Supponiamo di avere una sessione TLS non basata su DHE memorizzata in una traccia Wireshark o Netmon. Cosa è necessario per decrittografare questi dati?
Andando oltre, cosa è necessario per decodificare una sessione TLS basata su DHE?
Per le suite di crittografia RSA o DH (non DHE), è sufficiente la chiave privata del server, di tipo RSA o DH, rispettivamente (i certificati DH sono estremamente rari).
Per le suite di crittografia DHE, è necessaria la chiave privata Diffie-Hellman generata dinamicamente. Questa chiave non viene mai memorizzata da nessuna parte, e questo è in base alla progettazione. Di conseguenza, non è possibile decrittografare i dati in seguito. Questo è chiamato Perfect Forward Secrecy .
Per la suite di crittografia TLS con un segreto precondiviso : le suite di crittografia PSK raw possono essere decifrate con la conoscenza del segreto condiviso; Le suite RSA_PSK richiedono la conoscenza sia del segreto condiviso che della chiave privata RSA; Le suite DHE_PSK offrono una perfetta segretezza in avanti.
Le suite di crittografiaSRP offrono anche un perfetto segreto in avanti. Anche in questo caso, questo è in base alla progettazione: se la conoscenza della password fosse sufficiente per decrittografare una connessione registrata, ciò consentirebbe attacchi al dizionario offline , precisamente ciò che SRP intende contrastare.
Per decodificare i dati SSL in Wireshark
Un modo per visualizzare i contenuti di una sessione HTTPS è utilizzare Fiddler come proxy locale. Assicurati di avviare lo strumento e apri le opzioni e attiva il monitoraggio SSL (questo aggiungerà un certificato radice e molti altri certificati al tuo negozio di fiducia)
Sebbene questo non risponda direttamente alla domanda su come decodificare una sessione TLS catturata, potrebbe essere utile per alcune persone.
Leggi altre domande sui tag tls