在看阮一峰的数字签名介绍,里面说:
通过替换客户端的公钥,然后再用对应的私钥,就可以欺骗客户端(具体怎么做到先不管,起码认证上能骗到了),让客户端以为自己在跟预想的服务端通信。
(欺骗的通信公钥-私钥)
"道格想欺骗苏珊,他偷偷使用了苏珊的电脑,用自己的公钥换走了鲍勃的公钥。此时,苏珊实际拥有的是道格的公钥,但是还以为这是鲍勃的公钥。因此,道格就可以冒充鲍勃,用自己的私钥做成"数字签名",写信给苏珊,让苏珊用假的鲍勃公钥进行解密。"
(欺骗的通信公钥-私钥 + 欺骗的 CA 公钥-私钥)
下面接着说如果有 CA 的存在,就能防止这个隐患。可我想,那同样不是可以把 CA 的公钥给换掉,再拿对应的私钥,里面放假的服务器公钥,就跟上面的引用相比,再做多一步欺骗,不也一样可以骗到?
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.