Ho letto che una chiave di sessione è simmetrica ed è crittografata dalla chiave pubblica del destinatario;
Quando "Bob" riceve un messaggio, lo decrittografa con la sua chiave privata ed è quindi in possesso di un messaggio crittografato e una chiave di sessione, che poi usa per decodificare il messaggio?
Se la mia comprensione è corretta, chiunque sia in possesso della chiave privata di Bob può facilmente determinare la chiave di sessione e decrittografare il messaggio. O ho frainteso questo?
Che cos'è una chiave di sessione?
A session key is a single-use symmetric key used for encrypting all messages in one communication session.
Scenario:
Alice would like to establish a secure communication with Bob. But she cannot provide the key in plain text, otherwise someone sniffing the communication might be able to decrypt the information later on. What does she do?
Soluzione:
She sends a symmetric key securely by making use of an asymmetric algorithm. Why not simply doing all the communication with asymmetric algorithm? Because symmetric is way faster!
Implementation:
- Alice generates a symmetric key
- Alice encrypts an e-mail including the symmetric key by using Bob's public key and send it to him
- Bob, the only one who can decrypt the message since he has the respective private key, is able to securely get the symmetric key.
- Communication can now be sent by Alice and read by Bob
If my understanding is correct, anyone in possession of Bob's private key can easily determine the session key and decrypt the message.
Solo Bob dovrebbe avere accesso alla chiave privata di Bob, quindi nessun altro sarebbe in grado di decifrare la chiave di sessione crittografata.
Leggi altre domande sui tag cryptography public-key-infrastructure protocols