中間人攻擊

https://www.youtube.com/watch?v=-enHfpHMBo4

2015-10-23

但這只是延後問題

解決方法是簽署憑證

傳送金鑰給可信賴的第三方組織，讓他們計算來源和內容是否正確

之後會回傳一已簽名過的公鑰

攻擊者沒有這些組織的私鑰，就無法進行攻擊

但是我們該相信哪些機構？

你必須相信它

例如Apple的手機，會在出廠時就預先裝好上百個頒發憑證機構的名單

你信任這些機構，因為你的網路瀏覽器製造者信任他們

兩個明顯弱點

1. 欺騙這些頒發憑證機構，或是偷竊該機構的密鑰

荷蘭的憑證機構被用於攻擊伊朗

人們也會擔心政府這樣做

2. 修改你的手機或電腦上的受信任機構的清單

Lenovo的Superfish