#网络安全 @board
中间人攻击该怎么预防？🤔
不管是迪菲赫尔曼密钥交换，还是RSA非对称加密，都敌不过中间人攻击🥹
即使有证书，也可能是假的。🥹
中间人攻击的实现也不难，主体是公司或者政府。假如说你要下载软件，首先要跟服务器进行TLS握手，服务器给你一个证书，它把证书拦下来，假冒你完成跟服务器的握手。再把它的证书发给你，冒充服务器跟你完成握手。服务器发来一个操作系统安装包，它解密以后做个手脚，再用给你的证书加密以后发给你，你是无法察觉的🥹。
如果你要从网站读取SHA256，那么它的防火墙只要识别出原始SHA256，就可以全部精准替换成它做过手脚新算出来的SHA256。而公司和政府的算力完全足够，响应速度完全可以让你不怀疑真实性。
你读取签名也一样，防火墙也可以读取签名和公钥，并精准替换成它自己的（中国政府及其供应商可能没有这个本事，不然可能就不会屏蔽推特和YouTube了）。
而这个根证书，那非常好办。我经历过的大公司，都用专用镜像安装的系统🤣全部都是定制镜像，里面大概率根证书全部被调包过🥹我想把商业机密用网页版微信拷回家学习时，都会100%被拦截。
在家里，杀毒软件也可以做到，把根证书换了，然后对网页进行解密杀毒。并且还能杜绝你在证书过期、证书有问题、自签名证书等网站，手动点击“不安全访问”的可能性，大概替你检查了证书。
我们国家也大概率会用中国特供系统。完全可以把Windows镜像里面证书全换过一遍，你微软不配合，就不准你在中国卖软件。国产系统更不用说了，当然给微软动手脚比给信创动手脚还方便。国内黑客在魔改windows这方面经验非常丰富，他们都迟早恰国安部的狗粮 。你网上下载镜像也可以给你改，我前面说过了。而且中国的Windows版本就是不一样，都是家庭版，根本没办法找到一模一样的外国版本来比对SHA256。
你telegram也可以用中间人攻击来破迪菲赫尔曼加密🤔只要我跟你交换密钥，再跟对方交换密钥，交流时，我防火墙自动解密加密，都无法发现。
那这样该如何避免中间人攻击呢？🤔