안녕하세요.
클라이언트와&nbsp; AccountServer 사이에 https통신이 이루어 진다고 한다면 MITM공격이 이루어 질 수 없는 이유가 인증된 발급기관에서 발급한 공개키가 담긴 인증서를 클라이언트에게 보내기 때문인가요?
올바른 발급기관에서 보낸 공개키 인증서인지 클라이언트에서 알 수 없다면 MITM공격으로 중간에서 가로채서 서버에서 발급한 공개키로 중간에 값을 열어 보고, 또한 클라이언트에게 자신이 마치 진짜 서버인 것 마냥 행동할 수 있을 것 같습니다.

상대방을 인증하기 위해 공개키/비밀키 조합을 사용하고 중간자공격을 막기 위한 방법 또한 비슷합니다. 본인만 아는 공개키/비밀키 조합이 있는 상태에서 상대에게 공개키를 보내고, 추후 비밀키로 서명(암호화)해서 인증을 하는 방식입니다. 암호학 개론에 대한 주제 또한 방대하기 때문에 관심이 가신다면 암호학 개론 서적을 하나 보면 도움이 됩니다. (서버 지망이라면 어느 정도 암호는 알아야 합니다)

인프런 커뮤니티 질문&답변

SharedDB 질문 드립니다.