Decrypt SSL Client Certificate Traffic

[StefanWe 14]

Hallo,

 

ich muss eine Web Applikation debuggen, welche zwingend den Traffic mittels Client Zertifikat verschlüsselt.

 

Ich habe sowohl das Client Zertifikat, als auch den gesamten Traffic bereits mit Wireshark aufgezeichnet. Habe auch den privaten Schlüssel, das pfx File unter den RSA Keys hinterlegt. Aber scheinbar scheint das nicht zu reichen.

 

Der Traffic vom Webserver zum Client, welcher vor dem Client Zertifikat läuft, konnte ich erfolgreich entschlüsseln. 

Ist Traffic mit Client Zertifikat überhaupt möglich zu entschlüsseln? 

[NorbertFe 2.157]

Wie wäre es mit fiddler? Solange du an alle Zertifikate rankommst, sollte es prinzipiell funktionieren?

[zahni 569]

Ja, Fiddler kann auch mit Client Zertifikaten.

Der  sagt dann, wo er es haben will...

[StefanWe 14]

Ja, Fiddler kann auch mit Client Zertifikaten.

Der  sagt dann, wo er es haben will...

 

ok schau ich mir an.

 

Also Wireshark scheint es dann nicht zu können ? 

[mwiederkehr 388]

Eigentlich sollte es schon gehen, Client Zertifikate sind ja in etwa ein umgekehrter Handshake und dann eine neue TLS-Verbindung. Wireshark muss natürlich den private Key des Client Zertifikats ebenfalls haben.

 

Aber verwendet die Verbindung evtl. PFS? Dann ist eine nachträgliche Entschlüsselung nicht möglich, selbst wenn man die Private Keys hat.

 

Ein Proxy wie Fiddler ist deshalb wohl die bessere Lösung.

[zahni 569]

Wer will denn Http mit Wireshark debuggen? Mit Fiddler ist das wirklich absolut  einfach. Die Anwendung muss nur einen Proxy-Zugriff ermöglichen.

[StefanWe 14]

Wer will denn Http mit Wireshark debuggen? Mit Fiddler ist das wirklich absolut  einfach. Die Anwendung muss nur einen Proxy-Zugriff ermöglichen.

Richtig. Ich werd es mir ansehen.

 

Dennoch die Frage, ist es überhaupt möglich, Traffic zu entschlüsseln, welcher durch Client certificate geschützt ist?

[NorbertFe 2.157]

Warum denn nicht? Steht doch oben auch.

[StefanWe 14]

Warum denn nicht? Steht doch oben auch.

Oben steht eine Vermutung, nicht eine Lösung. Vlt. habe ich etwas falsch gemacht. Hinterlege ich in wireshark das Client Zertifikat (privater Schlüssel) dann wird der Traffic trotzdem nicht entschlüsselt.

 

Auch das www scheint hier keine Dokumentation bereitzuhalten.

[NorbertFe 2.157]

Also ich mag mich täuschen, aber: https://www.fiddlerbook.com/fiddler/help/httpsclientcerts.asp

[StefanWe 14]

Also ich mag mich täuschen, aber: https://www.fiddlerbook.com/fiddler/help/httpsclientcerts.asp

Klar mit fiddler. Weil er selbst den Traffic intercepted und dadurch mitschneiden kann.

 

Ich meinte aber nachträglich decrypted mit zum Beispiel Wireshark.

[zahni 569]

Nein, das kann nur de NSA (vielleicht).

[StefanWe 14]

Nein, das kann nur de NSA (vielleicht).

Ok danke. Wie befürchtet. Allerdings interessant warum das so ist.

Nein, das kann nur de NSA (vielleicht).

Sorry, muss noch mal nachfragen.

https://community.developer.visa.com/t5/Developer-Tools/What-is-Mutual-Authentication/ba-p/5757

 

Der Artikel erklärt eigentlich ganz gut wie der handshake funktioniert. Wenn ich das richtig sehe, wird doch das Client Zertifikat nur zum authentifizieren verwendet. Der Session key zum Verschlüsseln wird doch ein Stück wie gewohnt oben schon ausgehandelt.

 

Daher dürfte doch das Client Zertifikat keinen Einfluss auf die Verschlüsselung haben.

 

Was habe ich übersehen?

[DocData 85]

Du brauchst auch das Serverzertifikat samt Private Key. Das Client Zertifikat dient wohl eher der Authentifizierung.

[StefanWe 14]

Du brauchst auch das Serverzertifikat samt Private Key. Das Client Zertifikat dient wohl eher der Authentifizierung.

Das ist es ja, was mich wundert. Ich habe den private key. Es wird TLS—RSA als cipher verwendet, also kein DH oder ECC.

Trotzdem kann ich den Traffic nicht einsehen. Den Traffic ohne Client cert, übrigens mit gleichem Server Zertifikat, kann ich entschlüsseln..