https na virtualech nad jednou IP
Dan Lukes
dan at gw.nic.cz
Fri May 18 15:17:30 CEST 2001
David Rohleder wrote:
> Ne tak docela. Navazovani spojeni vcetne predavani certifikatu je
> samozrejme nesifrovane. Ostatne jak jinak by klient ten certifikat
> mohl ziskat, ze.
No, cirou nahodou mate pravdu - certifikaty se skutecne vymenuji jeste
v ramci nesifrovaneho spojeni - ale neni pravda, ze to tak musi byt, jak
naznacujete v druhe vete.
Certifikaty se nepouzivaji k sifrovani streamu dat, ale k podepisovani
(k sifrovani se pouziva symetricka sifra a klic nam pomahaji vytvorit
panove Diffie a Hellman), takze by klidne nejprve mohlo byt ustaveno
sifrovane spojeni a teprve v ramci nej by probehla vymena certifikatu a
autentizace - a take by to fungovalo.
Ale to uz jen pro uplnost, protoze uz to sem asi vlastne nepatri ...
Dan
--
Dan Lukes tel: +420 2 21914205, fax: +420 2 21914206
root of FIONet, KolejNET, webmaster of info.nic.cz, www.freebsd.cz
AKA: dan at nic.cz, dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz
More information about the net
mailing list