¿Cuáles son las diferencias entre la reanudación de sesión basada en el Ticket de sesión y el ID de sesión?

3

¿Hay alguna otra diferencia, excepto la caché de sesión?

¿Solo la reanudación de sesión basada en el ID de sesión actualizará la clave de sesión TLS simétrica?

    
pregunta Devang Kubavat 03.01.2017 - 09:10
fuente

1 respuesta

4

Actualización: Advertencia: mi comprensión de esto es aburrida. Ver el comentario de Dave Thompson.

——————————————

  

¿Solo la reanudación de sesión basada en el ID de sesión actualizará la clave de sesión TLS simétrica?

Ningún método hará eso.

Para citar a Adam Langley: (saltos de línea míos)

  

TLS ofrece dos mecanismos de reanudación de sesión: los ID de sesión (donde el servidor y el cliente almacenan su propio estado secreto) y los tickets de sesión (donde el cliente almacena el estado del servidor, cifrado por el servidor).

     

Si un atacante puede obtener la información de reanudación de sesión para una conexión, entonces puede descifrar la conexión.

     

(Esto no tiene por qué ser completamente cierto, pero es para TLS debido a la forma en que está diseñado TLS.)

Fuente: Cómo estallar el secreto hacia adelante de TLS (27 de junio de 2013) (Archivado aquí .)

Lectura adicional

respondido por el StackzOfZtuff 03.01.2017 - 10:32
fuente

Lea otras preguntas en las etiquetas