рубистsphinx_mvпропущено...
Вас же не смущает, что при "рукопожатии" SSL использует совершенно незащищенные каналы: это ни много, ни мало, но процесс согласования сеансового ключа шифрования - и проблем с безопасностью не особо наблюдается.
Да, но SSL использует алгоритмы с открытым ключем и по незащещенной сети передается открытый ключь,
а секретный никогда и некуда не передается.
Здесь возникает вопрос, а как проверить достоверность открытого ключа на принимающей стороне?
А очень просто. Ключь передается не сам по себе, а в документе называемом "сертификатом", где кроме самого
ключа есть данные о том как его проверить.
Почитайте на эту тему о PKI (Public Key Infrostracture), цифровых сертификатах и шифрование с открытым ключем.
Так что в SSL передача ключа по открытой сети безопасна, если конечно руки от куда надо :-)
Извините, но не так давно - всего лишь год назад был весьма неслабый скандал, касающийся проблем с безопасностью непосредственно в протоколах
SSL и иже с ним... 30 минут на взлом любого из нескольких миллионов сайтов, использующих SSL с длиной ключа до 2К символов - это, ну, ОЧЕНЬ безопасно... ага...
Тут еще: меньше 2-х минут на взлом PayPal - тоже не слабО...
А если еще вспомнить о шухере (
тут или
тут ), связаном со взломом сертифицирующего центра, приведшем к компрометации сертификатов безопасности - жить становится еще "интереснее"...
Не настолько ЭТО безопасно, как представляется: ошибки в ПО, ошибки в организационных процедурах
третьих лиц (и тем более - CA) - и ни о какой безопасной передаче данных разговор можно даже не поднимать... То есть - вообще... Ну, разве что сугубо для собственного успокоения или успокоения непосредственного начальника...
Отрубаем все кабеля, сбрасываем сервер в предварительно вырытый экскаватором котлован, заливаем все бетоном...
Но даже это не гарантирует защиту от взлома...
