Являются ли данные, отправляемые с веб-сервера в браузер, действительно более защищенными в https, чем в http?

Question

Я просто кратко читал о различиях между http и https. И что я не понял, так это следующий возможный сценарий:

У всех есть открытый ключ SSL, верно?

Итак, кто-нибудь может получить открытый ключ с веб-сервера, а затем использовать его для расшифровки сообщений, отправленных с веб-сервера? Таким образом, если веб-сервер отправляет какую-либо секретную информацию, злоумышленники могут это знать, верно?

Я понял, что закрытый ключ находится на веб-сервере, поэтому только веб-сервер может расшифровать зашифрованное сообщение (используя открытый ключ), отправленное браузером. И поэтому данные, отправленные из браузера, защищены. Но я сомневаюсь, что данные, полученные с веб-сервера, действительно защищены.

Или скажем, если открытый ключ изменяется от пользователя к пользователю. Но злоумышленник может взломать его, когда браузер отправит его впервые, верно?

Пожалуйста, поправьте меня, если я понял это неправильно.

РЕДАКТИРОВАТЬ: Хорошо, я думаю, что я получаю это из описания, предоставленного спрашивающим в этой ссылке:

Как работает SSL? Разве нет дыры?

Это говорит:

Когда Клиент подключается к company.com через свой защищенный SSL-порт, компания отправляет обратно свой открытый ключ (и некоторую другую информацию, например, какие шифры он поддерживает). ... Когда клиент доволен сервером (и сервером клиентом, если необходимо), клиент выбирает шифр SSL для использования из списка методов шифрования, предоставленных сервером, и генерирует «симметричный ключ» (пароль) для использования с этим шифром. Клиент шифрует этот пароль с помощью открытого ключа сервера и отправляет его обратно на сервер. Сервер (и только сервер) может расшифровать это сообщение и получить этот пароль, который теперь используется как клиентом, так и сервером.

Это означает, что клиент не будет шифровать только с помощью открытого ключа, который он имеет, но использует сгенерированный им пароль (симметричный ключ), который будет передан веб-серверу с использованием шифрования с открытым ключом. И только веб-сервер может знать пароль, предоставленный клиенту, так как только он владеет частью секретного ключа. Таким образом, и веб-сервер, и клиент используют симметричный ключ для шифрования сообщений, которые никто не знает или не может нарушить.

Я прав?

Answer 1

Я думаю, что вы получаете лучшую идею, но подумайте об этом таким образом. Шифрование имеет тенденцию использовать открытый ключ и закрытый ключ, оба используются для его разблокировки, и единственный известный - это открытый ключ. Закрытый ключ обычно хранится вместе с сертификатом SSL, поэтому никто не знает ключ, используемый для расшифровки сообщений. Это обеспечивает защиту сообщений в обоих направлениях, и если кто-то не использует уязвимость, невозможно сказать, что отправляется туда и обратно. Уязвимости, как правило, связаны с вредоносными программами или поддельным сертификатом SSL, но вы можете воспользоваться этим, чтобы узнать больше о подобных проблемах.

Я думаю, вы также должны знать, что шифрование не является полным доказательством и может быть взломано в зависимости от того, насколько сильным является ключ. Хорошим примером является SuperFish (я думаю, что это правильное название), с которым Lenovo сотрудничала несколько месяцев назад, они использовали сертификат SSL, который переопределял сертификат для других веб-сайтов. Это просто означает, что он использовал свой SSL-сертификат для безопасного доступа к различным сайтам, но проблема заключалась в том, что у закрытого ключа был легко угадываемый пароль. Они не должны были нарушать алгоритм, потому что компания использовала название компании для пароля (komodia). Теперь любой компьютер, использующий эти сертификаты Superfish, больше не был защищен, так как любой мог расшифровать сообщения и посмотреть, какая информация отправляется туда и обратно. Единственным препятствием было бы получить доступ к трафику, но это уже другая тема.

Это не распространено, но большинство сайтов используют сильные ключи, которые могут занять от десятков до сотен лет, прежде чем они будут взломаны (без пароля). Если вы хотите узнать о том, что делает сертификаты сильными или нет, вы можете также Google. Это устраняет любую другую путаницу?

Answer 2

HTTPS является более высокой версией HTTP, он специально создан для защищенной транзакции между клиентом и сервером. Это соединение работает с протоколами связи SSL или TLS, и оба протокола используют Asymmetric систему инфраструктуры открытых ключей. Асимметричная система использует два ключа (открытый / закрытый) для шифрования / дешифрования данных. Когда клиентский запрос на страницу любому серверу отправляет две вещи с ответом клиенту - это открытый ключ и сертификат, всякий раз, когда снова происходит обмен данными на этом канале, в этот момент сервер шифрует / дешифрует данные с использованием закрытого ключа и браузера его открытый ключ для шифрования / дешифрования данных.

У вас есть вопрос, можно ли взломать эти ключи?

По моему мнению, это возможно.

В настоящее время существует множество алгоритмов для шифрования и дешифрования данных / ключей. Например, возьмем алгоритм SHA который имеет много версий и совершенствуется изо дня в день. Для получения дополнительной информации о SHA3 посетите эту ссылку. Поэтому, если Intruder взламывает открытый ключ, но его невозможно расшифровать без SHA key с помощью которого ключ расшифровывается. (Что я узнал от Google), потому что SHA-3 24 раунда шифрования данных с ключом. Где-то я читал, что SHA-3 является более мощным, чем другие алгоритмы. Поэтому, если у любого злоумышленника есть открытый ключ под рукой, он не может дешифровать свои данные напрямую, ему нужен другой, с помощью которого эти ключи (открытый / закрытый) зашифрованы. Данные зашифрованы ключами, а ключи также зашифрованы другим ключом, который не используется на какой-либо платформе, будь то клиент или сервер. если произойдут какие-либо изменения в этих ключах, это будет определено сервером, а также для данных. Потому что некоторые, как он генерирует хэш-код, с помощью которого его можно идентифицировать. Посмотрите, как работает SHA ,

HTTPS является более безопасным соединением до этого дня, и каждый сайт, который требуется для защищенной транзакции, использует HTTPS-соединение только между клиентами и сервером.

В заключение, если ключ не защищен злоумышленником, этот алгоритм может идентифицировать изменения в данных. Вот почему это возможно для защищенных соединений.

Надеюсь, что это поможет вам понять, что именно происходит за этой сценой.