Рейтинг:1

Чтение трафика ECDHE с помощью Wireshark или подобного

флаг us

Есть некоторый https-трафик с определенного сервера (у которого у меня есть сертификат и закрытый ключ), который мне нужно законно читать.

Этот трафик не поступает через браузер, поэтому использование эфемерного протокола с предварительным секретным ключом невозможно.

Есть ли способ расшифровать и проанализировать трафик, не понижая набор шифров до какого-то устаревшего не эфемерного RSA?

В идеале использовать wireshark, но можно и кое-что еще.

Vadym Fedyukovych avatar
флаг in
Так что же это за "легитимность"?
Nacionarte avatar
флаг us
Легитимность означает, что мы провели тесты с http, и теперь необходимо тестирование https, поэтому нам нужно иметь возможность читать трафик. Другая сторона запросила его и предоставила нам сертификат и закрытый ключ.
Рейтинг:2
флаг ru

С чисто пассивной точки зрения вы ничего не можете сделать.Частная информация, относящаяся к сертификату, напрямую не предоставляет никакой информации об эфемерных ключах, используемых при обмене ECDHE. Это часть обещания прямой безопасности, которую обеспечивают эфемерные схемы.

Ты может активно настроить шлюз «человек посередине», который перехватывает все входящие запросы и отвечает на рукопожатие так, как это сделал бы сервер (используя сертификат и закрытые ключи). Затем вы можете установить собственное соединение с сервером и передавать информацию между клиентом и сервером. Затем это предоставит вам доступ ко всей расшифрованной информации.

Обратите внимание, что этот совет носит чисто технический характер. Могут существовать юридические ограничения в соответствии с вашей юрисдикцией, и, очевидно, вы обязаны соблюдать свой собственный этический кодекс в отношении того, является ли это надлежащим обращением с информацией.

Nacionarte avatar
флаг us
Спасибо за информацию Даниил. Можете ли вы указать мне, как активно настроить Mitm gw? Это работа, здесь нет ничего противозаконного; просто мне поручено выполнить эту задачу. Клиент попросил об этом, и он уже проинформирован о последствиях инфраструктуры такого рода.
Nacionarte avatar
флаг us
В настоящее время RTFM SSLsplit, так как мои надежды сделать это с помощью wireshark не оправдались. Открыт для предложений о наиболее простом способе выполнения этой задачи.
Daniel S avatar
флаг ru
Быстрый гугл выдал этот сайт: https://mitmproxy.org У меня нет опыта ни с этим продуктом, ни с этим поставщиком.
fgrieu avatar
флаг ng
Дополнение: альтернатива активной атаке MitM состоит в том, чтобы настроить программное обеспечение на одном из концов для вывода чего-то, что в противном случае должно оставаться секретным, что позволяет расшифровать пассивный перехват. Если вы заинтересованы в обмене DHE, это может быть частный эфемерный секрет, сгенерированный этим программным обеспечением. Если вас интересуют только более поздние данные, это может быть общий секрет до или даже после того, как он пройдет через KDF.
Nacionarte avatar
флаг us
Спасибо, fgrieu. Похоже, этот путь будет следовать. Спасибо.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.