세션 키 관련 질문 드립니다.

Question

안녕하세요. 선생님 좋은 강의 감사합니다. 세션 키 관련해서 헷갈리는 부분이 있어 문의드립니다. 인증서 설치 과정을 정상적으로 완료 후 사용자가 abc.com 으로 글을 등록한다고 가정했을때 abc.com 접속 abc.com 으로부터 ssl 인증서 받음 OS에 설치된 CA public 인증서로 ssl인증서를 검증 세션 키 로 abc.com 에 전달할 정보를 암호화 3번의 검증이 완료하여 적법한 ssl 인증서라면 ssl인증서의 public key로 세션 키를 암호화 암호화 된 데이터 와, 암호화된 세션 키 를 abc.com으로 전달 제가 궁금한것은 위의 과정에서 세션 키가 어떻게 생성되는가 입니다. 서버에 요청할때마다 브라우져에서 자동으로 만들어지는지 아니면 os 에서 자동으로 생성되는 것인지, pc 마다 세션 키 다르다고 하셨는데 그렇다면 세션키는 어떻게 생성되는지 궁급합니다.

nullnull8537 · Answer

3번에서 CA의 인증서에서 CA Public key를 추출하고 CA Private key로 암호화된 해시 값을 복호화 합니다. 그리고 인증서에 대한 해시를 계산하고 같은지 비교합니다. 이 과정을 검증이라 하겠습니다. 그리고 세션키가 생성되는 방법은 알고리즘 마다 약간씩 차이가 있습니다만 결국 핵심은 예측 불가능한 아주 큰 난수를 얻는 것입니다. 이러한 세션키는 브라우저 수준에서 생성한다고 생각하시면 됩니다. 그리고 서버에서 요청을 할 때라기 보다는 브라우저 실행 시 이미 하나 만들어두는 것으로 보입니다. 굳이 접속 시점에 만들 이유도 없기 때문입니다. 참고하시기 바랍니다. 😄