SSL 運作原理
 

小弟參考了這篇學習SSL運作原理

http://blog.yogo.tw/2009/11/ssl.html

以下是他所提出的論點:

1.Client透過HTTPS連到Server。
2.Server傳送Server Public Key給client。
3.Client產生後續傳輸資料需要用來加密/解密用的Session Key，並以Server傳過來的Public Key加密後回傳給Server。
4.Server用Private Key解開Client以Public Key加密回傳的資料，以取得Session Key。
5.後續Client與Server間傳送資料就以此Session Key來做資料加密與解密的處理，處理的時間會比使用Server的Public Key與Private Key要快速許多。

我的問題是:

1. 到了第5點後，後續的連線Client還會把這把Session Key透過Public Key加密嗎?
然後Server 仍然會使用Private Key 解開Public Key 後取得Session Key嗎??
還是後續連線Client只有把Session Key 丟給Server嗎? 並沒有再透過Public Key加密了?

2. Session Key是對稱式加密沒錯吧? 所以我只要取得Session Key我就可以自行解開加密，進而看到資料內容　對嗎？

1. step4 server就拿到session key了，所以client之後就不會傳session key給server了，因為server已經有，沒有必要再傳了

2.yes

感謝解答心中疑惑

那請教一下..
如果有監聽網路....那不就所有的key皆可被獲得...
然後被解密監聽??

基本上session key不會以明文的方式在網路上傳遞
step4中session key是以server的public key加密
所以即便你監聽整個網路取得該訊息也沒什麼用

我的意思是....
取得public key後........
然後再取得加密的session key.....解密取得session key...

指的是有心人士破解......可能嗎? Ex.公司網管.....

非對乘式加密的好處就是public key就算封包傳遞中被取得也無法解密出資料

所以公司網管, ISP業者一般來說沒辦法直接解密出資料

在電影"社群網戰"裡有個比賽...破解了SSL後，祖克柏就說歡迎加入facebook
所以SSL到底有沒有被破過? :confused:

Public Key只是加密
解密還是要server端那把Private Key才行

MIS表示：我們不破解SSL，我們直接透過agent來「監管」員工