Lösung Übung 10?

^Lara^ · Beitrag von **^Lara^** » 12. Mär 2007 13:34

achso, also hat es nicht direkt was mit SSL zutun, sondern das allgemeine Diffie-Hellman-Man-In-the-Middle-Attacken-Problem

dachte es wär was spezielles zu SSL.

Julius · Beitrag von **Julius** » 12. Mär 2007 14:57

Gibt es mittlerweile eine Lösung für Aufgabe 2 Frage 6 mit der alle einverstanden sind?

Wenn ich nichts übersehe gibt es die 2 Antworten dazu:

"6. nach dem 2ten Finished, da beiden jetzt das gleiche Master Secret für die Session besitzen "

und

"zu 6. Gar nicht, Client hat sich nicht authentifiziert. "

junin · Beitrag von **junin** » 12. Mär 2007 15:02

@ Julius: Also kurze Erklärung zu meiner Antwort: gar nicht.
Da der Client sich ja nicht authentifiziert hat, woher soll der Server wissen mit wem er spricht? Die Finished Nachricht dient zur Integritätsüberprüfung, aber die Kommunikation war ja völlig okay, der Client musste ja nie sagen wer er ist.

Julius · Beitrag von **Julius** » 12. Mär 2007 15:03

Ich bin auch für deine Antwort. Wollte nur sichergehen, weil das scheinbar unter den Tisch gefallen ist.

^Lara^ · Beitrag von **^Lara^** » 12. Mär 2007 15:04

in der Sprechstunde wurde auch gesagt, dass der Client sich nicht authentifiziert, genau wie junin erklärt hat.

Equinox · Beitrag von **Equinox** » 12. Mär 2007 15:18

^Lara^ hat geschrieben:in der Sprechstunde wurde auch gesagt, dass der Client sich nicht authentifiziert, genau wie junin erklärt hat.

Ich denke, man muss hier zwischen Authentifikation und Man-in-the-Middle-Abwehr unterscheiden.

Der Client authentifiziert sich nicht. Ab der Finished-Nachricht des Clients weiß der Server aber trotzdem, ob er die ganze Zeit mit dem selben Client kommuniziert hat oder ob ein Man-in-the-Middle in die Kommunikation eingegriffen hat.

junin · Beitrag von **junin** » 12. Mär 2007 15:24

da bin ich mir nicht sicher, also bei Nutzung von DH auf keinen Fall