Хочу обсудить вариант защиты от MITM
Добрый день! Хотел бы обсудить вариант защиты от mitm для мессенджеров и VOIP: целесообразность, слабые места, удобство использования и т.п.
Для мессенджеров протокол примерно следующий:
1) Обмен сообщениями происходит в фиксированное время по полудуплексной схеме.
2) На написание сообщения отводится фиксированное время.
3) Посе сабмита сообщения сначала отправляются открытые ключи обернутые в хеш сообщения
4) Через фиксированное время отправляется зашифорванное сообщение
5) Принимающая сторона контроллирует время приема PKI и удостоверяется в правильности открытых ключей позже, после приема сообщения.
6) MITM не может подделать PKI, т.к. он не знает сообщение отправляющей стороны (оно отправляется позже), то есть цифровой подписью защишающей PKI является смысловая нагрузка сообщения
Для VOIP вариант следующий:
1) Удаленный терминал загадывает время и продолжительность порчи голоса (порядка 3-5 секунд)
2) Обмен открытыми ключами обернутыми во время порчи голоса
3) Передача голоса
4) Порча голоса в загаданное время
5) Принимающая стороны контроллирует сигнал порчи голоса
6) MITM и фабрикация голоса произносящего ключевую фразу (как в Zfone) невозможна, так как атакующий не знает что говорил человек во время порчи голоса
7) Люди общаются, и не доверяют моменту произношения секретной фразы как в Zfone, а просто периодически переспрашивают друг друга что они не услышали. С точки зрения психологии это проще и безопаснее
Я писал про это Циммерману, но в этот раз он не ответил, хотя примерно год назад он мне ответил что написал в Zfone FAQ о проблеме SAS voice impersonation
И вообще, насколько актуальная защита от MITM с учетом подделки фингерпринтов и не довере сертификатам? Может быть этим никто не занимается? В смысле подделкой фингепринтов?
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 155 документов: 20 редакций: 5
А по поводу твоего последнего ответа, я и сам согласен, что практически, очень трудно взломать голосовой фингерпринт атакой фабрикации голоса. Хотя, за пол года 2-ух людей можно натренировать, что они будут щелкать людей как орешки. Но вот будут ли такой атакой ломать президентов – вопрос для меня не ясен.
Вообще сейчас есть программы которых можно научить говорить голосом любого человека если есть записи многих речей что он произнёс. Аналогично и про видео. Можно в реальном времени даже редактировать видеосъёмку – есть такие программы. Скоро тому что видим/слышим с компа уже вообще нельзя будет доверять :)
Артисты в некоторых рекламных роликах выглядят уж очень неестественно. Возможно, что это уже только их компьютерные модели. Так, вероятно, даже дешевле будет.
Вобщем, ещё немного лет, и очередной уловень матрицы замкнётся...
комментариев: 9796 документов: 488 редакций: 5664