這個問題其實似乎有點不適合這個版 不過因為搜尋有找到以往有SSL的相關問題 又沒有關於連線加密技術的板(或是有版可以討論不過我不清楚) 因此先將這個問題PO在這 如果有違反版規請告知我，我會自D ------------------ 問題是這樣的 我查到網路上的資料說 SSL曾經被中間人攻擊破解很多次 但SSL不是應該拿到傳輸訊息也沒有辦法解密才對嗎？(這裡指的是有數位憑證的狀況) 首先先PO上我對SSL的理解(非常淺薄~只是單純的流程原理~我完全不懂技術) 因為我沒研究過詳細的運作確切流程 所以以下的步驟是我參考了一些簡短的資料以及對公私鑰的理解後的想法 客戶端以明碼像伺服器端要求建立安全連線 伺服器端先將自己的公鑰A-P-1交給CA (A表示伺服器 P表示公鑰 1表示這個流程伺服器所用的第1組公鑰) CA以私鑰CA-S-A來將公鑰A-P-1加密成憑證交給伺服器端 (S表示私鑰 其餘與上面相同) 伺服器端將接下來要給客戶端加密用的公鑰A-P-2 、將A-P-2雜湊算出的字串以私鑰A-S-1加密成的數位簽章、憑證 以及連線用的其他所需的訊息以明碼傳給客戶端 客戶端接收到資料後向CA索取公鑰CA-P-1解碼憑證 得到正確的A-P-1對雜湊結果進行解密 由於是正確的A-P-1，因此解出的一定是正確的數位簽章 並以相同的雜湊方式處理接收到的數位簽章 若是數位簽章正確代表A-P-2的確是伺服器所發送給客戶端加密的 接下來客戶端以A-P-2加密傳輸的資料以及接下來使用的對稱式加密密鑰給伺服器 伺服器接到資料後也只有伺服器能以A-S-2解密 也就完成了傳遞對稱式密鑰的工作 網路上都只有提到前段 所以我不確定最後是給對方對稱式密鑰 或是給伺服器加密用公鑰然後每個傳輸都有新的密鑰對 不過在演算法夠複雜足以應付窮舉破解以及無演算漏洞的前提下 兩種做法處理後續的資料傳遞都可以保證正確性以及沒有經過偷改 因為你偷改了之後對方用相對應的密鑰是解不出正確內容的 如果以上狀況都成立 當然是無法破解的 而可能經由中間人攻擊的部分只有一個點 完全攔截客戶端與伺服器還有CA的連線 所有的溝通從一開始就被中間人攻擊 連憑證跟數位簽章都是假的 但當然這個想法不應該成立 如果成立的話 這個憑證根本就沒有公信力了 如果這個方法太容易成功的話SSL相關機制也太過脆弱了一點 所以我想這個可能性應該不高 那如果上面的這個漏洞不成立的狀況 究竟有什麼方法可以突破這套制度呢？ 當然 我的想法可能跟實際運作流程還有差以致我想的方向根本不一樣 那就麻煩知道的大大指出我的謬誤處 感謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 122.121.205.76