Perché qualcuno non può rompere la crittografia di e-mail o https ottenendo in qualche modo l'accesso alla chiave di crittografia?

2

Per ripetere, "Perché qualcuno non può interrompere la crittografia di e-mail o https in qualche modo ottenendo l'accesso alla chiave di crittografia?" In altre parole, perché qualcuno non può intercettare la chiave o l'algoritmo per creare la chiave di crittografia, usando lo sniffing dei pacchetti? Dopo questo, perché non possono usare lo sniffing dei pacchetti per ottenere anche altri dati che vengono inviati tramite https e quindi decrittografarli usando la chiave? È possibile, improbabile o semplicemente impossibile? Questo è legato a questa domanda: Perché è possibile annusare una richiesta HTTPS / SSL? Ma la mia domanda è, è ragionevole per qualcuno ottenere una chiave di sessione attraverso lo sniffing? Inoltre, quali sono gli altri modi in cui qualcuno potrebbe ottenere una chiave di sessione?

    
posta Eric Martin 13.02.2014 - 23:55
fonte

3 risposte

7

Forse puoi vedere che è effettivamente possibile inviare un segreto su un percorso non affidabile di seguito (in qualche modo semplificando ma illustrativo :-) esempio

  • Non ti fidi dell'ufficio postale e vuoi mandarmi un regalo

Puoi ottenerlo nel modo seguente

  • Metti il regalo in una scatola e chiudilo con il TUO blocco
  • Mi mandi la scatola e la blocco anche con il blocco MY
  • te lo rimando
  • Rimuovi il lucchetto e me lo rispedisce
  • rimuovo il mio lucchetto apri la scatola e prendo il regalo

L'approccio matematico alla base dei protocolli di scambio chiave è in qualche modo simile. Il più fondamentale di questi è lo scambio di chiavi Diffie-Hellman .

Spero che ciò renda le cose un po 'più intuitive.

    
risposta data 14.02.2014 - 01:14
fonte
4

In breve, la chiave non viene mai inviata direttamente sul filo. È negoziato in modo che entrambe le parti possano derivare la stessa chiave, anche se non ci sono abbastanza dati messi sul filo per ricostruirlo.

Ad esempio, nei protocolli ECDH, ciascuna parte crea una coppia di chiavi pubblica / privata univoca. Quindi scambiano le chiavi pubbliche. Calcolando un'operazione matematica sulla propria chiave privata e sulla chiave pubblica dell'altra parte, entrambi arrivano alla stessa chiave di sessione simmetrica che viene utilizzata per crittografare il resto della sessione. Un utente malintenzionato che ha intercettato la comunicazione vedrebbe solo due chiavi pubbliche, che non sono informazioni sufficienti per calcolare la chiave di sessione condivisa.

    
risposta data 14.02.2014 - 00:17
fonte
3

SSL / TLS utilizza la crittografia a chiave pubblica. Questa è l'idea che possiamo avere due chiavi crittografiche, una pubblicamente nota (pub), e una nota solo all'individuo e mai divulgata (priv).

Diciamo che un utente si connette a un sito Web con HTTPS (SSL / TLS). Invia una richiesta al server, che risponde tra l'altro con il suo certificato x509 che fornisce informazioni dettagliate sul sito. Questo certificato include la chiave pubblica dei siti, oltre a essere firmato da una terza parte fidata.

È possibile crittografare in modo sicuro i dati utilizzando questa chiave pubblica e assicurarsi che l'unica persona in grado di decrittografare i dati crittografati (testo cifrato) sia la persona con la chiave privata.

Quindi ora hai un modo per inviare un segreto al server, che solo tu e il server conoscete. Esistono diversi modi per stabilire una chiave di sessione in presenza di un utente malintenzionato, ma in pratica si riduce a un segreto condiviso tra te e il server.

Questa chiave di sessione è una chiave simmetrica (non pubblica / privata).

EDIT: Sniffing non può mostrare i dati che sono stati crittografati da SSL. Sniffing non può rivelare la chiave. Alcuni dispositivi come i proxy di intercettazione o CA canaglia possono compromettere la sicurezza SSL, ma sono rari.

    
risposta data 14.02.2014 - 00:24
fonte

Leggi altre domande sui tag