Wie man SSL mit Chrome oder Firefox und Wireshark in Windows entschlüsselt

Wie man SSL mit Chrome oder Firefox und Wireshark in Windows entschlüsselt

100811
Created On 10/10/20 05:11 AM - Last Modified 11/01/21 21:11 PM


Objective


Erfassen Sie SSL Sitzungsschlüssel aus verschlüsseltem Webbrowsing oder anderem Webanwendungsverkehr in Chrome oder Firefox und verwenden Sie diese, um Paketerfassungen in Wireshark zu entschlüsseln.

Environment


  • Windows 7 oder Windows 10
  • Chrome 85 oder neuer oder Firefox 81 oder neuer
  • Wireshark 3.2.7 oder neuer
  • SSL/ TLS Sitzungen mit , oder RSA DHE ECDHE Schlüsselaustauschalgorithmen.

Procedure


1. Schließen Sie Chrome oder Firefox vollständig. Stellen Sie sicher, dass alle Instanzen geschlossen sind.

2. Öffnen Sie das Startmenü, und geben Sie envein, wählen Sie "Umgebungsvariablen für Ihr Konto bearbeiten" aus.
Öffnen: Bearbeiten Sie Umgebungsvariablen für Ihr Konto.

3. Klicken Sie im Fenster "Umgebungsvariablen" unter "Benutzervariablen für %Benutzer%", auf "Neu...".
Benutzervariablen für %user%, klicken Sie auf Neu...

4. Geben Sie im Fenster "Neue Benutzervariable" ein:
Variablenname: SSLKEYLOGFILE
Variabler Wert: % USERPROFILE , Desktop.log
Variablenname: SSLKEYLOGFILE , Variablenwert: % USERPROFILE , Desktop-sslkey.log

5. Klicken Sie OK hier, um den Eintrag "Neue Benutzervariable" zu akzeptieren und OK das neue Fenster "Umgebungsvariable" zu akzeptieren und zu schließen.

6. Starten Sie Wireshark, und starten Sie die Paketerfassung.

7. Starten Sie Chrome oder Firefox, und stellen Sie sicher, dass die Datei sslkey.log erstellt wurde.
Starten Sie Chrome oder Firefox, und überprüfen Sie, ob die sslkey.log-Datei erstellt wurde.

8. Navigieren Sie zur Website oder Webanwendung, die getestet wird, und führen Sie alle Aktionen aus, die erfasst werden müssen. 

In unserem Beispiel laden wir die Malware-Testdatei von der EICAR sicheren Website herunter. 
Beispiel: Laden Sie EICAR die Testdatei von ihrer sicheren (https) Website herunter.

9. Überprüfen Sie, ob die Paketerfassung ordnungsgemäß erfasst wurde, und beenden Sie die Erfassung.
Verschlüsselte Erfassung gesammelt.

10. Gehen Sie in Wireshark zu [>-Einstellungen bearbeiten > Protokolle > TLS ]. Wählen Sie unter (Pre)-Master-Secret-Protokolldateiname die sslkey.log-Datei aus, die in Schritt 7 erstellt wurde, und klicken Sie auf OK .
Fügen Sie sslkey.log zum (Pre)-Master-Secret unter den TLS Protokolleinstellungen hinzu.

11. Die entschlüsselte Paketerfassung wird in Wireshark angezeigt.
Die entschlüsselte Erfassung wird angezeigt.

12. (Optional) Folgen Sie dem HTTP Stream, um den entschlüsselten Inhalt zu visualisieren.
Folgen Sie dem entschlüsselten HTTP Stream.

Additional Information


Es gibt derzeit keine Möglichkeit, die entschlüsselten Paketerfassungen aus Wireshark im Format zu PCAP exportieren, es gibt jedoch drei Optionen:
  • Teilen Sie die PCAP Datei zusammen mit dem entsprechenden sslkey.log Datei für den beabsichtigten Empfänger.
  • PDU Export der entschlüsselten Daten:
Um die entschlüsselten PDU zu exportieren, gehen Sie zu Datei > Export PDU in Datei > Layer 4 oder Layer OSI OSI 7.
Speichern Sie die resultierende Ausgabe in einer PCAPNG Datei.
  • Folgen Sie dem entschlüsselten HTTP Stream (Schritt 12), wählen Sie "Daten anzeigen und speichern als": ASCII , und wählen Sie dann "Speichern unter...". Dadurch wird die gedruckte Streamausgabe in einer Klartextdatei gespeichert.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HB8gCAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language