关于 SSL 的疑问

2023-03-02 17:05:31 +08:00
 wholve

最近研究 https 协议,有一点理解不知道对不对,跟 v 友探讨一下

https 的安全只是针对于客户端向服务端的数据安全 并没有解决服务端向客户端传输数据的安全性,因为客户端获得的公钥 理论上 中间人也可以获取到 只要中间人获取到了公钥,那服务端向客户端传输的数据不就泄露了吗?

986 次点击
所在节点    问与答
11 条回复
32uKHwVJ179qCmPj
2023-03-02 17:08:55 +08:00
公钥加密的数据没法用公钥解密
misaka19000
2023-03-02 17:15:11 +08:00
misaka19000
2023-03-02 17:16:18 +08:00
非对称加密是为了交换对称加密的密钥,交换了密钥之后就可以用对称加密传输数据了
eason1874
2023-03-02 17:16:37 +08:00
不对,你理解错了

客户端请求服务器,拿到网络返回的服务器证书,然后通过系统内置的可信 CA 去验证,确定服务器证书是真实可信的

然后客户端会使用证书跟服务器协商密钥,协商出来的是对称密钥,也就是说双方掌握的密钥是一样的,要么都安全,要么都不安全,不存在只有一方安全
misaka19000
2023-03-02 17:17:17 +08:00
非对称加密的公钥由服务端的证书进行 hash ,防止中间人篡改
cxtrinityy
2023-03-02 17:17:19 +08:00
HTTPS 的实际交互是用的对称加密,非对称加密部分负责的只是对称加密算法选择以及密钥相关的协商,所以开始交互后服务端数据也是加密的
wholve
2023-03-02 18:04:34 +08:00
@misaka19000 也就是说每个新的客户端与服务端通信,都会重新执行公钥获取
不会存在 A 客户端 获取 B 客户端的公钥 去解密服务端发过来的信息吗
wholve
2023-03-02 18:05:20 +08:00
@wholve 我的疑问其实就是 中间人为啥不能获取到跟某个客户端一样的公钥
leonshaw
2023-03-02 18:28:16 +08:00
@wholve 你应该了解一下密钥交换。证书公钥这里主要作用是通过验证签名确认服务器身份,都是同一个。
misaka19000
2023-03-02 22:28:34 +08:00
@wholve #7 是的,每个连接的秘钥不一样
datocp
2023-03-03 07:14:33 +08:00
https://www.stunnel.org/auth.html
是这个吗,目前用的 pki 方法,服务器端每 30 分钟变换一次证书。像是变换一下,不通就通了。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/920561

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX