czytałem Ten artykuł , szczególnie część „SSL w akcji”. To mówi:
Gdy klient łączy się z firmą.com na swoim porcie zabezpieczonym protokołem SSL, firma odsyła swój klucz publiczny (i kilka innych informacji, takich jak obsługiwane szyfrowanie).
...
Gdy klient jest zadowolony z serwera (i serwera z klientem, w razie potrzeby), klient wybiera szyfr SSL, który ma być używany z listy metod szyfrowania dostarczanych przez serwer i generuje „klucz symetryczny” (hasło) do użytku z tym szyfrem. Klient szyfruje to hasło przy użyciu klucza publicznego serwera i wysyła go z powrotem na serwer. Serwer (i tylko serwer) może odszyfrować tę wiadomość i uzyskać to hasło, które jest teraz udostępniane zarówno przez klienta, jak i serwer.
Tak więc rozumiem, że jest tylko jeden klucz publiczny; ten, który jest przekazywany firmie.com przez zaufaną stronę trzecią (thawte / godaddy / verisign itp.). Następnie klient akceptuje ten klucz / certyfikat, a następnie wysyła hasło używane do szyfrowania przyszłych komunikatów.
Jeśli jest tylko jeden klucz publiczny, haker nie może po prostu przejść do tej witryny raz, pobrać kopii klucza publicznego, a następnie przechwycić klienta, gdy wysyła hasło, odszyfrować go przy użyciu klucza publicznego, który już posiada, a następnie szpiegować wszystkie przyszłe komunikaty? Co to uniemożliwia?
Część, której nie rozumiem, jest
Serwer (i tylko serwer) może odszyfrować tę wiadomość i uzyskać to hasło
Dlaczego tylko serwer może odszyfrować wiadomość? Co uniemożliwia innym odszyfrowanie go?