6

Насколько я понимаю, основная причина использования HTTPS через HTTP заключается в том, что связь зашифрована, поэтому любой, кто слушает, не может просматривать обычный текст обмена HTTP между клиентом / сервером.

Теперь в начале сеанса клиент и сервер согласовывают главный ключ на основе информации, полученной во время рукопожатия SSL/TLS. Но что может помешать кому-то прослушивать получение ключа, используя тот же набор шифров, согласованный клиентом / сервером?

Если ничто не может предотвратить это, то почему HTTPS на самом деле намного безопаснее, чем HTTP? Все, что требуется для MITM, - это самостоятельно спроектировать ключ, используя информацию, полученную из рукопожатия, и использовать ее для расшифровки связи между клиентом и сервером.

Я должен что-то упустить ...

1 ответ1

7

Клиент и сервер только согласовывают ключ, но никогда не отправляют его открытым текстом.

Чаще всего используется обмен ключами DH (2) или его вариант ECDH - каждый узел только комбинирует свой закрытый ключ DH с открытым ключом DH другого узла, и оба получают один и тот же результат. Если вы наблюдаете за трафиком, вы увидите только открытые ключи обоих пиров, которых недостаточно для получения результирующего ключа сеанса. (Позднее рукопожатие TLS подтверждает, что злоумышленник не ввел свои собственные публичные ключи).

Другой метод (в настоящее время редкий) - "статический RSA" - в этом режиме клиент самостоятельно генерирует ключ сеанса и шифрует его с помощью открытого ключа сервера (полученного из сертификата SSL). Хотя ключ передается по сети, только сервер может расшифровать его.

(Хотя метод "статического RSA" может быть проще, он также менее безопасен - получение закрытого ключа сертификата позволит расшифровать все старые и новые сеансы HTTPS; иными словами, прямой секретности нет. Также требуется, чтобы в сертификате была пара ключей, способная к шифрованию / дешифрованию, в то время как для получения ключа в стиле DH требуется только подписать / проверить.)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .