站内公告:

亲友传真---海外信息直接看 https://qycz.org

Main Menu

关于SSL的问题,请知道的朋友进来帮助下

作者 家园, 十二月 31, 2012, 05:03:13 上午

家园

有一点没想明白,关于SSL握手过程是否能够遭受中间人攻击,假设有一个国内用户A和国外服务器C,还有一个中间人B(国家防火墙),A与C之间的通信都经过防火墙B。服务器C经过国外认证中心CA1的认证。有一个国内公司CP经过国外认证中心CA2的认证,政府强行让这家国内公司把它经过CA2认证的证书和私钥交给国家防火墙。国内用户A的浏览器同时有CA1和CA2的证书。

如果A向C发送SSL连接的请求,C回复一个经过CA1私钥加密的C的公钥,传送过程中经过防火墙B时,B用CA1的公钥解密得到C的公钥并且将这个数据拦截了不发送给A。

然后防火墙把这家国内公司CP的证书发送给A,A得到这个证书,用CA2的公钥解密得到这家国内公司CP的公钥。

然后A向C发送经过CP公钥加密的随机密钥Key,经过B时又被拦截,B用CP的私钥解密得到这个密钥Key,然后B用服务器C的公钥加密这个Key再发送给服务器C,服务器C收到后用自己的私钥解密得到Key。由于B已经得到这个随机的Key,后面A和C通信的内容就全部被B看到了。

刚刚学习网络安全,想不太明白,这个过程哪里不对,我还有什么知识不知道?希望得到您的解答。如果这是真的话,那么直接用Gmail的加密连接就不安全了,不管Gmail是多少位加密的。而且仅仅删除浏览器的国内认证中心的证书也不安全。

shylg

分析的有道理,虽然其中的过程还是很模糊,但是足以让人明白,只要不"翻墙",啥加密都是无效的。

kxmp

#2
私钥是得不到的
都是加密的

ca2除非变成服务器才可以
再说了
你网络没有问题.此类攻击就不会发生
除非出现了劫持呀啥的
dns 污染等

家园

#3
引用自: kxmp 于 一月 02, 2013, 04:49:04 下午
私钥是得不到的
国内公司的公钥是经过CA2加密的,国内公司的私钥,政府不是可以通过强制手段得到吗?得不到不太明白。您说的得不到是指的是即使得到了这个私钥在别的服务器上也不能用吗?具体原因是什么呢?

引用ca2除非变成服务器才可以
也不明白,CA2本来不就是个服务器吗

引用你网络没有问题.此类攻击就不会发生
即使网络没有问题,如果安装了国内认证中心的证书这种事情就会发生,这可能也是天地行论坛让删除国内认证中心的原因之一吧

引用除非出现了劫持呀啥的
dns 污染等


您说的总体还不太懂,麻烦说的详细一点,谢谢

快速回复

警告: 该贴已经至少 180 天没有更改。
除非你一定要回复,否则也许考虑发一个新贴会更好。

Note: this post will not display until it has been approved by a moderator.

名称:
电子邮件:
验证码:
请将此框留空:
三乘七等于几?(请用阿拉伯数字回答):
Shortcuts: ALT+S post or ALT+P preview