我已经阅读并观看了很多关于SSL AES和RSA的文章和视频,但有一件事总是在每个解释中都缺失(或者我只是没有得到它)是客户解密敏感的方式来自服务器的数据!(例如你有多少钱)
我知道你的公钥可以加密任何东西并将其发送到服务器,任何人都可以拥有它,但是当你想从服务器检索某些东西时你会怎么做? 它是否像纯文本一样?
任何文章和视频都指出了这一点,他们只是说你有一个你不应该分享的私钥和一个你可以加密你的消息并在互联网上分享的公钥,但是他们不要说客户端如何使用加密消息发出GET请求并对其进行解密,以使其具有人类可读性。
正如this link中关于AES所说:
非对称加密通过使用两个不同的密钥来工作,一个用于 加密和解密。它通常也被称为公钥 加密'因为它可以使一个关键公开(允许 有人加密消息)同时保持对方私密(仅限 私钥的持有者可以解密用加密的消息 相关的公钥)。
欢迎任何帮助!
我将留下一些我发现有用的网络安全链接: https://www.coursera.org/learn/internet-history/lecture/L7HzI/security-integrity-and-certificate-authorities
答案 0 :(得分:6)
如果您想所有,请抓取SSL and TLS: Designing and Building Secure Systems的副本。如需更加干练的讲座,请阅读RFC2246 The Transport Layer Security (TLS) Protocol。
短篇小说是这样的:在TLS / SSL握手期间,客户端和服务器交换秘密(PMS,pre-master-secret)。该秘密用于导出客户端和服务器使用的会话密钥,初始化向量和HMAC密钥。每个人都使用这个密钥来加密和签署从它发送的所有内容,每个人使用另一个密钥来解密和验证另一个发送的数据。 在任何方向上都没有明确的文字。
基于所使用证书的授权和身份验证是一个完全正交的问题。