Ist eine HTTPS-Verbindungsentführung möglich?

874

Das stört mich wirklich lange,

weil .. um Daten zu verschlüsseln / entschlüsseln, müssen Sie zuerst einen Verschlüsselungs- / Entschlüsselungsschlüssel (bei einer unverschlüsselten Verbindung) an den Computer senden, mit dem Sie kommunizieren, oder?

Wenn ein Hacker diesen Schlüssel erfasst, ist HTTPS unbrauchbar .. oder nicht? Oder denke ich falsch?

Ich habe diesbezüglich umfangreiche Nachforschungen für meine Schulfächer durchgeführt, aber ich kann einfach nicht genug Informationen finden, um meine Fragen zu beantworten.

2
Ich denke, Sie sollten sich weiter mit öffentlichen / privaten Schlüsseln befassen. Der öffentliche Schlüssel ist "public", dh jeder kann es haben, er kann nur zum Entschlüsseln dessen verwendet werden, was der private Schlüssel verschlüsselt. Wenn der Server also eine Zeichenfolge und eine verschlüsselte Version der Zeichenfolge sendet, verwenden Sie das öffentliche Zertifikat, um die verschlüsselte Version zu entschlüsseln. Wenn das Ergebnis mit der Zeichenfolge übereinstimmt, wissen Sie, dass der Server den privaten Schlüssel hatte und er derjenige ist, von dem er sagt, dass er es ist. Konerak vor 11 Jahren 1
Nun wäre Ihre Frage "Ja sicher", aber da der Server Ihnen auch seinen öffentlichen Schlüssel sendet, könnte jeder Betrüger nur einen anderen öffentlichen Schlüssel senden, für den er den privaten Schlüssel besitzt. Jetzt kommt die Root Authority ins Spiel: Der öffentliche Schlüssel wird von einer höheren Macht signiert, die garantiert, dass der Schlüssel zu dieser Site gehört. Aber stellt dies das Problem nicht einfach auf eine höhere Ebene? Woher wissen Sie, dass der höheren Autorität vertraut werden muss? Ah, diese übergeordneten Autoritäten werden bei der Installation mit Ihrem Browser ausgeliefert und sind mit den Browser-Updates auf dem neuesten Stand. Konerak vor 11 Jahren 0
Anstelle von Superbenutzern kann diese Frage auch auf http://security.stackexchange.com/ gehören (was Sie trotzdem interessant finden könnten). Konerak vor 11 Jahren 0
Versuchen Sie Folgendes: http://security.stackexchange.com/questions/20803/how-does-ssl-work Andrew Ferrier vor 11 Jahren 1

1 Antwort auf die Frage

3
Kride

Private Schlüssel werden nicht gesendet. HTTPS basiert auf vertrauenswürdigen Zertifikaten. Alle Webbrowser verfügen über eine Liste vertrauenswürdiger Zertifikataussteller. Der Server sendet sein Zertifikat und wird anhand dieser Liste geprüft. Danach gibt der Client nur seinen öffentlichen Schlüssel zurück, den der Server zum Verschlüsseln von Daten verwendet. Daten können nur mit dem privaten Schlüssel des Clients entschlüsselt werden.

SSL connection

Verwandte Probleme