Почему в https не используется асимметричное шифрование?
Доброго времени суток. Я не специалист в информационной безопасности поэтому мой вопрос из заголовка может звучать довольно глупо для разбирающихся в теме людей. Поискав в интернете я так и не смог понять используется ли асимметричное шифрование именно при шифровании данных. Единственное что я нашел так это то что, грубо говоря, алгоритм RSA используется для шифрования симметричного ключа, который в дальнейшем используется уже непосредственно для шифрования трафика
обычно там же рядом пишут причину, "дорогая" это операций на больших объемах данных, так что в процессе контакта, создают сессионный симметричный ключ (который в этом процессе сложно как-то перехватить) и дальше уже им с меньшими затратами можно шифровать https://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D0%B0%D...
Используется только во время хендшейка, чтобы обменяться ключами и проверить подлинность.
Данные не шифруются, тк асимметричное шифрование медленное из-за сложной математики.
Ассимметричка работает медленно и не годится для шифрования трафика. Поэтому ее используют
только для обработки рукопожания и обмена симметричными ключами. А дальше работает
симметричка которая очень быстрая и не создает проблем для сервера и клиента.
Большое спасибо за пояснения, т.е. я правильно понимаю что вопрос только в том что ассиметричное шифрование более "прожорливое", а не в том что оно менее безопасное?
Александр, такое сравнение не работает. Нельзя сравнивать самолет и пароход. Понимаешь? У них - разное предназначение и от этого методика сравнения не может быть объективной.
1. Ассиметричное шифрование намного более прожорливое
2. Для PFS (Perfect Forward Security). Коротко - если использовать только асимметричное шифрование то при перехвате асимметричных ключей можно будет расшифровать весь трафик за все время. А при генерации ключа для симметричного шифрования уже не расшифруешь трафик, потому что он зашифрован другим, временным ключом. И текущая сессия останется в безопасности. Дополнительный метод защиты.
