Расшифровка ssl-пакетов с помощью шифра TLS_ECDHE_RSA в wirehark

Ответ на ваш вопрос

Нет, из-за ECDHE_RSA.

Теперь давайте посмотрим, почему это так. Давайте посмотрим на всю спецификацию ciphersuite TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 в деталях:

• TLS - протокол
• ECDHE_RSA - алгоритмы аутентификации и обмена ключами
• WITH_AES_128 - алгоритм шифрования / дешифрования
• GCM - режим, используемый для шифрования данных, чтобы их можно было безопасно использовать с алгоритмом
• SHA256 - алгоритм кода аутентификации сообщения

Алгоритм обмена ключами определяет способ обмена ключами для шифра массового шифрования / дешифрования. И есть что-то особенное в Обмен ключами Диффи-Хеллмана используется в ECDHE_RSA:

DHE_RSA предлагает нечто, известное как Perfect Forward Secrecy, напыщенное имя для следующего свойства: если ваш сервер будет тщательно взломан до такой степени, что злоумышленник получит копию закрытого ключа сервера, он также сможет расшифровать прошлые сеансы TLS. (который он записал), если эти сеансы использовали RSA, в то время как он не сможет этого сделать, если эти сеансы использовали DHE_RSA.

^{украдено из ответа на security.SE}

Другими словами, с (EC) DHE ключ AES, используемый для шифрования и дешифрования, не может быть получен из диалога зашифрованного текста TLS, даже если у вас есть закрытый ключ сервера.

Это отличается, когда для обмена ключами используется исключительно RSA: в этом режиме работы ключ массового шифрования, который будет использоваться, генерируется клиентом, зашифровывается RSA с помощью открытого ключа сервера и отправляется на сервер. Если перехватывающая третья сторона имеет закрытый ключ сервера, она просто может расшифровать зашифрованный текст RSA обмена ключами, получить ключ массового шифрования и расшифровать все остальное. Это именно то, что делает Wireshark при декодировании потока TLS за вас.

Итак, то, что работает для обмена ключами на основе RSA, не подходит для обмена на основе DHE.