Einer der Vorteile von ephemeren Diffie-Hellman (den DHE-Chiffren von TLS) ist, dass es eine perfekte Geheimhaltung bietet. Dies bedeutet, dass selbst wenn der private DSA-Schlüssel, der zum Authentifizieren des Servers (und möglicherweise des Clients) verwendet wird, von einem Angreifer eines Tages erhalten wird, ist er nicht in der Lage, zurückzugehen und in der Vergangenheit erfasste Sitzungen zu entschlüsseln.
Mit anderen Worten, Sie können diese Captures nur dann entschlüsseln, wenn Sie den geheimen Sitzungsschlüssel aufgezeichnet haben. Es gibt keine Möglichkeit, es nachher wiederherzustellen.
Dies unterscheidet sich von den RSA-Cipher Suites, bei denen die Kenntnis des privaten Schlüssels des Servers es ermöglicht, die Sitzung zu entschlüsseln.
Da die Sitzung durch einen vorübergehenden "Sitzungsschlüssel" verschlüsselt wird, ist es für Sie nutzlos, die öffentlichen / privaten Schlüssel des Servers und / oder Clients am Ende zu haben. Diese Schlüssel werden nur verwendet, um zu verifizieren, dass kein Man-in-the-Middle-Angriff stattgefunden hat.
Um eine SSH-Sitzung zu entschlüsseln, müssen Sie entweder den Sitzungsschlüssel erhalten (indem Sie beispielsweise einen Debugger an einen Client auf beiden Seiten anfügen) oder einen Man-in-the-Middle-Angriff durchführen - hierfür ist der private Schlüssel erforderlich der Server (und der Client, wenn die Schlüsselauthentifizierung verwendet wird). Einige weitere Informationen zu letzterer Option finden Sie hier: Ссылка
Tags und Links ssl wireshark ssh networking pcap