STA无法解密数据排障

一、背景

客户侧需要STA对网站https流量进行解密

二、问题描述

STA导入私钥后无法解密数据包，但客户侧明确加密算法是RSA算法，需要举证排查无法解密原因

//这种大概率定位在加密套件不支持导致的，那就抓ssl协商交互报文，找到服务器给客户端发送协商好的算法和加密套件，找到加密套件就能找出根因

注意：

网络大神的手绘协商图，如下，

三、排查步骤

1.抓取客户端和网站https交互流量，通过ip.addr == ""进行筛选过滤

2.通过ip.addr == "" and ssl 过滤ssl协商报文

3.找到服务器端发送协商好算法

4.获取加密套件，路径如下：Transport Layer Security  -->TLS协议中的Cipher Suite类型

4.1验证加密解密无问题

4.2确认加密套件

四、根因定位

STA 解密暂时不支持ECDHE加密套件

五、STA解密知识点普及

STA当前支持的TLS/SSL加密协议版本为：ssl3.0，tls1.0，tls1.1，tls1.2；

当前支持的算法分布为：

对称算法：DES，3DES，AES都支持，但是国密SM不支持；

非对称算法：RSA，ECDH支持，ECDHE是不支持的；

加密套件这两个开头的一定是支持的 TLS_RSA_、TLS_ECDH_,其他一律认为不支持

一起来学习，一起来学习

一起来学习，一起来学习