Decifra il traffico TLS

Naviga le tue risposte
2

Ho l'acquisizione Wireshark di un handshake TLS come mostrato nell'immagine allegata di seguito.

Desidero decrittare il traffico registrato che segue. Sono un principiante e da quanto ho letto fino ad ora, ho bisogno di una chiave privata per decrittografare i dati. Apparentemente questa chiave dovrebbe essere accessibile dai pacchetti di handshake che ho registrato. È corretto?

Ho solo accesso alla chiave pubblica dal Certificato, che credo svolga un ruolo per iniziare a capire l'acquisizione dell'ha stretta di mano.

Qualcuno può indicarmi informazioni su come posso recuperare la chiave privata? C'è un altro modo per accedere alla chiave privata?

In alternativa, ho provato a registrare le chiavi SSL usando la variabile SSLKEYLOGFILE ma la comunicazione non sembra avvenire direttamente con il browser, ma tramite qualche applet Java incorporata nel browser. Anche se riuscirò a far scaricare l'applet dalle chiavi, dovrei essere sulla mia strada. Tuttavia, non ho idea di come farlo.

Un'altra alternativa sarebbe quella di aggiungere manualmente il client random (facilmente reperibile) e il master / pre master secrets (nessuna idea di come trovarli) nel file di log delle chiavi. Anche qualche consiglio su come trovare uno di questi due valori sarà molto utile.

Sarei grato per qualsiasi risposta.

    
posta BombayBlue 15.12.2017 - 22:47
fonte

1 risposta

3

how I can go about retrieving the private key?

La chiave è, come suggerisce il nome, privata. È un segreto che dovrebbe conoscere solo il server. Se possiedi il server, lo troverai nella configurazione del server (i dettagli dipendono dal server attuale). Se non si possiede il server, si spera che non si possa ottenere la chiave privata.

Si noti inoltre che la chiave privata non è di aiuto se si utilizza lo scambio di chiavi DHE o ECDHE, che è il modo consigliato oggi. Ma nella tua specifica pcap questo non sembra essere il caso (nessun messaggio ServerKeyExchange).

I tried logging the SSL keys using the variable SSLKEYLOGFILE but the communication does not seem to be happening directly with the browser, instead via some Java applet embedded in the browser. Even if I can get the applet to dump the keys, I should be on my way. However, I have no idea about how to go about it.

Se l'applicazione fornisce un modo per eseguire il dump delle chiavi completamente dipende dall'applicazione. Anche SSLKEYLOGFILE può essere utilizzato solo con versioni precedenti di Chrome e Firefox o con le versioni correnti di Firefox, ma solo nelle compilazioni di debug, vedi Chrome non Firefox non sta eseguendo il dumping sulla variabile SSLKEYLOGFILE . Per l'applicazione Java sembra possibile estrarre le chiavi se il codice è compilato con alcune librerie speciali - vedi jSSLKeyLog - Libreria Java Agent per registrare le chiavi di sessione SSL in un file per Wireshark per i dettagli. Per maggiori informazioni consulta Usando il (Pre) -Master-Secret sul Wiki di Wireshark.

    
risposta data 16.12.2017 - 04:55
fonte

Leggi altre domande sui tag

Come filtrare le richieste POST prima che raggiungano PHP su Apache? Memorizzando solo la parte BIN del PAN, qualifica questo come PAN completo?