Реплика: расшифровка HTTPS, “при содействии”
Кстати, касательно перехвата и расшифровки, при содействии сервис-провайдера, трафика HTTPS, идущего, скажем, между пользователем и веб-почтой. Ключи от SSL-сертификата для этого не являются необходимыми. SSL-сертификат обеспечивает не шифрование, а аутентификацию (идентификацию, если трактовать иначе); основное предназначение сертификата – привязать имя “субъекта” (например, доменное имя) к некоему публичному ключу. Да, после того, как ключ, связанный с сертификатом, признан достоверным, с его помощью организуется шифрование потока данных. Но для этого шифрования используется другой ключ – сеансовый. Специальный сертификат нужен для организации атаки типа “человек посередине”, а не для расшифровки записанного трафика.
Для того чтобы расшифровать ранее записанный трафик, требуется сеансовый ключ. Этот ключ – симметричный, его экземпляр есть на сервере (и на клиенте). Предположим, что трафик записывается где-то на пути, в точке перехвата, находящейся между клиентом и сервером, например, это зеркальный канал на опорной сети. Сервер запоминает сеансовые ключи (это, кстати, требуется для управления TLS-сессиями), а позже передаёт их копии стороне, записавшей трафик. Теперь трафик можно расшифровать и разобрать постфактум. И вот сеансовый ключ, как раз, строго необходим для расшифровки сообщения. При условии, что HTTPS реализован в современном варианте, запись трафика и, позже, получение только секретного ключа, соответствующего SSL-сертификату, не позволяет расшифровать трафик, так как для генерации сеансового ключа используется протокол Диффи-Хэллмана.
Адрес записки: https://dxdt.ru/2013/06/11/5922/
Похожие записки:
- Статья про защиту DNS-доступа
- Компиляторы в песочницах и сравнение программ
- Про цепочки, RSA и ECDSA
- CVE-2024-3661 (TunnelVision) и "уязвимость" всех VPN
- Реплика: обновления панели управления RU-CENTER
- Сертификаты для IP-адресов от Let's Encrypt
- Новые риски: автомобили-роботы в такси
- Автомобили, "подключенные" для сбора данных
- Ссылки: популярное описание ECH
- Появилась поддержка DMARC/SPF на сервисе audit.statdom.ru
- Обновление описания TLS