Ich bin nicht ganz sicher, aber ich denke, die Antwort ist nein. Der openssl
Befehlszeilenclient ist eine heterogene Sammlung von Tools. Die X.509-Befehle können nützlich sein, um Zertifikate zu bearbeiten, die Kryptografiebefehle sind jedoch nur für das Testen von OpenSSL selbst nützlich.
Wenn Sie kryptographische Berechnungen mit gängigen Algorithmen durchführen müssen, empfehle ich die interaktive Befehlszeile von Python mit der Cryptodome- Bibliothek.
Um SSL-Verbindungen zu entschlüsseln, ist es jedoch am einfachsten, Wireshark zu verwenden. Teilen Sie Wireshark mit, wo der private Schlüssel zu finden ist, und entschlüsselt eine TLS-Verbindung, die RSA-Verschlüsselung verwendet. Für Verbindungen, die das flüchtige Diffie-Hellman verwenden, können Sie den Datenverkehr nicht allein mit dem Schlüssel entschlüsseln. Sie benötigen zusätzliche Informationen vom Client oder vom Server .
Beachten Sie, dass die Verwendung der TLS_RSA_WITH_AES_256_CBC_SHA
Ciphersuite aus mehreren Gründen eine schlechte Idee ist:
- Es gibt kein Vorwärtsgeheimnis. Wenn also der private Schlüssel des Servers jemals gefährdet wird, sind auch alle Verbindungen, die mit diesem Schlüssel hergestellt werden, gefährdet. Ciphersuites, die einen Diffie-Hellman-Schlüsselaustausch (mit EDH oder ECDHE in ihrem Namen) verwenden, haben ein Forward-Secret.
- Es verwendet die RSA-Entschlüsselung, die das Auffüllen umfasst, was eine klassische Quelle für Implementierungsfehler und Leckagen durch Seitenkanäle ist. Ciphersuites mit EDH oder ECDHE in ihrem Namen zusätzlich zu RSA oder mit DSA oder ECDSA verwenden anstelle der Entschlüsselung Signaturen und sind weniger wahrscheinlich mit Implementierungsfehlern behaftet.
- Es wird die CBC-Entschlüsselung verwendet, bei der es sich um Auffüllen handelt, eine klassische Quelle für Implementierungsfehler und Leckagen durch Seitenkanäle. Ciphersuites ohne CBC in ihrem Namen sind weniger wahrscheinlich mit Implementierungsfehlern behaftet.