Voy a comentar esta herramienta, porque lo que pasa es que luego la gente no lo lee con detenimiento, y va por la vida con la idea de que existe algo que te abre el SSL.
Es que además, estos tíos son unos cachondos.
Si es un simple sniffer.
De que te vale sniffar todo el handshake? como curiosidad está bien, pero están vendiendo humo.
Vamos a analizar lo que dicen que hacen, sacado de su web :
New TCP connection #3: localhost(3638) <-> localhost(4433)
3 1 0.0738 (0.0738) C>S Handshake ClientHello
3 2 0.0743 (0.0004) S>C Handshake ServerHello
3 3 0.0743 (0.0000) S>C Handshake Certificate
3 4 0.0743 (0.0000) S>C Handshake ServerHelloDone
3 5 0.0866 (0.0123) C>S Handshake ClientKeyExchange
3 6 0.0866 (0.0000) C>S ChangeCipherSpec
3 7 0.0866 (0.0000) C>S Handshake Finished
3 8 0.0909 (0.0043) S>C ChangeCipherSpec
3 9 0.0909 (0.0000) S>C Handshake Finished
1. - El cliente hace la peticion al server, el ClientHello.
2. - El server se reconoce como presente, el ServerHello.
3. - Y manda la parte publica de su certificado al cliente.
4. - Da por concluido el ServerHello.
5. - Se produce el intercambio de claves. ClientKeyExchange. Esto que es?. Que el navegador del usuario genera una clave aleatoria, la clave de sesión, la cifra con la clave pública del certificado del servidor, y se la manda. En ese momento, esa claves solo se puede descifrar con el certificado del servidor, con su clave privada. Así que te da igual capturar todo el paquete, porque no vas a poder descifrarlo.
Esto sin comentar, que previamente, el navegador valida el certificado del servidor para comprobar que es quien dice ser y que corresponde a su dominio.
6.- El cliente le dice al servidor que tipo de algoritmos de cifrado simetrico soporta su navegador.
7.- Acaba el handshake.
8.- El servidor le dice al cliente que algortimo va a usar para cifrar.
9- Acaba el protocolo y empieza la transmision de datos, cifrada con el algoritmo de cifrado antes negociado y con la clave de sesion intercambiada.
Como vemos, esto solo nos vale para verificar errores y poco más. La clave de sesión podemos cogerla pero cifrada, y tampoco nos vale tenr un superordenador para descifrarla por fuerza bruta y luego descifrar la transferencia, porque tardariamos siglos en conseguirla, y ademas todo esto se renegocia creando una clave nueva cada pocos minutos.
Luego añaden:
This example uses the flags for minimal decoding. ssldump has flags to allow decoding of all messages, including printing the application protocol data
Que previamente complementan con:
Si dispones del certificado adecuado, también descifra las conexiones y muestra los datos del trafico.
Si, si dispones del certficado del servidor. Pero eso es evidente. Si dispones del servidor tb ves todos los datos en claro.
En fín, está visto que lo que se lleva es vender humo.
Podeis probarla, conectaros a un server con SSL, y no sacareis nada.
Salu2.
Autor
En línea
