в какой-то момент попасть к другой стороне, а значит, его тоже можно перехватить
Чистый DH даёт защиту только eavesdrop атаки(перехват ключа при обмене в данном случае). mitm всё также возможнен(подмена ключа при обмене на ключ известный атакующему в данном случае). Потому что как верно замечено, шифрования в данном случае нет. Нужна авторизация сторон. Например с помощью цифровой подписи, через ElGamal например. Ну или любым другим способом. Мы обменялись сессионными ключами шифрования, теперь можно переходить на какие-то более быстрые алгоритмы шифрования и аутентификации сообщений. Остаётся только проблема доказать что открытый ключ для проверки подписи дествительно принадлежит тебе и его парный закрытый ключ не скомпроментирован. Тут уже по разному решается. Либо личный обмен, либо ещё как, например с использованием третей доверенной стороны. В случае VPN ты обменялся ключами для проверки подлинности на этапе настройки.
надёжная передача ключа в ненадёжной среде в общем случае невозможна. На винду базовые ключи для проверки чужих подписей попадают вместе с виндой при установке.
Обсуждают сегодня