corrispondenza di certificati Tls

0

Non sono molto bravo nei dettagli di tls, conosco solo alcune nozioni di base. Quindi ci sono un paio di domande a riguardo:

  1. C'è un modo per decifrare tls in wireshark se il metodo di cifratura è diffie hellman? So che usando il browser web è facile perché ho la chiave di sessione lì. Ma in generale, come posso estrarre le chiavi di sessione se ho solo tls su tcp nudo?

  2. Se ho più client che si connettono al server, come fa il server a distinguere tra diversi certificati e sceglie quello giusto per decifrare il messaggio?

posta Anastasiya Ruzhanskaya 25.11.2018 - 17:56
fonte

1 risposta

1

I am not really good in tls details, just know some basics.

In questo caso ti raccomando di leggere Come funziona SSL / TLS? .

Is there a way to decipher tls in wireshark if the cipher method is diffie hellman? I know that using web browser it is easy as I have session key there. But in general case how I can extract session keys if I just have tls over bare tcp?#

Il punto di TLS è proteggere il trasporto dallo sniffing. Questo significa che se usato correttamente non ci sono informazioni all'interno della connessione TCP che consentono la decodifica. Solo client e server dispongono delle informazioni necessarie per crittografare e decrittografare i dati.

If I have multiple clients who connect to the server, how does the server distinguish between different certificates and chooses the right one to decipher the message?

Il server non utilizza i certificati per decrittografare il traffico. Il certificato viene utilizzato solo per l'autenticazione per prevenire attacchi man in the middle. In caso di scambio di chiavi RSA, il certificato del server viene utilizzato anche all'interno dello scambio di chiavi.

È normale che un server abbia un solo certificato. Se il server ha più certificati per domini diversi, il client deve specificare quale dominio desidera accedere all'interno dell'estensione SNI di ClientHello (primo messaggio dell'handshake TLS).

    
risposta data 25.11.2018 - 18:12
fonte

Leggi altre domande sui tag