Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX
Реплика: расшифровка HTTPS, “при содействии”
Кстати, касательно перехвата и расшифровки, при содействии сервис-провайдера, трафика HTTPS, идущего, скажем, между пользователем и веб-почтой. Ключи от SSL-сертификата для этого не являются необходимыми. SSL-сертификат обеспечивает не шифрование, а аутентификацию (идентификацию, если трактовать иначе); основное предназначение сертификата – привязать имя “субъекта” (например, доменное имя) к некоему публичному ключу. Да, после того, как ключ, связанный с сертификатом, признан достоверным, с его помощью организуется шифрование потока данных. Но для этого шифрования используется другой ключ – сеансовый. Специальный сертификат нужен для организации атаки типа “человек посередине”, а не для расшифровки записанного трафика.
Для того чтобы расшифровать ранее записанный трафик, требуется сеансовый ключ. Этот ключ – симметричный, его экземпляр есть на сервере (и на клиенте). Предположим, что трафик записывается где-то на пути, в точке перехвата, находящейся между клиентом и сервером, например, это зеркальный канал на опорной сети. Сервер запоминает сеансовые ключи (это, кстати, требуется для управления TLS-сессиями), а позже передаёт их копии стороне, записавшей трафик. Теперь трафик можно расшифровать и разобрать постфактум. И вот сеансовый ключ, как раз, строго необходим для расшифровки сообщения. При условии, что HTTPS реализован в современном варианте, запись трафика и, позже, получение только секретного ключа, соответствующего SSL-сертификату, не позволяет расшифровать трафик, так как для генерации сеансового ключа используется протокол Диффи-Хэллмана.
()
Похожие записки:
- Обновление описания TLS
- Скрытые сервисы и прокси
- ESNI - зашифрованное поле SNI
- Шифр "Кузнечик" на языке Go: ассемблер и оптимизация
- Статистика ESNI в Рунете и статья о технологии
- Microsoft и DNS-over-HTTPS
- Навигация "гражданских беспилотников" в условиях помех
- Перехват TLS в Казахстане - продолжение истории
- DNS-over-HTTPS в браузере Firefox, блокировки и будущее Сети
- TLS, зашифрованные протоколы и DPI
- "Спутниковые интернеты" и обнаружение наземных станций доступа
- Свойства протокола скрытого обмена сообщениями
- ESNI (зашифрованное поле SNI) и системы анализа трафика
- Техническое: эксперимент с резолверами и DNSSEC
- Закладки в системах с машинным обучением
- DNS QNAME Minimization на резолверах Cloudflare
- Техническое: разбор реализации ESNI