这个问题其实似乎有点不适合这个版 不过因为搜寻有找到以往有SSL的相关问题 又没有关於连线加密技术的板(或是有版可以讨论不过我不清楚) 因此先将这个问题PO在这 如果有违反版规请告知我，我会自D ------------------ 问题是这样的 我查到网路上的资料说 SSL曾经被中间人攻击破解很多次 但SSL不是应该拿到传输讯息也没有办法解密才对吗？(这里指的是有数位凭证的状况) 首先先PO上我对SSL的理解(非常浅薄~只是单纯的流程原理~我完全不懂技术) 因为我没研究过详细的运作确切流程 所以以下的步骤是我参考了一些简短的资料以及对公私钥的理解後的想法 客户端以明码像伺服器端要求建立安全连线 伺服器端先将自己的公钥A-P-1交给CA (A表示伺服器 P表示公钥 1表示这个流程伺服器所用的第1组公钥) CA以私钥CA-S-A来将公钥A-P-1加密成凭证交给伺服器端 (S表示私钥 其余与上面相同) 伺服器端将接下来要给客户端加密用的公钥A-P-2 、将A-P-2杂凑算出的字串以私钥A-S-1加密成的数位签章、凭证 以及连线用的其他所需的讯息以明码传给客户端 客户端接收到资料後向CA索取公钥CA-P-1解码凭证 得到正确的A-P-1对杂凑结果进行解密 由於是正确的A-P-1，因此解出的一定是正确的数位签章 并以相同的杂凑方式处理接收到的数位签章 若是数位签章正确代表A-P-2的确是伺服器所发送给客户端加密的 接下来客户端以A-P-2加密传输的资料以及接下来使用的对称式加密密钥给伺服器 伺服器接到资料後也只有伺服器能以A-S-2解密 也就完成了传递对称式密钥的工作 网路上都只有提到前段 所以我不确定最後是给对方对称式密钥 或是给伺服器加密用公钥然後每个传输都有新的密钥对 不过在演算法够复杂足以应付穷举破解以及无演算漏洞的前提下 两种做法处理後续的资料传递都可以保证正确性以及没有经过偷改 因为你偷改了之後对方用相对应的密钥是解不出正确内容的 如果以上状况都成立 当然是无法破解的 而可能经由中间人攻击的部分只有一个点 完全拦截客户端与伺服器还有CA的连线 所有的沟通从一开始就被中间人攻击 连凭证跟数位签章都是假的 但当然这个想法不应该成立 如果成立的话 这个凭证根本就没有公信力了 如果这个方法太容易成功的话SSL相关机制也太过脆弱了一点 所以我想这个可能性应该不高 那如果上面的这个漏洞不成立的状况 究竟有什麽方法可以突破这套制度呢？ 当然 我的想法可能跟实际运作流程还有差以致我想的方向根本不一样 那就麻烦知道的大大指出我的谬误处 感谢 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 122.121.205.76