SSLの仕組みがわからない・・・
中国ネタでSSL等に使う証明書を当局に提出するって話があるのだけど、実際のSSL動作のイメージで疑問点があったのでメモ書きです。
だれか、偉い人教えて・・・・
疑問点
証明書を提出していれば、当局はいかなるタイミングでも自在に検閲ができるのか?
サイト主のイメージ
提出されている証明書を利用できるのは、SSLのハンドシェイク時のみ。
データの転送フェイズに入ってしまってから途中で検閲はできない。
よって、セッション確立時からがっつり監視する必要がある。
上記のように思ってる理由
ハンドシェイク時に、データの転送時に使用する暗号鍵を送信しているから(証明書の鍵でデータを保護しているわけではない)。
正しくは、ハンドシェイク時に暗号鍵の生成に使用しているプリマスタ・シークレットを送っている。
なお、ハンドシェイク時のプリマスタ・シークレットは、証明書の鍵で保護されているので、ハンドシェイク時から監視して暗号鍵を盗むことはできるはず。
参考にした資料