Proving download via https

1

Supponiamo di scaricare un file hxxps: //example.com/somefile.txt con un client che registra tutto, comprese le chiavi di sessione a breve termine.

Questi log costituiscono una prova sufficiente del fatto che il file dato è stato effettivamente offerto da qualcuno che ha una chiave privata per esempio.com?

    
posta bohdan_trotsenko 17.09.2017 - 17:25
fonte

1 risposta

4

No, tali log non proverebbero (a terzi) che il file specificato era servito da qualcuno che detiene la chiave privata.

TLS funziona in due fasi:

  1. Il server utilizza la sua chiave privata per dimostrare la propria identità al client e negoziare una chiave di sessione.
  2. La chiave di sessione viene utilizzata per crittografare e autenticare i dati dell'applicazione.

Sia il client che il server hanno accesso alla chiave di sessione. La chiave privata del server non è affatto coinvolta nella seconda fase.

Quindi, dopo aver negoziato una vera chiave di sessione con il server e aver acquisito un'autentica stretta di mano per dimostrarlo, un client malintenzionato poteva quindi utilizzare questa chiave di sessione per falsificare il resto del log e affermare che il server l'aveva inviato a un altro risposta.

    
risposta data 17.09.2017 - 18:22
fonte

Leggi altre domande sui tag