¿Por qué no es posible que un tercero descifre el tráfico HTTPS? [duplicar]

Navega tus respuestas
4

Realmente no sé mucho sobre HTTPS. Pero siempre escucho a la gente decir que es 100% seguro y a prueba de balas.
Mi pregunta es: ¿Es eso cierto o incluso posible?

Quiero decir que hay muchas herramientas que te permiten leer el tráfico de Internet de todos los demás dispositivos que están en la misma red que tú.
Entonces, ¿cómo ayudan los certificados y el cifrado a hacer esta prueba de balas?

¿No sería siempre posible descifrar los paquetes HTTPS como lo hace el cliente?
Quiero decir que debe haber algún tipo de clave que ambas partes (Cliente y Servidor) deben conocer para poder en / descifrar los datos correctamente, de modo que quien crea la clave debe enviarla a la otra parte. ¿No debería una red sniffer ser capaz de recoger eso?

    
pregunta Forivin 30.06.2014 - 16:15
fuente

3 respuestas

1

Bueno, en el mundo real, en realidad es posible realizar un ataque de hombre en el medio en SSL, llamado ssl stripping. Este es el ejemplo más fácil. Se basa en el hecho de que la mayor parte del recorrido a páginas HTTPS ocurre como resultado de una redirección desde un HTTP simple inseguro.

Este es el tipo de ataque que está describiendo cuando pregunta si sería posible descifrar un paquete como si fuera un cliente: la respuesta es sí, colocándose entre el cliente y el servidor y negociando su propia conexión SSL con cada uno de ellos. Si bien este ataque es antiguo y fácil de mitigar, sigue siendo muy peligroso y directo. Aquí está la charla donde se presentó el ataque por primera vez: enlace

Una forma diferente de ataque MITM, pero solo un ejemplo de cómo este tipo de ataques pueden afectarnos a usted y a usted: enlace y enlace

También hay un conjunto completo de ataques a los diferentes componentes que conforman TLS / SSL, como el cifrado de flujo RC4. Más aquí: enlace

EDITAR: para obtener una excelente descripción técnica de cómo funciona realmente SSL, que pone en contexto todas las publicaciones anteriores, vea aquí: ¿Cómo funciona SSL / TLS?

EDITAR: Más arriba, donde dije que era posible mitigar MITM contra SSL, no le di un recurso, lo que hace que sea una mala respuesta :( Vea aquí para obtener más detalles sobre cómo SSL puede hacerse más robusto: ¿Qué es la fijación de certificados?

EDICIÓN FINAL: también es una excelente respuesta a su pregunta original enlace

    
respondido por el AlexH 30.06.2014 - 16:37
fuente
1

¿Por qué alguien no puede descifrar el tráfico HTTPS? Envía un "secreto de cifrado" secreto dentro de "Criptografía de clave pública".

Entonces, para responder a tu pregunta, deberás entender

  1. Cifrado
  2. Criptografía de clave pública.

La mayoría del cifrado proviene de la innovación del One Time Pad , que tiene limitaciones que aprenderá acerca de estudias la OTP. Hay muchas maneras de hacer que una OTP sea "mejor" y cada una tiene diferentes costos y beneficios.

A continuación, debe familiarizarse con la criptografía de clave pública. La suposición detrás de esto es que se usa matemática muy, muy difícil que incluso las mejores computadoras de hoy no pueden descifrar.

Uno de los problemas matemáticos más difíciles en uso hoy en día es llamado RSA . Hay más fórmulas para elegir, pero para obtener más información, puede hacerlo simple con un ejemplo de lápiz y papel .

Entonces, la respuesta corta es que las matemáticas protegen la clave de cifrado que se envía al destinatario. Si un observador externo viera esa comunicación, necesitaría computadoras increíblemente poderosas para descubrir esa clave ... y para entonces, ( en 30, 50 o más años ) esa información carece de valor.

    
respondido por el random65537 30.06.2014 - 16:53
fuente
0

La "clave que ambas partes deben conocer" (también conocida como clave de sesión) se deriva de una llamada pre-master-secret (número aleatorio) que se intercambia usando criptografía de clave pública . Un certificado es solo una clave pública firmada digitalmente con información adicional. Con esta clave pública, el cliente puede cifrar mensajes que solo el servidor puede descifrar con la clave privada correspondiente.

    
respondido por el JayFromA 30.06.2014 - 16:31
fuente

Lea otras preguntas en las etiquetas

¿Cómo funciona el cifrado completo de Android 6 ... cuando no solicita la contraseña en el momento de inicio? ¿Son normales los niveles altos de spam de correo electrónico?