Можно ли извлечь подписанное сообщение из запроса SSL?

Учитывая любой HTTPS-сервер, например google.com, можем ли мы извлечь полезную нагрузку / ответ и подпись для этих данных?

Цель состоит в том, чтобы сделать запрос и получить файл данных и подпись, которые можно проверить с помощью стандартной системы центра сертификации.

1 ответ

Решение

Ни данные приложения не подписаны TLS, ни запрос / ответ не подписаны на уровне HTTP. А там, где нет подписи, нельзя извлечь. Однако данные приложения в TLS защищены от модификации человеком, находящимся посередине. Но это делается с помощью HMAC, где ключ известен как клиенту, так и серверу, что означает, что клиент может создать HMAC для данных, отправляемых сервером, и, таким образом, это не может использоваться в качестве доказательства того, что сервер что-то отправил.

Другие вопросы по тегам