TLS-Entschluesselung

Created: Wednesday, 20 March 2013 11:02 Hits: 6420

Dekodierung von TLS Paketen

Beim Aufruf einer mit TLS-verschlüsselten Seite z.B. https://www.google.com werden die Pakete verschlüsselt.
Nachfolgend wird eine Methode beschrieben, wie man eine mit Wireshark mitgeschnittene TLS-Verbindung dekodieren kann.


Schritt 1:

Anlegen einer Benutzer Umgebungsvariable SSLKEYLOGFILE. Als Pfad wird eine Logdatei angegeben, die man vorher in dem Zielordner anlegen muss. Die Logdatei sollte [sslkeylog.log] heißen.

SSLKEYLOGFILE=C:\Users\Desktop\log\sslkeylog.log

Windows 7/8/10: Benutzer Umgebungsvariable setzen

export SSLKEYLOGFILE=~/path/to/sslkeylog.log

Linux: Umgebungsvariable setzen

Schritt 2:

In Wireshark muss nun der Speicherort der Log-Datei angegeben werden.

[Edit]->[Preferences]->[Protocols]->[SSL]->“(Pre)-Master-Secret log filename“

Nun sollten SSL/TLS verschlüsselte Webseiten in Wireshark entschlüsselt angezeigt werden.


Schritt 3:

Nun sollte Firefox/Chrome neugestartet werden. Wird nun eine mit SSL/TLS verschlüsselte Webseite aufgerufen, werden für die Entschlüsselung benötigte Schlüssel in der Log-Datei abgelegt. In Wireshark kann man die dekodierten Pakete sehen, indem auf den Reiter "Decrypted SSL data" geht.