---

※ 引述《sexonly (QQQ)》之銘言：
: ※ 引述《DoraeCookie (哆啦餅)》之銘言：
: : 不只E-Mail不機密，甚至連雲端一點都不機密
: : 舉例來說，一堆人說蘋果的iCloud多棒多棒
: : 備份很自動，讓你能在各地方、用各種蘋果載具就能同步使用無縫接軌
: : 言下之意就是代表者你所有在載具上的資料，蘋果手上都有一份
: : 只要蘋果有心，他可以看你所有的雲端資料，而且還會被備份好幾份存在各地備援
: : 不知道把自己所有的私人資料放在別人那邊給別人自由地看
: : 還很高興可以炫耀的心態是怎麼樣呢？
: 重點是資料有沒有重要性 沒有人對死老百姓的資訊有興趣
: 把阿宅放在雲端的東西倒出來 裡面也可能只是一堆ACG和A片
: 最嚴重頂多發現該名阿宅經常逛Lolita City 有大量的CP(Child Porn)
: 除了FBI其他國家對這些情報不會有太大的興趣
: 真的要保密 資料的傳輸和儲存都需要經過加密
: 否則各國政府側錄網路訊息應該不是什麼秘密
: 最簡單來說 如果某人在公司偷上PTT 除非用SSH
: 要不然只要有側錄封包 網管可以非常輕鬆取得帳號密碼 以及貼了什麼廢文
: 真的有加密的檔案 像是之前wikileak流出的 insurance.aes256
: 即使人手一份 普及度媲美冠西自拍 但是裡面的秘密還是沒人知道
: 重要的內容透過RSA 2048bits
: 除非有人手頭上有外星科技 否則應該沒有已知的方式能快速破解


簡單說一下
public key 是不需要太過特別注意的
就像字面上說的
PKI, publick key infrastructure, 公開金鑰基礎建設的重點其實是在private key

任何跟PKI相仿的保護方式重點都差不多

包括麻省理工學院發展出來的賽伯洛斯認證法

應該是這個學校這個認證法吧？原文忘了

總之

公鑰本來就是公開的
私鑰才是最要緊那一把

通常來說，以ssh方式登入系統都需要輸入密碼
這是一種很麻煩的作法，而且容易被軟體記錄，有相當多的軟體都有記錄密碼的能力
所以後來就衍生了模仿公開金鑰系統的SSH protocol
主要實做流程大約是

1. client 端建立一組自己的對映公私鑰

2. client 將公鑰放到伺服器上，私鑰自己收好

3. 連線的時候，client 端先用自己的私鑰加密一個封包送到伺服器

4. 伺服器收到之後，用client 端的公鑰解開，解不開就丟掉，解得開進入下一步

5. 解開之後，伺服器端會隨機產生一個challenge 資料（簡單點可能用時間戳章之類
   用client端的公鑰加密之後送給client 端

6. 接著開始加密連線。


從這裡看起來，似乎是只要公開金鑰被拿走，訊息就會被盜走
其實不然。

簡單的說...，client 一般會送給伺服器的不外乎就是兩種資料

第一種是連線要求與連線回應
第二種是比較機密的資料，例如信用卡交易資料

SSH的公開金鑰被洩漏之後，的確，第一種連線要求與連線回應會被竊聽

但竊聽那個幹嘛？

要竊聽當然是要找那種重要訊息，比如說第二種的交易資料

第二種交易資料...，通常來說啦...，不會用SSH這種方式傳遞

會用SET或者SSL，也就是一般在說的https

另外，SSH這種東西是可以客戶自訂金鑰規則的...。

也就是說今天公鑰被偷，很快就可以換掉

不像是PKI一樣，要換公私鑰很麻煩


至於公開金鑰被偷走之後，有人可能會問，伺服器傳送給client 的資料怎麼辦？

前面也有說過，公鑰加密的東西，用公鑰是沒有辦法解開的

一定要有私鑰才解得開

然後私鑰跟公鑰兩邊並沒有可以推論的關係...（理論上沒有）

再加上隨機的challenge數，頂多就是讓駭客知道client 哪時候跟伺服器連線而已





順便解釋一下什麼是PKI好了

簡單來說是由公正（可以被信任的）第三方來做對映金鑰組的建立與發給
發出來的公鑰會建立在一個憑證上
以x.509來舉例
上面可能會記載：

版本、序號、發布者、使用期限、使用目的、使用演算法識別名稱、
發布者唯一識別資料、使用目的的唯一識別資料以及使用目的公開金鑰等等

實際上很多憑證裡面還會有certificate authentication

也就是憑證認定機構，簡稱CA，的數位簽章，來證實該憑證是可信的


舉例來說，就像是你的瀏覽器裡面的憑證資料庫
裡面有一堆這樣的憑證
從那些憑證裡面可以很容易的找出很多企業（比如說yahoo）的公鑰
但是絕對找不到私鑰...。


台灣的自然人憑證算是一個例外...。

台灣的自然人憑證那張卡裡面什麼都有

包括個人私鑰

雖然說製卡那間公司說那張卡有保護機制，沒有辦法破解

硬破解的話只會資料損毀...

不過...，你們懂的...

這種事情誰知道呢...



--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 175.111.51.3

--