Ist dieser Verdacht richtig? Wenn ja, warum und wie?
Ja, es wird Man-in-the-Middle-Angriff (MITM) genannt, der praktisch über jeden Kommunikationskanal erfolgen kann.
Sicher haben Sie von "bösen" Politikern gehört, die die Post von jemandem manipulieren? Warum haben sie in alten Zeiten Siegel für Botschaften verwendet?
Das Problem ist, dass mit dem Aufkommen des Internet-Zeitalters viel mehr zu manipulieren ist, und dass die Sicherheit selbst bei Dingen, die wir kennen und verwenden, viel weniger Sicherheit bietet.
Ein kleines Beispiel.
Bedenken Sie Folgendes: Sie gehen in eine Bank, um Geld mit klassischer Abrechnung zu senden.
in einer bekannten Stadt
auf einer bekannten Straße
mit vielen Leuten herum
Sie kennen vielleicht sogar den Sicherheitsbeamten
Sie wissen, wie die Aussage aussehen soll
Sie können den Angestellten sogar durch Gesicht und Stimme kennen. Auch wenn sie neu sind, können Sie das kommentieren und reagieren.
Bevor Sie überhaupt das Papier anfassen, gibt es buchstäblich Tausende von Tera-Bytes (na ja, AFAIK hat es nie gemessen, aber es wäre eine riesige Zahl), die Ihr Gehirn nachprüfen wird, damit Sie sicher sind, dass Sie es sind am richtigen Ort, und an diesem Morgen ist nichts Seltsames passiert.
Nun ist diese enorme Menge an Daten ist in der Tat öffentlichen Schlüssel der Bank: Jeder alle Daten bekommen können, aber für Sie, es funktioniert nur, wenn Sie Erinnerungen an den Ort (das ist Ihr privater Schlüssel). Ihr Gehirn (ja, die einzige Maschine, der Sie vertrauen können, nur weil Sie müssen), erledigt alle Dekodierungen und Überprüfungen für Sie. Cool.
Betrachten Sie nun eine HTML-Seite mit einem einfachen Namen / Passwort-Formular. Und ein ... wie groß ... 4096 Byte großes Sicherheitszertifikat. Wo sind die privaten Schlüssel? Zur Vereinfachung können wir sagen, dass sie in Ihrem Betriebssystem sind. Und was macht die Box für Sie? Kannst du nach innen schauen
Willkommen in der Welt der Internetsicherheit.
Nun, ich versuche nicht, Welten mit Universen zu vergleichen oder zu sagen, dass es irgendwie einfach ist, ein Bankzertifikat zu fälschen (es ist lächerlich einfach, dies mit dem HTML-Formular zu tun) oder dass es leicht ist, in die Mitte zu gelangen ( es ist überraschend einfach in den meisten Wi-Fi-Netzwerken). Was ich damit sagen möchte, ist, dass es nie weniger Daten gab, die gefälscht werden mussten, und dass es nie mehr "unsichtbare" Möglichkeiten gab, dies zu tun.
Was wäre, wenn ich einen SSH-Server einrichten und alle bekannten Hosts und die entsprechenden Schlüssel usw. vorkonfigurieren würde. Ich könnte dann eine sichere Verbindung über die standardmäßige ungesicherte Modemverbindung herstellen. Ist das richtig?
Genau dafür wurde ssh entwickelt: relativ sichere Verbindungen über nicht vertrauenswürdige Netzwerke.
Es gibt jedoch weitere Faktoren, die zu berücksichtigen sind.
OK, vorausgesetzt, dass Ihr privater Schlüssel oder Ihr Server nicht gefährdet wurde und Sie einen starken (= langen, 4096 Byte) Schlüssel verwendet haben und Ihr "Feind" keine überragende Rechenleistung hat, vorausgesetzt, Ihr Feind ist dies hören Sie nicht lange genug zu, vorausgesetzt, sie haben so wenig Wissen über Ihre Hard- und Software wie möglich ... ja, es ist möglich, den Einbruch sehr schwer zu machen .
Denken Sie daran: Sicherheit ist keine Technologie. Sicherheit ist eine Denkweise.
Wie hoch ist die Chance, dass "böse Jungs" bei Ihrem durchschnittlichen Festnetz-Telefonanschluss "zuhören"? Glaubst du, dass das tatsächlich passiert?
Die Chancen sind wahrscheinlich sehr schwer zu schätzen, ohne technische Details der Verbindung zu kennen. Wie viele Haie mit Lasern gibt es? Ist es mitten in der Sonne?
Aber im Ernst, ich denke, obwohl Sie die Beweise wahrscheinlich nicht erraten können, gibt es einen anderen Standpunkt:
Können die Mächtigen den Wert einer solchen Option schätzen? (Ich meine, wie alt sind sie? Sind sie schon "die Internetgeneration"?)
Ist es (oder ist es bald möglich), solche Daten zu analysieren und davon zu profitieren?
Sind die Menschen, die in einem gewissen Sinn solche Daten unweigerlich erheben müssen, nur damit ihre Dienste funktionieren können (wie: Ich kann mir kein soziales Netzwerk vorstellen, ohne soziale Daten zu speichern), sind sie "ethisch ausgewogen" genug, so dass sie sie nicht bereits verkaufen ? Würden wir das wissen?
Willkommen in der Welt der Internetethik.