Question Le détournement de connexion HTTPS est-il possible?


Cela me dérange vraiment longtemps,

car .. pour crypter / décrypter les données, vous devez d'abord envoyer une clé de cryptage / une clé de décryptage (sur une connexion non cryptée) à l'ordinateur avec lequel vous communiquez, n'est-ce pas?

Si un pirate capture cette clé, HTTPS est inutile .. ou pas? Ou est-ce que je pense mal?

J'ai fait des recherches approfondies pour mes matières scolaires, mais je ne trouve pas assez d'informations pour répondre à mes questions.


2
2018-02-27 08:06


origine


Je pense que vous devriez aller plus loin dans les clés publiques / privées. La clé publique est "publique", ce qui signifie que n'importe qui peut l'avoir, elle ne peut être utilisée que pour déchiffrer ce que la clé privée a chiffré. Donc, si le serveur envoie une chaîne et une version chiffrée de la chaîne, vous utilisez le certificat public pour déchiffrer la version chiffrée. Si le résultat correspond à la chaîne, vous savez que le serveur a la clé privée et il est ce qu'il dit être. - Konerak
Maintenant, votre question serait "Ouais, bien sûr, mais puisque le serveur vous envoie sa clé publique aussi, tout imposteur pourrait simplement envoyer une autre clé publique à laquelle il a la clé privée?" C'est maintenant que l'autorité de base entre en jeu: la clé publique est signée par une puissance supérieure qui garantit que cette clé appartient à ce site. Mais cela ne met-il pas le problème à un niveau supérieur? Comment savez-vous que l'autorité supérieure doit faire confiance? Ah, ces autorités supérieures viennent avec votre navigateur lorsque vous l’installez et sont tenues à jour avec les mises à jour du navigateur. - Konerak
Aussi, plutôt que sur le superutilisateur, cette question pourrait appartenir à security.stackexchange.com (que vous pourriez trouver une lecture intéressante de toute façon). - Konerak
Essaye ça: security.stackexchange.com/questions/20803/how-does-ssl-work - Andrew Ferrier


Réponses:


Toutes les clés privées ne sont pas envoyées. HTTPS est basé sur des certificats de confiance. Tous les navigateurs Web disposent d'une liste d'émetteurs de certificats de confiance. Le serveur envoie son certificat et il est vérifié par rapport à cette liste. Après ce client ne donne que la clé publique que le serveur utilise pour chiffrer les données. Les données peuvent uniquement être déchiffrées avec la clé privée des clients.

SSL connection


3
2018-02-27 08:24