SSL - możliwe podsłuchanie?

[zimi]

prawdopodobnie wypiszę zaraz sporo głupot, moja znajomość w temacie jest marna, będę wdzięczny za wytłumaczenie gdzie źle myślę tudzież odesłanie do jakichś źródeł, bo jakoś szukanie w google mi nie idzie

czytałem sobie ostatnio o SSL i TLS i chciałem się zapytać czy jest możliwość prześledzenia całego procesu (czy jak to nazwać?) "handshake" w ten sposób otrzymując potrzebne klucze do odczytu informacji tudzież do zakodowania odpowiednich rozkazów które prześlemy do serwera

nie wiem jak wygląda proces podsłuchiwania czy to trzeba być "na linii" między dwoma komunikującymi się maszynami czy można to robić zupełnie "z zewnątrz"

ogólnie chce napisać aplikację klient-serwer, no i staram się douczyć to i owo aby, np. zapewnić bezpieczeństwo w komunikacji w tym co napiszę

no i podczas lektury jakichś materiałów czytałem o nawiązywaniu połączenia SSL czy TLS, no i gdy już wybrane są klucze, algorytmy i wszystko inne przechodzimy w zakodowany "tryb" i zakładam, że tam jest bezpiecznie, ale zanim to nastąpi wszystko jest przesyłane w sposób nieszyfrowany (z tego co zrozumiałem), wszystkie algorytmy i klucze
zatem gdyby je przechwycić dowiemy się prawdopodobnie wszystkiego co chcemy jako osoba atakująca

stąd moje pytanie dlaczego to jest bezpieczne?

za wszelkie uwagi z góry dzięki

[Rolek]

Może to Ci pomoże: http://pl.wikipedia.org/wiki/SSL

[Nikow]

Twój problem jest mimo tego co wcześniej napisałeś bardzo ciekawy, a ataki na sesje szyfrowane niezwykle skomplikowane, ponieważ kryją w sobie wiele technik. Najefektywniejszym i najłątwiejszym atakiem na szyfrowane sesje jest atak "Man in middle". Polega on na "okłamaniu" komputera ofiary że serwer to on i komputera serwera że ofiara to maszyna włamywacza. W ten sposób komputer włamywacza przedstawia swoje klucze obu stroną i może bez problemu przechwytywać jawne dane z danej transmisji. Niestety przygotowanie tego ataku często jest trudne, ponieważ trzeba pierw znaleść się na trasie po której lecą szyfrowane dane. Jeśli dane lecą przez sieć radiową to też możemy podsłuchiwać, ale wtedy musimy jeszcze wykombinować klucze, ostatnio byłą "afera" z OpenSSH w Debianie, gdzie developer uszkodził generator liczb pseudolosowych. Wykorzystując takie luki mamy gotowy podsłuch danych w jedną ze stron. Niestety z drugą stroną jest nieco gorzej.

Przechwycenie klucza w czasie negocjowania połączenia nie daje Ci praktycznie nic, oprócz tego że możesz pisać do serwera, jak każdy użytkownik. Klucz jest asymetryczny, co oznacza że by odkodować zakodowane dane kluczem publicznym, potrzebujesz innego klucza, który nazywamy kluczem prywatnym.

[zimi]

najgorsze jest to, że czytałem już ten artykuł na wikipedii :/
dopiero za którymś razem doszło do mnie że to jest asymetryczne
dzięki

[Guzik1252]

Hmmm sprawa jest o miliard razy prostsza jezeli jestes w sieci LAN. Wtedy instalujesz Cain & Abel i sprawa z glowy =D program sam wszystko zrobi (prawie) =D a jezeli chcesz jakiegos uzytkownika spoza sieci to bedzie naprawdee ciezkooo =D

[Nikow]

Hmmm sprawa jest o miliard razy prostsza jezeli jestes w sieci LAN. Wtedy instalujesz Cain & Abel i sprawa z glowy =D program sam wszystko zrobi (prawie) =D a jezeli chcesz jakiegos uzytkownika spoza sieci to bedzie naprawdee ciezkooo =D

Patrz na datę ostatniego posta. Po drugie, że niby C&A pozwala Ci podsłuchiwać jakikolwiek strumień SSL nie mając dostępu do żadnego hosta dostępowego? Nie kompromituj się...