Articles
TLS-Entschluesselung
Dekodierung von TLS Paketen
Beim Aufruf einer mit TLS-verschlüsselten Seite z.B.
https://www.google.com werden die Pakete verschlüsselt.
Nachfolgend wird eine Methode beschrieben, wie man eine mit Wireshark mitgeschnittene TLS-Verbindung dekodieren kann.
Schritt 1: Anlegen einer Benutzer Umgebungsvariable SSLKEYLOGFILE. Als Pfad wird eine Logdatei angegeben, die man vorher in dem Zielordner anlegen muss. Die Logdatei sollte [sslkeylog.log] heißen.
SSLKEYLOGFILE=C:\Users\Desktop\log\sslkeylog.log
|
Windows 7/8/10: Benutzer Umgebungsvariable setzen
|
export SSLKEYLOGFILE=~/path/to/sslkeylog.log
|
Linux: Umgebungsvariable setzen
|
Schritt 2: In Wireshark muss nun der Speicherort der Log-Datei angegeben werden.
[Edit]->[Preferences]->[Protocols]->[SSL]->“(Pre)-Master-Secret log filename“
Nun sollten SSL/TLS verschlüsselte Webseiten in Wireshark entschlüsselt angezeigt werden.
Schritt 3: Nun sollte Firefox/Chrome neugestartet werden. Wird nun eine mit SSL/TLS verschlüsselte Webseite aufgerufen, werden für die Entschlüsselung benötigte Schlüssel in der Log-Datei abgelegt. In Wireshark kann man die dekodierten Pakete sehen, indem auf den Reiter "Decrypted SSL data" geht.