example.pcap
这是我在本地 Linux 机器上进行的流量捕获,现在我想解密它。
tshark -o "ssl.desegment_ssl_records: TRUE"
-o "ssl.desegment_ssl_application_data: TRUE"
-o "ssl.keys_list: www.example.com,443,http,example.pem"
-o "ssl.debug_file: /tmp/example.shark.log"
-nn -r example.pcap port 443
-w /tmp/example.443decrypted.pcap
但是我该如何选择我的密钥文件(我认为它是我的客户端私钥)?
答案1
客户端密钥不用作加密的基础,而仅用于识别客户端。使用 RSA 密钥交换时,将使用服务器私钥,希望您在 ssl.keys_list 中提供该私钥。使用 DH 密钥交换时,您将无法解密 pcap 文件,因为密钥基于只有客户端和服务器才知道的随机数据。