C'est la magie de la cryptographie à clé publique. Les mathématiques sont impliquées.

Le schéma d'échange de clés asymétrique qui est le plus simple à comprendre est le cryptage asymétrique avec RSA. Voici une description simplifiée à l'extrême:

Soit n un grand entier (disons 300 chiffres); n est choisi tel qu'il soit un produit de deux nombres premiers de tailles similaires (appelons-les p et q ). On va alors calculer les choses "modulo n ": cela signifie que chaque fois qu'on additionne ou multiplie deux entiers, on divise le résultat par n et on garde le reste (qui est entre 0 et n-1 , nécessairement).

Étant donné x , calculer x ³ modulo n est simple: vous multipliez x par x puis à nouveau par x , puis vous divisez par n et gardez le reste. Tout le monde peut le faire. En revanche, étant donné x³ modulo n , récupérer x paraît trop difficile (les méthodes les plus connues étant beaucoup trop cher pour la technologie existante) - à moins que vous connaissiez p et q , auquel cas cela redevient facile. Mais calculer p et q à partir de n semble également difficile (c'est le problème connu sous le nom de factorisation d'entiers).

Voici donc ce que font le serveur et le client:

• Le serveur a un n et connaît le p em correspondant > et q (il les a générés). Le serveur envoie n au client.
• Le client choisit un x aléatoire et calcule x ³ modulo n.
• Le client envoie x³ modulo n au serveur.
• Le serveur utilise sa connaissance de p et q pour récupérer x .

À ce stade, le client et le serveur connaissent x . Mais un espion n'a vu que n et x³ modulo n ; il ne peut pas recalculer p , q et / ou x à partir de ces informations. Donc x est un secret partagé entre le client et le serveur. Après cela, il s'agit d'un cryptage symétrique assez simple, utilisant x comme clé.

Le certificat est un conteneur pour la clé publique du serveur ( n ). Il est utilisé pour contrecarrer les attaquants actifs qui voudraient se faire passer pour le serveur: un tel attaquant intercepte la communication et envoie sa valeur n à la place du n du serveur. Le certificat est signé par une autorité de certification, afin que le client sache qu’un n donné est vraiment le n authentique du serveur qu’il souhaite parler avec. Les signatures numériques utilisent également la cryptographie asymétrique, bien que de manière distincte (par exemple, il existe également une variante de RSA pour les signatures numériques).

Voici une version vraiment simplifiée:

1. Lorsqu'un client et un serveur négocient HTTPS, le serveur envoie sa clé publique au client.
2. Le client crypte le cryptage de la session clé qu'il souhaite utiliser en utilisant la clé publique du serveur, et envoie ces données chiffrées au serveur.
3. Le serveur déchiffre cette clé de chiffrement de session à l'aide de sa clé privée et commence à l'utiliser.
4. La session est maintenant protégée, car seuls le client et le serveur peuvent connaître la clé de cryptage de la session. Il n'a jamais été transmis en clair, ou de quelque manière qu'un attaquant puisse le déchiffrer, donc ils seuls le savent.

Voilà , tout le monde peut voir la clé publique, mais cela ne leur permet pas de décrypter le paquet "hé-allons-chiffrer-en utilisant-ce-à-partir-de-maintenant" qui est chiffré avec cette clé publique. Seul le serveur peut déchiffrer cela, car seul le serveur possède cette clé privée. Les attaquants pourraient essayer de forger la réponse contenant une clé chiffrée, mais si le serveur configure la session avec cela, le vrai client ne la parlera pas car ce n'est pas la clé que le vrai client a définie.

C'est toute la magie du cryptage à clé asymétrique. Des trucs fascinants.

P.S. «vraiment simplifié» signifie «des détails mutilés pour faciliter la compréhension». Wikipedia "Transport Layer Security" donne une réponse plus correcte en termes de détails techniques, mais je visais "facile à grok".

Les autres réponses sont bonnes, mais voici une analogie physique qui peut être plus facile à saisir:

Imaginez une boîte de verrouillage, du genre avec un rabat en métal sur lequel vous mettez un cadenas pour sécuriser. Imaginez que la boucle où vous placez le cadenas soit suffisamment large pour accueillir deux cadenas. Pour échanger en toute sécurité, envoyer quelque chose à une autre partie sans partager les clés de cadenas, vous

1. mettre le "Chose" dans la boîte et le verrouiller avec votre cadenas.
2. envoyer le boîte verrouillée à l'autre partie.
3. ils mettent également leur cadenas sur la boucle (de sorte qu'il y ait deux verrous dessus), et vous rendent la boîte à double verrouillage
4. Vous retirez votre cadenas et renvoyez-leur la boîte désormais verrouillée individuellement
5. ils retirent leur propre cadenas et ouvrent la boîte.

Avec le cryptage, les serrures et les clés sont mathématiques , mais le concept général est vaguement comme celui-ci.

De nombreuses réponses déjà fournies négligent la capacité d'interception du FAI ou de la NSA. Jetez un œil à la Salle 641A du centre de données AT&T. On estime que 10 à 20 installations de ce type ont été installées aux États-Unis. Jetez également un œil au bâtiment One Wilshire, où 260 connexions de FAI convergent en un seul bâtiment. Cet emplacement est un emplacement privilégié pour une installation d'interception.

Le fait est qu'un FAI (ou l'équipement installé par la NSA dans le FAI) peut intercepter et MITM attaquer une connexion SSL et ils peuvent le faire assez facilement en fait.

• Votre navigateur Web ou système d'exploitation contient plus de 500 certificats de confiance installés. Cela signifie que vous faites implicitement confiance à tout site Web dont le certificat a été signé par ce certificat.
• La NSA via une décision secrète du tribunal FISA peut forcer toute autorité de certification opérant aux États-Unis à donner leur leur certificat racine. L'ordonnance du tribunal comprend une clause spéciale de non-divulgation qui oblige le CA à se taire sous peine d'emprisonnement s'il en parle. Ils n’ont peut-être même pas besoin de le faire, mais il leur suffit de convaincre les fournisseurs de navigateurs d’accepter un certificat appartenant à la NSA comme étant approuvé dans le navigateur.
• Lorsque votre trafic passe par le Le FAI échange la véritable clé publique du site Web avec la propre clé publique de la NSA signée par l'autorité de certification compromise, effectuant ainsi l'attaque MITM.
• Votre navigateur Web accepte ce faux certificat comme étant de confiance et vous communiquez la clé de chiffrement symétrique pour l'échange vers le NSA / FAI qui en garde une copie et transmet également la même clé sur le site Web.
• Votre session avec le site Web est déchiffrée en temps réel avec la clé symétrique compromise.
• Les données déchiffrées sont envoyées via une ligne de fibre optique au siège et centre de données de la NSA dans le sous-sol de Fort Meade. Cela analyse les données pour des centaines ou des milliers de mots-clés qui peuvent indiquer différents types de menaces. Tous les mots-clés sont signalés par un indicateur rouge pour qu'un analyste puisse afficher et prioriser les actions supplémentaires le cas échéant. Les données finales sont envoyées à l'une des installations de stockage de données de la NSA aux États-Unis. La nouvelle installation de stockage est le centre de données de l'Utah, qui est probablement déjà en ligne car il devait être en ligne à la fin du mois dernier.

Voici un diagramme de nsawatch .org:

En termes simples: il y a deux cryptages différents en cours:

• Il y a d'abord le cryptage à clé publique / privée . Le client utilise la clé publique du serveur (qui est incluse dans le certificat) pour crypter certaines informations que seul le serveur peut décrypter en utilisant sa clé privée.

• Sur la base de ces informations une clé de session est dérivée, qui n'est connue que du serveur et du client. Cette clé de session est utilisée pour crypter ces données.

Ceci est un résumé très approximatif.

Il y a beaucoup plus de choses à faire pour empêcher divers types d'attaque:

• Par exemple, le client essaie de valider le certificat du serveur pour s'assurer qu'il ne parle pas à un homme au milieu.
• Il existe différents algorithmes et les longueurs de clé pour les clés de session qui doivent être négociées
• Les nombres aléatoires qui ne sont utilisés qu'une seule fois sont utilisés pour empêcher les attaques de relecture.
• Le protocole d'échange de clés Diffie-Hellman peut être utilisé pour générer une clé de session qui ne peut pas être reconstruite par une personne qui a enregistré la transmission de données cryptées et a accès à la clé privée du serveur à un plus tard ( Perfect forward secrecy).
• ...

Je pense aux six réponses déjà disponibles, celle de gowenfawr l'explique le mieux. Lisez-le d'abord car il ne s'agit que d'un addendum.

Sur Diffie-Hellman

Plusieurs réponses mentionnent les échanges Diffie-Helman. Celles-ci sont mises en œuvre dans une minorité d'échanges. Un échange DH est signé par la clé du serveur pour empêcher une attaque MITM. Étant donné que la clé n'est pas chiffrée sur une clé publique, elle ne peut pas être récupérée à l'aide d'une clé privée capturée contre le trafic capturé d'un échange de clés. C'est l'idée du Perfect Foward Secrecy. OpenSSL permet à la fois les échanges de clés "ordinaires" et DH selon la configuration.

Sur les chaînes MITM / Signature

Les échanges de clés publiques et DH empêchent quelqu'un d'observer la connexion et de dériver la clé. Ceci est basé sur tout un tas de problèmes mathématiques que vous pouvez rechercher / regarder la réponse de Thomas pour comprendre. Le problème avec l'un ou l'autre est l'attaque MITM. Pour la cryptographie à clé publique, cela est résolu soit en connaissant la clé publique au préalable (même si l'échange est observé), soit au moyen d'une chaîne de certificats. Exemples: je fais confiance à Alice et Alice a signé la clé de Bob certifiant qu'elle est bien la sienne. Aussi connu sous le nom de Google, il est certifié par ... euh, Google. Il semble qu'ils soient dans Firefox en tant que leur propre autorité de certification. Ainsi, random_bank's_ssl est signé par Verisign, et mon navigateur fait confiance à Verisign pour émettre uniquement des certificats légitimes.

Des problèmes existent avec ce modèle lorsque vous rencontrez des choses comme une autorité de certification compromise. Dans ce cas, une attaque MITM devient possible.

SSL repose sur la cryptographie à clé publique. Un serveur qui participe à SSL a une paire de clés , qui a des composants publics et privés.

Imaginez que vous ayez un lockbox spécial avec deux clés: une clé peut verrouiller la boîte, et un autre peut déverrouiller la boîte. Si votre ami souhaite vous envoyer un message secret, il n'a besoin que de la clé de verrouillage et vous pouvez garder la clé de déverrouillage privée .

En fait, vous pouvez librement donner votre clé de verrouillage à tout le monde. Vous décidez de laisser de côté des copies de vos coffres spéciaux et des clés de verrouillage sur votre porche afin que tout le monde puisse en avoir une copie. Bientôt, tout le monde dans toute votre ville pourra vous envoyer des messages secrets par courrier. Vous avez défini votre clé de verrouillage publique^.

Si votre amie Alice veut vous envoyer un message secret, elle place son message dans une boîte à clé et le verrouille avec une copie de votre clé de verrouillage publique. Le maître de poste de votre ville se méfie beaucoup de vous et d'Alice, mais - même s'il a lui aussi accès à votre clé publique - il ne peut pas ouvrir le coffre. Seul vous, seul propriétaire de la clé de déverrouillage privée, pouvez ouvrir la boîte qu'Alice a verrouillée.

Ainsi, votre FAI (ici, le postmaster) a accès à votre clé publique , mais cela ne les aide pas à déchiffrer les messages chiffrés avec votre clé publique. Votre clé publique crypte uniquement, et seule votre clé privée décrypte. Ainsi, votre clé privée ne quitte jamais votre possession, donc personne n'y a accès sauf vous, et donc personne ne peut écouter vos messages.

Il y a un peu plus de protection que SSL vous donne (par exemple, supposons que le le postmaster jette la boîte d'Alice et vous envoie un nouveau message en prétendant être Alice), mais cela devrait clarifier pourquoi votre FAI ne peut pas simplement déchiffrer vos messages.

Regardez Diffie Hellman: http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange

Pour des raisons de performances, la connexion est chiffrée avec clé symétrique. Mais la clé symétrique est générée lors de l'établissement de la connexion et n'est jamais échangée en clair, mais en utilisant une cryptographie asymétrique.

La cryptographie asymétrique est une technique où deux clés sont nécessaires: une publique et une privée. Ce qui est crypté avec la clé publique doit être décrypté avec la clé privée et inversement. Ainsi, les deux ordinateurs peuvent échanger des données sur la base de leurs autres clés publiques. Mais seul le propriétaire de la clé privée correspondante peut la déchiffrer. La clé privée n'est jamais échangée, donc, même si vous avez tout reniflé, vous ne pouvez rien décrypter. Ces techniques sont coûteuses, elles sont donc utilisées pour échanger la clé contre la clé de cryptographie symétrique et non les données elles-mêmes.

La sécurité de la couche de transport (qui est ce que l'on appelle maintenant Secure Sockets Layer) implique des méthodes d'échange de clés cryptographiques en toute sécurité sur un canal de communication non sécurisé (comme Internet).

Oui, cela signifie que le FAI peut voir les informations d'échange de clés lors de leurs va-et-vient, mais n'a toujours pas suffisamment d'informations pour lire le flux de messages une fois qu'une connexion sécurisée a été établie.

Un concept très étrange, et c'est un travail assez nouveau. L'exemple le plus courant de ceci s'appelle Échange de clés Diffie-Hellman, et n'a été inventé que dans les années 1970.

L'article de Wikipédia contient tous les délicieux détails mathématiques, mais je trouve le l'image ci-dessous (de Wikimedia) illustre parfaitement le concept. Regardez-le, réfléchissez-y, essayez-le même par vous-même, et vous constaterez qu'il n'y a aucun moyen pour un adversaire de dériver la clé privée des informations visibles publiquement.

Si je mets mon chapeau noir (pas ce chapeau noir... en fait, ce chapeau fonctionne aussi):

Un FAI peut simplement effectuer un man-in-the -middle-attaque sur l'un de vos téléchargements HTTP d'applications ou de leurs correctifs et ainsi mettre à jour la chaîne de confiance du navigateur directement ou la mettre à jour indirectement avec un cheval de Troie autodestructeur.

Microsoft exige uniquement que les pilotes soient signés par code; les signatures numériques pour les applications et les données exécutables équivalentes aux applications ne sont pas appliquées par défaut *. La plupart des systèmes d'exploitation grand public ne sont pas meilleurs ne serait-ce que simplement parce que la signature du code d'application obligatoire (et la vérification d'identité) coûterait juste assez pour réduire considérablement la taille de leur écologie logicielle.

_{* Je mets un point d'honneur à ne pas créer de lien vers Microsoft Answers sauf si je suis obligé de le faire. Leurs singes dressés utilisent évidemment des machines à écrire cassées.}

L'élément clé ici est le cryptage asymétrique ou à clé publique. Cela signifie que vous avez deux éléments de clé, publique et privée, et une fonction mathématique qui est facile à calculer dans une direction mais très, très difficile à calculer dans l'autre.

Donc, quand les serveurs envoient son public key, nous pouvons utiliser la clé publique pour chiffrer facilement nos données, mais uniquement avec l'autre clé de la paire, clé privée dans ce cas, vous pouvez facilement la déchiffrer.

La Conférence EcoParty a annoncé un outil appelé BEAST qui décrypterait le trafic SSL3 / TLS1.0 et moins, probablement en l'observant.

Voici un lien vers le rapport de nouvelles

Je suis sûr que dans les prochains jours, nous en saurons plus à ce sujet, les solutions de contournement et les limites.

Cette section ci-dessous sera mise à jour au fur et à mesure que de plus amples informations seront découvertes.

Ce hack suppose que l'attaquant peut d'une manière ou d'une autre voir votre trafic réseau; via un logiciel espion ou via une capture réseau. Les machines mal administrées et les utilisateurs Wifi sont les plus susceptibles d'être les suspects habituels… mais sans s'y limiter.

Il existe des rapports selon lesquels nous pouvons atténuer ce risque en modifiant la liste de chiffrement SSL * / TLS 1.0 à RC4, et ne prend pas en charge les anciennes combinaisons. Une autre atténuation consiste à augmenter la longueur du jeton d'authentification, ce qui ralentirait l'attaque. La modification de la configuration des cookies d'authentification d'appartenance à Siteminder et ASP.net peut être utile ici.

Juste pour que vous sachiez que cette vulnérabilité est exposée par les mêmes personnes qui ont annoncé le «Padding Attack on ASP.NET» l'année dernière. Ce vieux problème met en danger chaque serveur Web IIS simplement en étant activé, ce qui semble être plus grave que cette attaque.

Partagez les liens que vous trouvez qui mentionnent ou confirment ces scénarios vulnérables, ou atténuations ici. Dans l'état actuel des choses, cela relève en partie de la spéculation et n'est pas vérifié par des experts en cryptologie.

Non, ils ne détiendraient pas la clé car la connexion que vous établissez est entre vous et le site cible (par exemple Amazon), de sorte que le FAI n'aurait aucune connaissance de la clé.

Le plus général réponse à la question sur le fonctionnement de SSL / TLS ici.

Encore une fois, si vous cherchez à être à l'abri du gouvernement ou des pirates - ce n'est pas assez. Si vous cherchez à empêcher votre FAI de consulter vos données, c'est probablement suffisant.