Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX
Реплика: расшифровка HTTPS, “при содействии”
Кстати, касательно перехвата и расшифровки, при содействии сервис-провайдера, трафика HTTPS, идущего, скажем, между пользователем и веб-почтой. Ключи от SSL-сертификата для этого не являются необходимыми. SSL-сертификат обеспечивает не шифрование, а аутентификацию (идентификацию, если трактовать иначе); основное предназначение сертификата – привязать имя “субъекта” (например, доменное имя) к некоему публичному ключу. Да, после того, как ключ, связанный с сертификатом, признан достоверным, с его помощью организуется шифрование потока данных. Но для этого шифрования используется другой ключ – сеансовый. Специальный сертификат нужен для организации атаки типа “человек посередине”, а не для расшифровки записанного трафика.
Для того чтобы расшифровать ранее записанный трафик, требуется сеансовый ключ. Этот ключ – симметричный, его экземпляр есть на сервере (и на клиенте). Предположим, что трафик записывается где-то на пути, в точке перехвата, находящейся между клиентом и сервером, например, это зеркальный канал на опорной сети. Сервер запоминает сеансовые ключи (это, кстати, требуется для управления TLS-сессиями), а позже передаёт их копии стороне, записавшей трафик. Теперь трафик можно расшифровать и разобрать постфактум. И вот сеансовый ключ, как раз, строго необходим для расшифровки сообщения. При условии, что HTTPS реализован в современном варианте, запись трафика и, позже, получение только секретного ключа, соответствующего SSL-сертификату, не позволяет расшифровать трафик, так как для генерации сеансового ключа используется протокол Диффи-Хэллмана.
()
Похожие записки:
- DNS-over-TLS как инструмент трансляции доверия в DNSSEC
- Персоны и идентификаторы
- Капитолийские ноутбуки
- Симметрии и дискретное логарифмирование
- Взлом Twitter и влияние на офлайн
- Обновление описания TLS
- Криптографическая библиотека для Arduino: дополнение для новых IDE
- Статья Cloudflare про ECH/ESNI
- DNS-over-TLS на авторитативных серверах DNS
- Мониторинг: фитнес-браслет и смартфон
- Сервис проверки настроек веб-узлов
- Удостоверяющие центры TLS-сертификатов Рунета
- Полностью зашифрованные протоколы в Интернете
- TLS 1.3 в Рунете