Cuando usamos el tráfico Tor o https, la clave de cifrado y descifrado debe intercambiarse entre el navegador y el servidor del sitio web. ¿Por qué alguien que puede capturar todo el tráfico, digamos ISP o alguien que controla el enrutador wifi, no puede capturar la clave y, por lo tanto, leer el contenido real del tráfico cifrado?
Esto es lo básico de Cifrado de clave asimétrica (o cifrado de clave pública). Cada parte tiene un par de claves, una clave pública y una clave privada.
Puede cifrar los datos con la clave pública, pero solo se puede descifrar con la clave privada. Ahora, hay un impacto en el rendimiento cuando se usan claves públicas, por lo que generalmente se configura una clave simétrica. El problema es que necesitamos tener una forma segura de distribuir nuestra clave. La criptografía de clave pública se utiliza para intercambiar de forma segura esa clave.
En su forma más simplificada, un cliente crea una clave secreta K y la cifra mediante la clave pública del servidor. Ahora, solo el servidor puede descifrar esto, y K se usa para cifrar todo el tráfico adicional.
K nunca se transfiere en texto claro, por lo que aunque un ISP recopile todo el tráfico entre el cliente y el servidor, nunca sabrán qué es K. (Es decir, a menos que haya vulnerabilidades).
Como se dijo, hay mucho más que ver (negociación SSL, etc.) al configurar un túnel SSL, pero esa es la idea general.
Lea otras preguntas en las etiquetas encryption tls tor