定程度上)。
雖然可以更改影片(同樣極不可能,但我認為這不會很難,乏味是的)語音會有另一個問題要偽造(儘管這是連接的開始可能沒有好處,因為他們可能會排隊它,雖然它會很奇怪,因為影片消息不會同步,並且以某種方式使用音頻將它拼湊在一起)。
所有這些事情都需要時間來改變和攻擊,感覺它正在流式傳輸它似乎有抵抗力,因為影片消息自然需要同步而不是延遲,如果存在可能成為問題的長時間延遲。但是(儘管我不確定這是否可行),電腦自動化可以加速篡改**。
另一個雖然是某種共享的秘密,但我認為這會很弱,因為它要麼是相當公開的(我們上週在 xyz 遊戲中坐在哪裡),要麼如果足夠秘密,為什麼不給彼此你的二維碼……
- 但是,任何簽署影片的方法都行不通,因為您也只需更改密鑰……也許用其他人的公鑰對其進行加密,但對於中間人的攻擊仍然很弱,不是嗎?
** 電腦自動化顯然不太可能,但二維碼可能是可能的,因為它是電腦可讀的,不太可能是寫在紙上的字元串或語音資訊(據我所知)。
我不會認為語音或影片在更長時間內仍然是一種安全的辨識方式。實時影片流編輯的進步已經足夠接近現實,我不會在其上建構新的安全系統。
在幾千年前的古代,您可以讓兩端的電腦顯示一個簡短的 MAC 供雙方交替朗讀一個字母(快速),並且沒有延遲加上您伴侶的聲音聲音是一個很好的保證,你沒有被MITM’ed。但是今天,老練的攻擊者可以使用的技術甚至可能使這種方法變得不可信。
如果你真的那麼偏執,你需要在身體上和私下交換一些其他類型的好/脅迫信號,例如特定的單詞或片語;右腿越過左腿;桌子上的康乃馨或玫瑰,朝右或朝左;左手或右手拿著香煙或其他物品;書面朝下或面朝上,或其他一千種俗氣的間諜貿易信號中的任何一種。但有時無法擊敗舊備用。
修改影片流或使用您自己的 QR 碼創建假影片並不難,因此您的具體建議並不安全。在他們不在場的情況下,遠端驗證您從未見過的人的身份……嗯,這很有挑戰性。