WiresharkでiTunesトラフィックをキャプチャする-SSL復号化の質問
Wiresharkをいじって、iPhoneなどのアクティベーションパケットをキャプチャしていますが、トラフィックは暗号化されています。このトラフィックを復号化するために、コンピューターのどこかに秘密SSLキーが必要ですが、運が悪かったため、何時間もかけてキーを見つけようとしました。私はOSX Mavericks、最新のiTunesビルドを使用しています。誰かが助けてくれるなら、私はとても感謝しています。
そのトンネルを割ることは簡単なことではありません。簡単に言えば、鍵ストアはファイル/private/var/keybags/systembag.kbにあり、ロッカータグ\BAG1の下のAppleEffaceableStorageと呼ばれるカーネルサービスで取得されます。これはアーキテクチャです:
鍵自体は、AESおよびHMACを使用してさらに暗号化およびチェックサムされます。ストリームを復号化することは大きなプロジェクトになります。カーネルプロセスが復号化されたストリームを格納しているメモリバッファを見つけて、バッファを監視することをお勧めします。重要なプロセスはkeybagd(キーバッグデーモン)と呼ばれていると思います。 AppleKeyStoreというサブコンポーネントを持つMobileKeyBagというカーネル拡張もあります。これらのプロセスの1つまたはすべてが、クリアテキストトラフィックを含むバッファを所有します。