我正在阅读SSL安全逻辑文章。我有点困惑。服务器有私钥,服务器发送客户端公钥。只有公钥的加密数据可以通过私钥解密。
1-客户端没有私钥。客户如何解决服务器数据?
如果公钥通过互联网发送,有人可以访问收听网络的密钥。3-加密和解密应该有一个算法。所有浏览器都知道该算法吗?如果浏览器公司知道加密算法,这是一个安全问题。
答案 0 :(得分:0)
公钥和私钥不用于SSL中的数据加密。它们仅用于身份验证阶段。这就是客户端不需要私钥的原因,除非服务器需要客户端身份验证。实际加密是使用协商会话密钥通过对称加密完成的。
互联网上有一些资源,另一方面是Linux文档项目页面。他们错了。规范性引用是RFC 2246。
您对了解加密算法的说法非常不正确。首先,客户端必须知道能够加密和解密的算法。其次,它是多年前建立的,默默无闻的安全措施根本行不通。真正的加密安全性来自精心设计和经过良好测试的算法,无论它们是多么出名,也可能是密钥长度。