Возможен ли захват HTTPS-соединения?

752

Это действительно беспокоит меня долгое время,

потому что ... для шифрования / дешифрования данных вам сначала необходимо отправить ключ шифрования / ключ дешифрования (при незашифрованном соединении) на компьютер, с которым вы общаетесь, верно?

Если хакер захватывает этот ключ, HTTPS бесполезен .. или нет? Или я ошибаюсь?

Я провел обширные исследования по моим школьным предметам, но просто не могу найти достаточно информации, чтобы ответить на мои вопросы.

2
Я думаю, вы должны углубиться в открытые / закрытые ключи. Открытый ключ является «открытым», что означает, что он может быть у любого, его можно использовать только для расшифровки того, что зашифрован с помощью закрытого ключа. Поэтому, если сервер отправляет строку и зашифрованную версию строки, вы используете открытый сертификат для расшифровки зашифрованной версии. Если результат соответствует строке, вы знаете, что у сервера был закрытый ключ, и он тот, кем, по его словам, он является. Konerak 11 лет назад 1
Теперь ваш вопрос будет звучать так: «Да, конечно, но поскольку сервер отправляет вам и свой открытый ключ, любой самозванец может просто отправить другой открытый ключ, к которому у него есть закрытый ключ?» Вот тут-то и вступает в действие Root Authority: открытый ключ подписан высшей силой, которая гарантирует, что ключ принадлежит этому сайту. Но разве это не ставит проблему на более высокий уровень? Откуда ты знаешь, что высшей власти нужно доверять? Ах, эти высшие органы власти приходят с вашим браузером, когда вы его устанавливаете, и постоянно обновляются. Konerak 11 лет назад 0
Кроме того, этот вопрос может относиться не к суперпользователю, а к http://security.stackexchange.com/ (в любом случае вы можете найти интересное чтение). Konerak 11 лет назад 0
Попробуйте это: http://security.stackexchange.com/questions/20803/how-does-ssl-work Andrew Ferrier 11 лет назад 1

1 ответ на вопрос

3
Kride

Any private keys are not send. HTTPS is based on trusted certificates. All web browsers have a list of trusted certificate issuers. Server sends it's certificate and it is checked against this list. After that client gives only it's public key which server uses to encrypt data. Data can be only decrypted with clients private key.

SSL connection

Похожие вопросы