HTTPS bağlantısı kaçırma mümkün mü?


2

Bu beni çok uzun zamandır rahatsız ediyor.

çünkü .. verileri şifrelemek / şifresini çözmek için önce iletişim kurduğunuz bilgisayara bir şifreleme anahtarı / şifre çözme anahtarı (şifrelenmemiş bir bağlantıda) göndermeniz gerekir, değil mi?

Bir bilgisayar korsanı HTTPS'nin anahtarını ele geçirirse işe yaramaz .. olur mu? Yoksa yanlış mı düşünüyorum?

Bu konuda okul derslerim için kapsamlı bir araştırma yaptım ancak sorularıma cevap verecek kadar bilgi bulamıyorum.


1
Genel / özel anahtarlara girmeniz gerektiğini düşünüyorum. Genel anahtar, "genel" dir, yani herkesin sahip olabileceği anlamına gelir, yalnızca özel anahtarın şifreli şifresini çözmek için kullanılabilir. Dolayısıyla, sunucu bir String ve dizenin şifreli bir sürümünü gönderirse, şifrelenmiş sürümün şifresini çözmek için ortak sertifikayı kullanırsınız. Sonuç dizeyle eşleşirse, sunucunun özel anahtarı olduğunu ve onun söylediği kişi olduğunu bilirsiniz.
Konerak

Şimdi sorunuz, "Evet, elbette, ancak sunucu size genel anahtarını da gönderdiğinden, herhangi bir sahtekar, özel anahtarının bulunduğu başka bir genel anahtar gönderebilir mi?" İşte şimdi Kök Otoritenin devreye girdiği yer: açık anahtar, o anahtarın o siteye ait olduğunu garanti eden daha yüksek bir güç tarafından imzalanır. Ama bu sadece sorunu daha yüksek bir seviyeye getirmiyor mu? Yüksek otoritenin güvenilir olmak olduğunu nereden biliyorsun? Ah, bu yüksek otoriteler yüklediğinizde tarayıcınızla birlikte gelir ve tarayıcı güncellemeleri ile güncel tutulur.
Konerak

Ayrıca, superuser yerine, bu soru ait olabilir security.stackexchange.com (ki yine de ilginç bir okuma bulabilirsiniz).
Konerak

Yanıtlar:


3

Herhangi bir özel anahtar gönderilmez. HTTPS güvenilir sertifikalara dayanır. Tüm web tarayıcılarında güvenilir sertifika verenlerin bir listesi vardır. Sunucu sertifikasını gönderir ve bu listeye göre kontrol edilir. Bu müşteriden sonra sadece sunucunun verileri şifrelemek için kullandığı ortak anahtar veriliyor. Veriler yalnızca müşterilerin özel anahtarlarıyla şifresi çözülebilir.

SSL connection

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.