Wireshark TLS 1.2 / TCP decrypt?

Question

[bbaggins]

Друзья, всем привет!
Первый раз пишу бота для сетевой игры, пакеты завёрнуты в TLS, поставил Wireshark, нашёл пакеты приложения, нашёл обмен сертификатами, но не могу разобраться какие сертификаты нужны чтобы дешифровать пакеты, и как их пристегнуть к Wireshark. С помощью создания переменной среды окружения chrome пишет в keytsllogsfile, но у меня не веб приложение.
Буду признателен за подсказки/ссылки.

Answer 1

[Mr.Robot]

Если речь идет о алгоритмах шифров в контексте транспортного протокола TLS/SSL, то подразумевается обычно Cipher Suite.

Cipher Suite - комбинация шифров (шифровальная система) - представляет собой комбинацию алгоритмов, используемых для согласования параметров безопасности во время установления связи SSL / TLS.

Более подробное описание, вы можете найти тут .

Comments

[bbaggins]

Спасибо, а есть кейс как выдернуть нужный сертификат?

[Mr.Robot]

bbaggins, мы сейчас говорим с вами о сертифекате безопасности? Если брать клиент и сервер, то на Питоне, это выглядит так:

import ssl
import socket


hostname = "example.com"
port = 443

context = ssl.create_default_context()

with socket.create_connection((hostname, port)) as sock:
    with context.wrap_socket(sock, server_hostname=hostname) as sslsock:

        der_cert = sslsock.getpeercert(True)

        # from binary DER format to PEM
        pem_cert = ssl.DER_cert_to_PEM_cert(der_cert)
        print(pem_cert)

[Mr.Robot]

bbaggins, Так же есть тут интересная информация

[bbaggins]

Mr.Robot, спасибо, воспользовался вашим скриптом, но получаю ошибку:

ssl.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:720)

Я так понял скрипт пытается подключится к хосту и попросить у него ключ?
Наверно это не совсем подходит под мою ситуацию. У меня стоит на ПК клиент игры, я по нему цепляюсь к серверу и через wireshark вижу пакеты подключения по tls и пакеты данных. Вот пытаюсь понять как эти пакеты данных расшифровать.
Может есть более "прямой" путь к решению моей задачи? Почему-то через подключение в браузере TLS ключи к сайтам очень легко перехватываются.

[Mr.Robot]

bbaggins, данная статья должна вам помочь decrypt SSL

[bbaggins]

Mr.Robot, спасибо, интересная статья. Но в ней описаны методы для http соединения, у меня к сожалению задача не с сайтом.
Посмотрите пожалуйста ниже скриншот, я правильно понимаю, что это ключ для расшифровки сообщений?

Answer 2

[Аристарх Загородников]

Вам нужен pre-master key. Получить проще всего перехватом вызовов библиотеки, которая организует TLS, например https://github.com/drivenet/sslkeylog. Под Windows это вероятно будет SChannel.

Comments

[bbaggins]

Спасибо, но судя по описанию, Schannel не поддерживает TLS 1.2
https://docs.microsoft.com/ru-ru/windows/win32/com...
Буду рад если ещё будут идеи

[12rbah]

Ну да, прям явно написали что не поддерживает

[bbaggins]

12rbah, а можно ссылку, откуда скрин? я просто с оффсайта смотрю

[12rbah]

bbaggins, сверху ссылка, оттуда в самом конце

[bbaggins]

12rbah, вверху одно пишут, а внизу другое.. Получается SChannel хранит все сеансы TLS windows? И один из методов их возвращает?