查看完整版本 : https 是否能防止到 vpn 截取數據

煙民母親生賤種 2020-7-19 11:34 PM

https 是否能防止到 vpn 截取數據

user pc -> 3rd party VPN -> internet。

由於 vpn 是完全 relay  哂雙方的數據, 包括 public key, 照道理應該可以知道哂加密後的明文。

林珍兒 2020-7-20 03:46 PM

um...... 應該唔係,嗰個 asymmetric encryption,data 要用 private key 先解到。除非咁醒目,連條 private key 都經 vpn 黎 exhange⋯⋯正常vpn 只睇到已經 encrypted data⋯⋯而唔係未加密的明文。

而 private key 正常只有自己 own,唔會流出去,所以,理論上只係睇到加密左的 data⋯⋯

111x111=12321 2020-7-20 05:47 PM

[quote]原帖由 [i]林珍兒[/i] 於 2020-7-20 03:46 PM 發表 [url=https://computer.discuss.com.hk/redirect.php?goto=findpost&pid=521958637&ptid=29233299][img]https://computer.discuss.com.hk/images/common/back.gif[/img][/url]
um...... 應該唔係,嗰個 asymmetric encryption,data 要用 private key 先解到。除非咁醒目,連條 private key 都經 vpn 黎 exhange⋯⋯正常vpn 只睇到已經 encrypted data⋯⋯而唔係未加密的明文。

而 private key 正常只有自己 own,唔會流出去,所以,理論上只係睇到加密左的 data⋯⋯ ... [/quote]
um...... 應該唔係....

//唔會流出去//
不對, 正如你所講,「除非咁醒目,連條 private key 都經 vpn 黎 exhange」
這否認句, 內合含"exchange"

Right, private key係要(somehow) exchange出去.

況且這才合邏輯, 否則remote side雖然是自己友, 憑咩可解可溝通?

111x111=12321 2020-7-20 05:51 PM

[quote]原帖由 [i]煙民母親生賤種[/i] 於 2020-7-19 11:34 PM 發表 [url=https://computer.discuss.com.hk/redirect.php?goto=findpost&pid=521925172&ptid=29233299][img]https://computer.discuss.com.hk/images/common/back.gif[/img][/url]
user pc -> 3rd party VPN -> internet。

由於 vpn 是完全 relay  哂雙方的數據, 包括 public key, 照道理應該可以知道哂加密後的明文。 [/quote]//private key係要(somehow) exchange出去.
然而remote side是用「其他方法」知道private key的.

這個session, 沒有.:loveliness:

~ ~ ~

一個最naive example是, 經http大聲叫出private key, 哈, 無人抄低唔知咩事...... except your remote friend.
三日後才initiate你#1個session,「3rd party VPN」跟唔到.:smile_35:

林珍兒 2020-7-20 07:32 PM

[quote]原帖由 [i]111x111=12321[/i] 於 2020-7-20 05:47 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=521965531&ptid=29233299][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]

um...... 應該唔係....

//唔會流出去//
不對, 正如你所講,「除非咁醒目,連條 private key 都經 vpn 黎 exhange」
這否認句, 內合含"exchange"

Right, private key係要(somehow) exchange出去.

況且這才合邏輯, 否則remote side雖然是自己友, 憑咩可解可溝通? ... [/quote]
um.......remote 其實 exchange 只涉及 public key😳
private key 係不需要流出⋯⋯
https 係確保 data 去到 server,並且,是由擁有 private key 既人先解到。

wtf_name 2020-7-20 07:41 PM

正常唔得,vpn server 只睇到解左vpn密的資料,即係已加密的https

但由於你裝左vpn 條root cert, 佢係可以用呢張cert 去簽發任何doMain , 即係你以為係https 點知個https 原來係假扮, 即mitm attack !
Tls 再後一版會防到,例如你去過某網,突然今日改左cert signing , 雖然仲valid 但會彈出嚟

111x111=12321 2020-7-20 07:43 PM

[quote]原帖由 [i]林珍兒[/i] 於 2020-7-20 07:32 PM 發表 [url=https://computer.discuss.com.hk/redirect.php?goto=findpost&pid=521970204&ptid=29233299][img]https://computer.discuss.com.hk/images/common/back.gif[/img][/url]

um.......remote 其實 exchange 只涉及 public key😳
private key 係不需要流出⋯⋯
https 係確保 data 去到 server,並且,是由擁有 private key 既人先解到。 [/quote]
"由擁有 private key 既人先解到", 上面我有描述呢part, 請留意.

正是 :  //Right, private key係要(somehow) exchange出去.//
於是[color=DarkRed]有[/color]「擁有 private key 既人」:)

P.S. 我用番你原字exchange而已, 當然你可以捉字虱, 單向畀一次不是exchange,
我寫exchange出去.

煙民母親生賤種 2020-7-21 12:29 AM

[quote]原帖由 [i]林珍兒[/i] 於 2020-7-20 07:32 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=521970204&ptid=29233299][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]

um.......remote 其實 exchange 只涉及 public key😳
private key 係不需要流出⋯⋯
https 係確保 data 去到 server,並且,是由擁有 private key 既人先解到。 [/quote]
private key  要預先雙方交換。所以應該是要流出。但 https 只係突然有用戶想睇某一網頁,我唔明點解預先交換。

[url]https://www.tutorialspoint.com/difference-between-private-key-and-public-key[/url]

111x111=12321 2020-7-21 11:38 AM

[quote]原帖由 [i]煙民母親生賤種[/i] 於 2020-7-21 12:29 AM 發表 [url=https://computer.discuss.com.hk/redirect.php?goto=findpost&pid=521985033&ptid=29233299][img]https://computer.discuss.com.hk/images/common/back.gif[/img][/url]

private key  要預先雙方交換。所以應該是要流出。但 https 只係突然有用戶想睇某一網頁,我唔明點解預先交換。

[url=https://www.tutorialspoint.com/difference-between-private-key-and-public-key]https://www.tutorialspoint.com/difference-between-private-key-and-public-key[/url] ... [/quote]

//我唔明點解預先交換。
點解..... 點樣??

煙民母親生賤種 2020-7-26 12:20 AM

[quote]原帖由 [i]111x111=12321[/i] 於 2020-7-21 11:38 AM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=522002792&ptid=29233299][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]


//我唔明點解預先交換。
點解..... 點樣?? [/quote]
文中提及要預先交換 private key  。

不過就算非對稱加密,都要事先交換 public key  。我就係唔明點預先交換。用戶去一個網頁只係隨意性質, 一 click  就去。無可能預先交換任何野。

第二, 一交換, vpn  其實應該已可以取得雙方的 public key 。

煙民母親生賤種 2020-7-26 12:24 AM

好似 本壇為例

darigold 2020-7-26 09:32 AM

正確使用 SSL/TLS 可以「保證」不會被 man-in-the-middle attack。

TLS 係用呢種方法交換 symmetric encryption key。

首先,雙方 agree 一個 [url=https://en.wikipedia.org/wiki/Group_(mathematics)]group[/url]  G 和一個 [url=https://en.wikipedia.org/wiki/Primitive_element_(finite_field)]primitive root[/url] r,這個 agreement 是公開的,可以 hardcode。

雙方 generate 一個 random number。方便起見,server o個個我地叫 s,client o個個我地叫 c。client 計 r^c ,server 計 r^s ,用自己既 private key encrypt 左,send 俾對方。

client 收到 r^s,自己知道 c ,可以計到 (r^s)^c = r^(cs)。同樣道理,server 收到 r^c,自己知道 s ,也可以計到 (r^c)^s = r^(cs)。

這樣,雙方都知道 r^(cs),就以用黎計一條公用的 AES key。

VPN 可以知道 G, r, client public key, server public key, client private key encrypted r^c, server private key encrypted r^s ,和 AES 用 r^(cs) encrypted 的內容。

VPN 也可以 send 假的 client private key encrypted r^c,假的 server private key encrypted r^s ,用假的r^(cs) encrypted 的內容。

VPN 的目的是想知道溝通內容,第一個方法就係o係唔知AES private key 既情況下估內容。

所以我第一個假設係,「[b]如果唔知 AES private key,估內容難度極大,做唔到[/b]」

有左第一個假設,咁 VPN 就一定要知道r^(cs),佢知道唔少野(G, r, client/server public key, r^c, r^s),咁計唔計到 r^(cs) 呢?

所以我第二個假設係,「[b]只有呢 d data,計唔到r^(cs)[/b]」

呢個假設係有道理既,通過 r^c 和 r 計 c 學名叫做 discrete logarithm,係公認既難題。前題係個 group 要夠大,唔會俾人 brute force。

如果 VPN send 假野呢? 由於 VPN 冇 private key,所以佢 send 唔到假野。

如果 VPN 求其 gen 一條 private key 扮 server private key 呢?

client 會檢查 server certificate,證明佢係 certificate authority 簽發的 certificate。

client 唔會相信隨便既一個 certificate authority,每一個 browser 都會有一個 trusted certificate authority 既 list,所以即使 server 扮埋 certificate authority ,只要 client 唔 trust,依然係冇辦法 decrypt 到內容。

前題係「正確使用」。如果 user 亂信 certificate authority,或者 certificate authority 出賣你,或者純粹係 user 打 http 個陣唔記得加s,都會就咁燒焦。

開心一下…
[url=https://www.youtube.com/watch?v=vkztCm81rmc]https://www.youtube.com/watch?v=vkztCm81rmc[/url]

111x111=12321 2020-7-26 10:08 AM

[quote]原帖由 [i]煙民母親生賤種[/i] 於 2020-7-26 12:20 AM 發表 [url=https://computer.discuss.com.hk/redirect.php?goto=findpost&pid=522264119&ptid=29233299][img]https://computer.discuss.com.hk/images/common/back.gif[/img][/url]

文中提及要預先交換 private key  。

不過就算非對稱加密,都要事先交換 public key  。我就係唔明點預先交換。用戶去一個網頁只係隨意性質, 一 click  就去。無可能預先交換任何野。

第二, 一交換, vpn  其實應該已可以取得雙方的 public key 。 ... [/quote]
HTTPS, Let's say, 用戶, 想問網主「我是陳大文, 請給我是日新聞」

可以如下...
[list][*]用戶生成 "陳K + 陳k"[*]網主Public KEY是公開的, 用戶將 [KEY x 我是陳大文, 送條"陳K"給你, 請給我是日新聞] (炒亂) 傳給網主[*]中間人作弊: 偷睇[炒亂]無用, 偷改MSG網主解唔開[*]網主將[炒亂]以Private key還原 [我是陳大文, 要是日新聞], "陳大文"備用(login), 傳回 [陳K x 是日新聞] (炒亂)[*]用戶收到[炒亂], 以陳k還原, 享用是日新聞[/list]

煙民母親生賤種 2020-7-27 01:16 AM

[quote]原帖由 [i]darigold[/i] 於 2020-7-26 09:32 AM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=522274735&ptid=29233299][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
用自己既 private key encrypt 左,send 俾對方。

client 收到 r^s,自己知道 c ,可以計到 (r^s)^c = r^(cs)。同樣道理,server 收到 r^c,自己知道 s ,也可以計到 (r^c)^s = r^(cs)。

這樣,雙方都知道 r^(cs),就以用黎計一條公用的 AES key。 [/quote]

r^s  及 r^c  , 互換前已用各自的 private key encrypted,  咁如何仲可以計到 r^(cs)??  同埋 https 其實  一 click  後,是否已自動互換 encrypted 左 既 r^s and r^c

Pseudo 2020-7-27 06:26 PM

[quote]原帖由 [i]111x111=12321[/i] 於 2020-7-26 10:08 AM 發表 [url=https://computer.discuss.com.hk/redirect.php?goto=findpost&pid=522276111&ptid=29233299][img]https://computer.discuss.com.hk/images/common/back.gif[/img][/url]

HTTPS, Let's say, 用戶, 想問網主「我是陳大文, 請給我是日新聞」

可以如下...
用戶生成 "陳K + 陳k"網主Public KEY是公開的, 用戶將 [KEY x 我是陳大文, 送條"陳K"給你, 請給我是日新聞] (炒亂) 傳給網主中間人作弊: 偷睇[炒亂]無用, 偷改MSG網主解唔開網主將[炒亂]以Private key還原 [我是陳 ... [/quote]
原來係咁 !!!

darigold 2020-7-29 06:01 AM

[quote]原帖由 [i]煙民母親生賤種[/i] 於 2020-7-27 01:16 AM 發表 [url=https://computer.discuss.com.hk/redirect.php?goto=findpost&pid=522321208&ptid=29233299][img]https://computer.discuss.com.hk/images/common/back.gif[/img][/url]
r^s  及 r^c  , 互換前已用各自的 private key encrypted,  咁如何仲可以計到 r^(cs)??  同埋 https 其實  一 click  後,是否已自動互換 encrypted 左 既 r^s and r^c [/quote]


在互換private key encrypted r^s 和 r^c 之前,它們就互相交換了 public key。public key 是用明文交換的,所有參與者,包括vpn,都知道。

看來你不明白的不是 key exchange ,而是 public key cryptography 。 RSA 好多人寫過了,有機會既話,我可以寫下 elliptic curve 。

煙民母親生賤種 2020-7-30 01:24 AM

[quote]原帖由 [i]darigold[/i] 於 2020-7-29 06:01 AM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=522430017&ptid=29233299][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]



在互換private key encrypted r^s 和 r^c 之前,它們就互相交換了 public key。public key 是用明文交換的,所有參與者,包括vpn,都知道。

看來你不明白的不是 key exchange ,而是 public key cryptography 。 RSA 好多人寫過了,有機會既話,我可以寫下 elliptic curve 。 ... [/quote]

以我理解, https  係以非對稱加密。這形式是以 public key 加密, 以對應的 private key 才能解密。 反之亦然, 以 private key  密, 就只能以對應之  public key  解密。一般是事先交換  public key,  而 private key 是不用交換。  為何你話以  private key  加密 r^s r^c ?

煙民母親生賤種 2020-7-30 01:29 AM

>> 這樣,雙方都知道 r^(cs),就以用黎計一條公用的 AES key。

事先交換了明文 public key ,  為何之後又要計 public key ??  先後及因果好像有抵觸。

darigold 2020-7-30 08:22 AM

[quote]原帖由 [i]煙民母親生賤種[/i] 於 2020-7-30 01:24 AM 發表 [url=https://computer.discuss.com.hk/redirect.php?goto=findpost&pid=522481853&ptid=29233299][img]https://computer.discuss.com.hk/images/common/back.gif[/img][/url]
以我理解, https  係以非對稱加密。這形式是以 public key 加密, 以對應的 private key 才能解密。 反之亦然, 以 private key  密, 就只能以對應之  public key  解密。一般是事先交換  public key,  而 private key 是不用交換。  為何你話以  private key  加密 r^s r^c ? ... [/quote]
RSA 可以用 private key encrypt 然後用 public key decrypt
因為 public key 是明文交換的,這樣的 encryption 做不到保密的作用。
但它可以做到認證 (authenticate) 的作用,因為沒有別人有 private key,所以只有擁有這個 private key 的人才可以 send 出黎。

[[i] 本帖最後由 darigold 於 2020-7-30 01:58 PM 編輯 [/i]]

darigold 2020-7-30 08:25 AM

[quote]原帖由 [i]煙民母親生賤種[/i] 於 2020-7-30 01:29 AM 發表 [url=https://computer.discuss.com.hk/redirect.php?goto=findpost&pid=522482002&ptid=29233299][img]https://computer.discuss.com.hk/images/common/back.gif[/img][/url]
>> 這樣,雙方都知道 r^(cs),就以用黎計一條公用的 AES key。

事先交換了明文 public key ,  為何之後又要計 public key ??  先後及因果好像有抵觸。 [/quote]
因為計既唔係 public key,計既係 AES key。


非對稱加密的一個大壞處是慢,所以一般來說,大量的數據,是不會完全使用非對稱加密來做的。

整個 protocol 可以是這樣,我改了一點讓你能容易理解。

r is hardcoded, known to everyone.
client sends his public key pub_c to server
server sends his public key pub_s to client
client generates random c and sends pri_c encrypted(r^c) to server
server decrypts with pub_c and gets r^c
server computes (r^c)^s to gets r^(cs)
server generates random s and sends pri_s encrypted(r^s) to client
client decrypts with pub_s and get r^s
client computes (r^s)^c to get r^(cs)
client and server communicate using r^(cs) as AES encryption key.

[[i] 本帖最後由 darigold 於 2020-7-30 02:00 PM 編輯 [/i]]

我的無比膏 2020-7-30 12:14 PM

VPN server  一定睇哂明文
頁: [1]
查看完整版本: https 是否能防止到 vpn 截取數據