为了通信的保密性和真实性,我使用带有客户端证书的 SSL/TLS (https)。如果我在服务器端记录整个 SSL 流量,SSL 日志是否足以证明服务器与客户端证书的另一端之间的通信与日志中记录的完全一样?开始时使用非对称握手,但进一步的通信继续使用对称加密。如果无法在接收方伪造其中一条消息,则对称加密不会介意。作为服务器,我知道对称 key ,所以我应该能够欺骗客户端发送的其中一条消息,不是吗?我应该使用什么算法和什么特殊设置,让客户端不能说他发送的消息与我在日志中记录的消息不同?
最佳答案
记录任何内容(包括来自 SSL 的数据)并不能证明数据的来源。从理论上讲,您可以自己制作数据。即使记录包括必要的加密 key 在内的完整 SSL 流量也不能证明任何事情,因为在大多数情况下这也可能是被编造的。
如果记录了包括加密 key 在内的整个 SSL 流量,并且如果使用客户端证书进行身份验证(即双向 SSL),则作为证据可能是可以接受的。客户端拥有的真实客户端证书是您无法自己弥补的部分。但仍然不能保证某些法官会接受它作为证据。当然,客户端可以尝试否认这是它自己使用的客户端证书。
关于ssl - 完整的 SSL/TLS 通信日志是否证明客户端发送了日志中存储的所有数据?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38955665/