He leído que una clave de sesión es simétrica y está cifrada por la clave pública del destinatario;
Cuando "Bob" recibe un mensaje, ¿lo descifra con su clave privada y está en posesión de un mensaje cifrado y una clave de sesión, que luego utiliza para descifrar el mensaje?
Si mi entendimiento es correcto, cualquier persona que posea la clave privada de Bob puede determinar fácilmente la clave de sesión y descifrar el mensaje. ¿O entendí mal esto?
¿Qué es una clave de sesión?
Una clave de sesión es una clave simétrica de un solo uso que se utiliza para cifrar todos los mensajes en una sesión de comunicación.
Scenario:
A Alice le gustaría establecer una comunicación segura con Bob. Pero ella no puede proporcionar la clave en texto sin formato, de lo contrario, alguien que esté olfateando la comunicación podría descifrar la información más adelante. ¿Qué hace ella?
Solución:
Ella envía una clave simétrica de forma segura mediante el uso de un algoritmo asimétrico. ¿Por qué no simplemente hacer toda la comunicación con algoritmo asimétrico? ¡Porque lo simétrico es mucho más rápido!
Implementación:
- Alicia genera una clave simétrica
- Alice encripta un correo electrónico que incluye la clave simétrica usando la clave pública de Bob y se la envía a él
- Bob, el único que puede descifrar el mensaje ya que tiene la clave privada respectiva, puede obtener la clave simétrica de forma segura.
- La comunicación ahora puede ser enviada por Alice y leída por Bob
Si mi entendimiento es correcto, cualquier persona que posea la clave privada de Bob puede determinar fácilmente la clave de sesión y descifrar el mensaje.
Solo Bob debería tener acceso a la clave privada de Bob, por lo tanto, nadie más podría descifrar la clave de sesión cifrada.
Lea otras preguntas en las etiquetas public-key-infrastructure cryptography protocols