Можно ли извлечь подписанное сообщение из запроса SSL?
Можно ли извлечь полезную нагрузку / ответ и подпись для этих данных с помощью любого HTTPS-сервера, например google.com?
Целью будет сделать запрос и получить файл данных и подпись, которые можно будет проверить с помощью стандартной системы центра сертификации.
1
задан Alexandre Gomes
10 April 2019 в 06:43
Ссылка
1 ответ
Ни данные приложения не подписаны TLS, ни запрос / ответ не подписан на уровне HTTP. А где никакой подписи нет, добыть нельзя. Однако данные приложения в TLS защищены от модификации человеком посередине. Но это делается с помощью HMAC, где ключ известен как клиенту, так и серверу, что означает, что клиент может создать HMAC для данных, отправленных сервером, и, следовательно, это не может использоваться в качестве доказательства того, что сервер что-то отправил.
2