主页 / server / 问题 / 875708
Accepted
Georg Schölly
Asked: 2017-09-28 01:10:29 +0800 CST

从 lighttpd 中提取 TLS 会话密钥

  • 772

是否可以从 Lighttpd 中提取 TLS 会话密钥,以便我们能够解密 tcpdump 捕获的流量?

或者,我们可以禁用 PFS,但我们不希望这样做。

ssl

2 个回答

  1. 您可以在文件 /etc/lighttpd/lighttpd.conf 中的条目 ssl.pemfile 引用的文件中找到私钥

    密钥位于证书之前的开头。

    此处已经回答了解密问题:

    当我拥有私钥时,如何使用数据包嗅探器解密 ssl 流量

    ssldump 应该可以做到,但它似乎没有维护(在最新版本的源存档中,所有文件的最后修改日期都在 2002 年或更早)所以它很可能不会支持较新的 SSL/TLS;实际上,2002 年的软件能够处理 TLS 1.2 (AES/GCM) 中定义的新加密格式是非常难以置信的。TLS 1.1 于 2006 年发布,TLS 1.2 于 2008 年发布。

    OpenSSL 是一个实现该协议的库,但不适用于分析记录的会话。

    你可能有更好的机会使用 Wireshark,它有足够的文档说明如何使用它来解密记录的会话。

    需要记住一个重要参数:只有在密钥交换类型为 RSA 或静态 DH 的情况下,被动记录的会话(使用服务器私钥的副本)才能解密;使用“DHE”和“ECDHE”密码套件,即使知道服务器私钥,您也无法解密这样的会话。在这种情况下,您将需要协商的“主密钥”,或者使用服务器私钥来主动拦截连接(在中间人设置中)。

    • 0
  2. Best Answer

    Lighttpd 不支持这种开箱即用的功能。

    lighttpd 的开发者Stefan建议查看以下答案:

    从 openssl 应用程序中提取预主密钥

    • 0

相关问题