Por lo tanto, existe este método de reanudación de sesión TLS utilizando Session Tickets que transfiere el estado secreto del servidor TLS al cliente (cifrado y autenticado con una clave que solo el servidor conoce)
Si un cliente desea reanudar una sesión, simplemente incluye el Ticket de sesión en la solicitud, lo que permite que el servidor reanude la sesión.
Preguntas:
- ¿Qué sucede si la clave de sesión (servidor) es robada?
- ¿Qué podría hacer un atacante si registra los paquetes TODOS entre el servidor y varios clientes? ¿Podrá él descifrar todo?
¿El Ticket de la sesión incluye el master_secret
(que se usa para criptografía simétrica como AES?) ( RFC 5077, página 11 ).
- ¿Cómo se reutiliza este
master_secret
después de la reanudación de la sesión? ¿El servidor y el cliente continuarán reutilizando estemaster_secret
para todos los criptogramas simétricos (por ejemplo, AES)?