II
выше я там хрень написал, нода не шифрует для сессионый ключ своим закрытым ключом, а то его можно перехватить)))
Size: a a a
2021 July 13
II
подлинность проверяется сертификатом центра. центр своим закрытым ключом удостоверяет подлинность открытого ноды
d
При физическом доступе уже хана
II
ну уже сколько раз писать, что нода отправляет свой сгенеренный серт в центр он его подписывает и она его уже подписанным пользуется для удостоверения своей подлинности
II
Если у тебя есть открытый ключ ноды и ты убедился что он подлинный то ты можешь им шифровать, расшифровать может только нода своим парным закрытым ключом
II
Короче когда у тебя есть подлинный открытый ключ, там уже дофига возмжностей и алгоритмов как вы можете общаться в тайне от всех
d
по моему асимметричное шифрование обычно не позволяет передать нормалные данные, но когда у каждого есть по своему закрытому ключу и по оба открытых можно сгенерить из всего этого одинаковый набор данных, так что его будут знать только те у кого были закрытые ключи
DB
она передает способ по которому ты можешь шифровать. И все это с подписью центра.
По сути я могу слать запрос на соединение, получаю от ноды способ шифровки.
Но это была не нода а сконпроментированный сервер.
И теперь он может видеть что я ему передал
Теперь сервер шлет данные другой ноде, получает от нее данные с сертификатом, копирует сертификат и отправляет мне вместе со своим ключем
По сути я могу слать запрос на соединение, получаю от ноды способ шифровки.
Но это была не нода а сконпроментированный сервер.
И теперь он может видеть что я ему передал
Теперь сервер шлет данные другой ноде, получает от нее данные с сертификатом, копирует сертификат и отправляет мне вместе со своим ключем
d
по сути такое шифрование это не передача данный, а хитрый способ сгенерировать одноразовый симметричный ключ
II
Ну да ассимитричное ресурсоемкое его используют только чтобы договориться о симметричном ключе
d
не только ресурсоёмкое, но ещё и не шибко обратимое
II
В сертификат входит какой-либо идентификатор ноды в случае https ее домен в торе понятно айпишник, если она пришлет тебе другой сертификат у него будут другие данные
II
узел с прислал тебе серт в котором написано что это серт google.com. значит ты и будешь устанавливать соединение с google.com
d
уверен у какого-нибудь анб есть способы подделывать сертификаты и корневые центры обязаны им помогать...
II
ему не понравится что он запросил сертификат у ноды с одним айпишником, а она прислала ему сертификаит удостоверяющий ноду с другим
d
а ещё там вроде как ключ должен этим сертификатом подписываться