저는 오래된 SSL/TLS 관련 취약점을 테스트 중이며 Apache에서 임시 RSA 키를 추출하는 방법을 알고 싶습니다. 제가 테스트하고 있는 특정 취약점은 FREAK 공격입니다. 내가 아는 한, Apache는 시작 시 512비트 RSA 내보내기 키를 생성하지만 개인 키가 어디에 저장되어 있는지 알 수 없습니다. 간단히 tcpdump를 실행하고 서버 키 교환 메시지를 관찰하면 공개 키를 식별할 수 있습니다. 하지만 더 쉬운 방법이 있는지 알고 싶습니다. 이상적으로는 모든 입력 값을 추출하여 공개/개인 키 쌍을 생성할 수 있었으면 좋겠습니다. 이를 달성하는 가장 좋은 방법은 무엇입니까?
답변1
passe-partout라는 도구를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 Nathan Osman이 게시한 답변을 참조하세요.https://serverfault.com/questions/549298/retriving-an-rsa-key-from-a-running-instance-of-apache