Атака «человек посередине» — может ли произойти такая атака, если используются симметричные ключи?

Конечно. Все, что вам нужно сделать, это перехватить обмен ключами. Затем вы можете передать свой (поддельный) ключ на другой конец. Вы перехватываете сообщения, используя ключ, который вы получили обманным путем, повторно шифруете своим поддельным ключом и передаете на другой конец.

Хитрость заключается в том, чтобы договориться о симметричном ключе в первую очередь. Атаки «человек посередине» обычно происходят на этапе обмена ключами (заставляя вас согласовывать ключ с посредником, а не с вашим реальным партнером).

Итак, что обычно происходит (в сеансах SSL веб-браузеров), так это то, что вы используете асимметричную криптографию для обмена симметричным ключом. Однако это зависит от того, действительно ли открытый ключ вашего партнера принадлежит тому, кому, по вашему мнению, он принадлежит. Обычно для этого вы принимаете слова Verisign или (некоторых других центров сертификации).

В какой-то момент должен произойти безопасный и аутентифицированный обмен ключами.

Поскольку атака MIM может произойти во время обмена ключами, вы можете сделать то, что делает SSL/TLS.

SSL/TLS использует RSA при обмене ключами, так что обмен симметричным ключом [сильно] защищен с помощью RSA.

Приведенные выше ответы, конечно, верны, но вы должны отметить, что существует несколько эффективных, криптографически безопасных методов для безопасного обмен ключи. Я думаю, что wow использует SRP6.

Ага. Даже если вы используете симметричный ключ, вы должны использовать проверки подлинности/целостности. Использование шифрования с симметричным ключом без проверки подлинности/целостности делает вас уязвимым для различных форм атак воспроизведения или атак подстановки. Злоумышленник может изменить ваши зашифрованные тексты и даже может знать, каковы последствия его изменений.