发送加密数据时如何抵御MITM和重放攻击？

Question

假设我已经与另一台计算机安全地交换了密钥（也许使用 Diffie-Hellman），这是我的暂定解决方案：

数据包号+加密数据+消息认证码（MAC）

数据包编号是从0开始递增的数字。之后是加密数据本身，后面是两者的MAC。 如果有人尝试 MITM 攻击，MAC 应该无法计算。 如果他们尝试重放攻击，接收者会注意到它已经收到了该数据包编号。

我的推理有什么缺陷吗？

Answer 1

假设我已经与另一台计算机安全地交换了密钥（可能使用 Diffie-Hellman）

这就是您面临最大危险的地方 - 如果中间人设法控制密钥交换（例如，通过与客户端和自身，并与服务器和自身建立另一个密钥），那么 MITM 就可以解密（并重新加密）所有内容。 一旦建立了安全的密钥交换，您就应该不会受到 MITM 攻击。 但困难的部分是确保密钥交换真正安全。

请参阅实用密码学（或访问Amazon），作者：Ferguson 和 Schneier，了解有关此内容的信息。

Answer 2

你描述的不是中间人攻击，而是重放攻击。

通过 MITM 攻击，密钥交换被拦截，并且您说您已经安全地交换了密钥 - 所以这不是问题。

重放攻击很容易缓解，您可以添加一个唯一的消息 ID，然后在接收端检查它的唯一性。 通常，每条消息都有一个到期日期和时间，因此您无需保留不断增长的消息 ID 列表来进行验证。

Answer 3

您防止重放攻击的方法对我来说似乎是合理的。 您本质上是在描述一种名为时间戳的方法。 您的数据包编号是一个“虚拟时间”，收件人用它来验证该消息之前是否未发送过。

Answer 4

一旦密钥被交换，数据就不能被第三方拦截或欺骗。 （除非你的数据包计数器循环。假设来自旧窗口的数据包可以像来自新窗口的数据包一样重放。）这个问题的解决方案是时间戳（正如其他人提到的那样）。不过，同样，如果攻击者能够以某种方式损害系统时间。 （如果他们是中间人，他们可以假设模仿 NTP 服务器并以这种方式修改客户端的系统时间。）

然而，窃听者可以做的是将自己插入两方之间并破坏通道。 这可能会导致发生可以观察到的新密钥交换。 为了使密钥交换真正安全，您必须使用第三方验证或只有两个通信者知道的预共享密钥。