Entrar Ainda não tem acesso?
Solucionado (ver solução)
Solucionado
(ver solução)
7
respostas

Chave Simétrica criada para comunicação Cliente x Servidor

Referente ao curso HTTP: Entendendo a web por baixo dos panos, no capítulo A web segura - HTTPS e atividade Para Saber Mais: As chaves do HTTPS

por fabiano.bezerra
| 73.4k xp | 71 posts

Fiquei na dúvida: "" No texto diz o seguinte: Que o cliente gera uma chave simétrica ao vivo. Uma chave só para ele e o servidor com o qual está se comunicando naquele momento! ? Quem cria essa chave ? Seria o certificado já configurado no browser ? ? Ou seria a comunicaçao entre os dois quando em contato faria isso, não entendi como o cliente faz isso sendo que ele possui uma chave pública, para mim somente o servidor poderia fazer isso, para garantir a integridade/segurança da info. Buguei nessas informações, me ajudem rsrs.

7 respostas
por Wanderson Macêdo
| 3964.9k xp | 8086 posts
Instrutor Desenvolvedor

Oi Fabiano, se não me engano, a chave é gerada com base no certificado, mas nesse caso, como a conexão já é HTTPS, a nova chave gerada só será conhecida pelo cliente e o servidor.

solução!
por fabiano.bezerra
| 73.4k xp | 71 posts

ok, obrigado

por Paulo Scalercio
| 363.3k xp | 341 posts
Instrutor Instrutor & Desenvolvedor

Fala Fabiano!

Sua dúvida foi solucionada?

Abraços!

por fabiano.bezerra
| 73.4k xp | 71 posts

Não foi, mas deixa pra lá.

por fabiano.bezerra
| 73.4k xp | 71 posts

Acabei respondendo despercebido, saindo 3 posts.

por fabiano.bezerra
| 73.4k xp | 71 posts

Acabei respondendo despercebido, saindo 3 posts.

por Paulo Scalercio
| 363.3k xp | 341 posts
Instrutor Instrutor & Desenvolvedor

Fala Fabiano!

Vou tentar te ajudar!

Quando algum cliente se conecta a um servidor usando internet, essa conexão é indireta. Esse cliente envia uma "mensagem" que passa por diversos nós (outros servidores/provedores) até que realmente chegue no servidor destino. Nem sempre sabemos o caminho exato que os pacotes irão fazer e nem podemos garantir que a comunicação seja confidencial (ninguém no meio veja), integra (ninguém altere) e autentica (servidor de destino correto e não alguém se passando por esse servidor)

A cada conexão é gerada um novo par de chaves público/privado (simétrica) que é utilizado para transmitir a chave assimétrica. Um chave "cifradora de chaves" (key encryption key" ou KEK.

Mas como esse par de chaves é usada para garantir autenticidade?

Inicialmente, o servidor envia para o cliente a sua chave pública. Eventualmente ele assina algo com sua chave privada de forma a provar para o cliente que ele é realmente o "dono" da chave pública. Mas como o cliente pode ter certeza de que a chave que ele recebeu dizendo vir do servidor destino realmente veio desse servidor destino?

Se o cliente já conhece a chave pública do servidor (tem salvo no pc associada a identidade utilizada) então ocorre normalmente, mas se não tiver, será necessário alguém de confiança para intermediar essa comunicação (como o cliente verifica a assinatura do servidor se não tem nada para comparar?). Isso é feito através do certificado digital.

O certificado digital nada mais é que:

  • Uma chave pública
  • ... associada a uma identidade (nome)
  • ... e o par assinado por alguém de confiança

Existem mais de uma maneira de se fazer isso, Autoridades Certificadoras (CA), Redes de Confiança (Web of Trust), Notários, etc. O mais comum é o uso de Autoridades Certificadoras.

A grosso modo, essas autoridades são um conjunto de empresas cuja chave pública já vem embutida no software. Por exemplo firefox (pago)

Concluindo, a entrega e verificação do certificado é um processo relativamente lento quando o certificado não está em cache. Após isso é necessário confirmar a identidade do cliente (pode ser feito via certificado), mas é mais comum omitir essa parte (uso de usuário e senha diz ao site quem é aquele cliente). Após a autenticação de ambos os lados, usa-se a criptografia simétrica, bem mais rápida, para comunicação normal.

Espero ter ajudado!

Abraços!