¿Puede demostrarle a un tercero que una sesión de HTTPS TLS tuvo lugar? [duplicar]

4

Alice es un navegador / cliente (potencialmente modificado). Bob es un servidor web HTTPS no modificado que ejecuta prácticas de seguridad comunes.

Eve está recolectando datos de Bob de muchos Alices, Eve necesita esta información para ser precisa, y Alice está feliz de proporcionar la información a medida que se les paga. Sin embargo, Eva necesita verificar que la información fue enviada por Bob, y no un intento de estafa por parte de Alice para ganar dinero rápido.

Sin embargo, Alicia no quiere que Eva conozca sus cookies, etc. y controle su cuenta.

¿Puede Alice demostrarle a Eve que los datos en un intercambio https / tls provinieron de bob, y que no falsificaron los datos? Y si es así, pueden hacerlo sin que Eve robe su sesión / cookies.

    
pregunta Ryan The Leach 09.12.2016 - 19:12
fuente

1 respuesta

7

Si bien TLS identifica el servidor y protege los datos contra el rastreo y la modificación, no contiene algún tipo de prueba de que el servidor envió datos específicos que se pueden usar fuera de la conexión TLS. Esto significa que si Alice pudo capturar el tráfico TLS completo, extraer las claves de cifrado y entregarle todo esto a Eve, entonces Eve podría verificar que los datos fueron enviados por Bob (o al menos alguien en posesión de la clave privada de Bobs), pero También podría obtener el resto del tráfico, es decir, todas las cookies, etc.

Para lograr dicha prueba, Bob realmente tendría que firmar los datos relevantes (y solo estos datos) fuera de TLS para que Alice pueda entregar los datos firmados a Eve, que luego podría verificar la firma utilizando el certificado de Bobs.

    
respondido por el Steffen Ullrich 09.12.2016 - 19:44
fuente

Lea otras preguntas en las etiquetas