我对SSL有疑问,我需要为我的网站使用SSL证书,因为我需要管理私人信息。 我知道SSL使用公钥,所以问题(可能是愚蠢的)是,如果客户端和服务器交换密钥,有人可以读取密钥并将流转换为原始消息,也许它可以保护连接,但是如果有人得到解密密钥是没有意义的。没有? 我正在阅读关于中间人攻击的人的事情,所以如果有人在交换密钥后听,那么......连接是安全的,但是如果有人可以从一开始就听它呢?
感谢您的信息
答案 0 :(得分:1)
不确定如何妥善解决这个问题。
如果不正确完成,则SSL 不安全。 数据被加密发送,而某些人无法使用嗅探器“读取”它们这一事实是这个难题的一部分。
另一部分是,如果您正在与您认为正在谈话的实体交谈。即如果你想与Bob谈话,你实际上是在使用Bob的公钥进行加密吗?或者可能不是?
在你的中间人攻击的例子中,如果你不对服务器进行身份验证,那么中间的某个人可以出示你认为是Bob的证书并使用他的公钥,攻击者可以解密你发送的数据。
简而言之,关于您的问题,没有身份验证的加密是不安全的。
所以即使使用SSL,除非你这样做,对,你也不安全
答案 1 :(得分:0)
SSL(TLS)使用public-key cryptography。这意味着他们可以安全地同意一把钥匙,而你的恐惧是没有根据的。
最近有一些针对SSL的高调攻击,尤其是获取欺诈性证书和攻击握手的攻击。前者目前无法解决,第二种是浏览器制造商和使用RC4加密的服务器。这是一个很好的背景,有助于理解最近的一些头条新闻,但它不会对你的选择产生重大影响 - 如果你想要任何类型的安全性,你真的需要SSL。尽管存在缺陷,但没有其他选择。
答案 2 :(得分:0)
我认为您需要了解SSL实际上如何正确理解它。基本上发生的事情是服务器上有一个私钥,它与其公钥(它发送给主机)一起使用,主机也为服务器生成公钥,以便他们知道他们正在与谁通话。永远不应该共享私钥。
对于中间人,包也是加密的,所以如果它们被更改或篡改,服务器在解密检查期间将不会接受它们。
然而,我最近读到有人设法找到SSL协议的后门,一个星期后(我认为 - 尽管他们试图制作更快的算法)人们可能成功地破解。它只是一个概念的prrof而不是发布。这是一篇文章,而不是原文。 http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/