Finns det något försvar mot MITM i alla fall?

Visste inte om jag måste öppna det här eller i "Nätverk och datorkommunikation" sektionen.

Finns det något sätt att försvara sig mot Man In The Middle attacks i alla möjliga fall?

Att använda sig av public-key kryptering kan fungera endast om nycklarna har bestämmts innan kommunikationen kommer igång, på ett sätt som inte baseras på nättet (t.ex. telefon, handskrivet brev), eller om en attackerare befinner sig någon annanstans än din entry-node (dvs, första apparat mellan dig och nättet).

Om en attackerare får kontroll över din entry-node på nättet så kan han ge till dig sina egna public-keys oavsett vilken sida du besöker, kolla på ditt innehåll, och till och med förändra data avsett för dig.

Kan man skyddas mot MITM till och med när attackerare kontrollerar din entry-node?

Är ganska gammal i ämnet men så vitt jag minns är det möjligt. Googla "reversed MITM". Har någonting å göra där du manipulerar modemet och hindrar en fjärde part att manipulera med hjälp av att "du låser modemet". Äh, är osäker.
Googla!

MITM är inte möjligt ifall entry-node är kompromissad, det är snarare exit-noden som kan ändra nycklar, men antar det är exit-node du menade.

Det finns ett par klientskydd mot MITM, b.la certifikatspinning. Det kan ske i olika lager, t.ex i HTTP-protokollet men även i själva applikationen. Detta gör att klienten enbart kommer förvänta sig ett certifikat med en specificerad hashsumma innan en säker förbindelse upprättas.

Kunde inte hitta något

Ja, men vad skulle hända om attackeraren ändrade hashsumman och cerfitikatet? Oavsett vilket åtgärd man vidtar, så kan attackeraren ändra allt och byta dem mot sina egna message digests, digital signatures, etc. Åtminstone ifall han har fått kontroll över entry-noden eller exit-noden noden

Tror att använda sig av tex
DNSCrypt-proxy
DNS over TLS
DNS over HTTPS
Med DNSSec som komplement skyddar mot MITM

Ett sätt är med en see-what-you-sign-dosa, med säkrad hårdvara (som inte kan flashas om av angripare) som ansluts till exv USB. Tjänsten kan då skicka signerade meddelanden dit som signerad när man trycker på en knapp.

Men det korta svaret är nej, om angripare kontrollerar maskinen du använder finns det inget sätt att utesluta MITM-attacker. Du kan som sagt dock introducera en separat sidomaskin som är säker, exempelvis bank-id på iPhone eller annat operativsystem där man inte fritt kan installera malware.

Teoretiskt sett finns inget annat sätt än att förmedla privata nycklar via andra kanaler, tex brev som du skriver. Kvantumtrafik kanske, där man inte kan läsa av strålen utan att det märks skulle vara något men även där måste ju båda sidor vara överens om något.

Nej.

Endast nyckelbyte där motparten verifieras på ett annat sätt är det "teoretiskt säkra".

Är den egna datorn hackad är livet rätt hopplöst. Innebär ju att programmet som krypterar - respektive visar den dekrypterade informationen - redan måste anses vara kompromissad.

Så det finns en bra anledning att ha en "säker" maskin som bara gör en enda sak. Nämligen att fokusera på att vara säker.

Tur nog är ju t ex en RPi rätt billig och rätt kapabel för den som i huvudsak annars sitter vid en Windows-maskin som är närmast omöjlig att friskriva som opåverkad.

Det här blev .chloe sista inlägg
Undrar var hn tog vägen

VPN borde ju kryptera all traffik, vilket gör nätverkspaketen krypterade på vägen till din VPN.