Это подозрение верно? Если так, то почему и как?
Да, это называется атака «человек посередине» (MITM), и она может происходить практически по любому каналу связи.
Уверены, что слышали о "злых" политиках, которые подделывают чью-то почту? Почему они использовали печати для сообщений в древние времена?
Проблема заключается в том, что с появлением эпохи Интернета, существует гораздо больше возможностей для взлома, а также значительно снижается безопасность даже в тех вещах, которые мы знаем и используем.
Небольшой пример.
Подумайте об этом: вы идете в банк, чтобы отправить деньги, используя классические заявления.
в известном городе
на известной улице
с большим количеством людей вокруг
вы можете даже знать охранника
Вы знаете, как должно выглядеть утверждение
Вы можете даже знать клерка по лицу и по голосу. Даже если они новые, вы можете прокомментировать это и получить их реакцию.
Еще до того, как вы дотронетесь до бумаги, есть буквально тысячи терабайт (ну, AFAIK никто никогда не измерял, но это было бы огромное количество), которые ваш мозг сможет проверить, чтобы убедиться, что вы в нужном месте, и ничего странного не произошло в то утро.
Теперь этот огромный объем данных фактически является открытым ключом банка: все могут получить все данные, но для вас это работает, только если у вас есть воспоминания о месте (это ваш личный ключ). Ваш мозг (да, единственная машина, которой вы можете доверять, только потому, что вы должны), выполняет всю расшифровку и проверку за вас. Здорово.
Теперь рассмотрим HTML-страницу с простой формой имя / пароль. И ... как большой ... 4096 байт большой сертификат безопасности. Где закрытые ключи? Чтобы максимально упростить, мы могли бы сказать, что они есть в вашей ОС. И что это за ящик, который делает чеки для вас? Ты можешь заглянуть внутрь?
Добро пожаловать в мир интернет-безопасности.
Что ж, я не пытаюсь сравнивать миры со вселенными или говорить, что как-то легко подделать банковский сертификат (хотя это смехотворно легко сделать с помощью HTML-формы), или что легко попасть в середину ( ну, это удивительно легко в большинстве сетей Wi-Fi). То, что я пытаюсь сказать, это то, что никогда не было так мало данных для подделки, и никогда не было более "невидимых" способов сделать это.
Что делать, если я должен был настроить ssh-сервер и предварительно настроить все известные хосты и соответствующие ключи и тому подобное. Я мог тогда достигнуть безопасного соединения по стандартному небезопасному модемному соединению? Это правильно?
Это именно то, для чего был создан ssh: создание относительно безопасных соединений по ненадежным сетям.
Однако есть и другие факторы, которые следует учитывать.
Хорошо, при условии, что ваш закрытый ключ или ваш сервер не были скомпрометированы, и при условии, что вы использовали сильный (= длинный, 4096 байт) ключ, и при условии, что ваш "враг" не обладает огромной вычислительной мощностью, при условии, что ваш враг не слушая достаточно долго, при условии, что у них будет как можно меньше знаний о вашем аппаратном и программном обеспечении ... да, это может сильно усложнить взлом.
Помните: безопасность это не технология. Безопасность - это мышление.
Каковы шансы, что "плохие парни" "слушают" по вашей обычной телефонной линии? Как вы думаете, это на самом деле происходит?
Вероятно, очень трудно догадаться, не зная технических деталей соединения. Сколько вокруг акул с лазерами? Это в середине Солнца?
А если серьезно, я думаю, что, хотя вы, вероятно, не можете угадать доказательства, есть и другая точка зрения:
Могут ли влиятельные парни оценить ценность такого варианта? (Я имею в виду, сколько им лет? Они уже "интернет-поколение"?)
Можно ли (или будет ли это в ближайшее время) проанализировать такие данные и извлечь из этого пользу?
Являются ли люди, которые в некотором смысле неизбежно должны собирать такие данные только для того, чтобы их сервисы могли работать (например: «Не представляю себе социальную сеть без хранения социальных данных)», достаточно ли этически сбалансированы, чтобы они еще не продавали их? ? Знаем ли мы это?
Добро пожаловать в мир интернет-этики.