Zażarta dyskusja pod tematem "Ciekawe orzeczenie - bank ma oddać kasę" o
bezpieczeństwie transakcji skłoniła mnie do zapytania o prawdopodobnie coś
podstawowego.
Przyznam, że liczę na odpowiedź od Sebastiana.

Chciałbym ogarnąć ogólnie SSL. Jak szukam to są opisy albo za proste - nie
dające mi odpowiedzi na moje wątpliwości, albo tak zawikłane, że odstraszają
od próby przebrnięcia (przy notorycznym braku czasu na to).

Ja to rozumiem tak. Chcę (mój komputer chce) ustanowić sesję z bankiem.
Bank przysyła certyfikat który zawiera: Dane banku i jego klucz publiczny,
wszystko podpisane kluczem prywatnym przez jakąś organizację. Zawiera
jeszcze coś istotnego?
Chcę zweryfikować podpis - potrzebuję klucza publicznego tej organizacji.
Dostaje od niej certyfikat, który zawiera jej dane i jej klucz publiczny,
wszystko podpisane przez kogoś innego jego kluczem prywatnym.
Aby to zweryfikować potrzebuję klucza publicznego tego kogoś innego. itd.

Kiedy i jak ten proces się kończy?

Opis na Wiki "Zasada działania SSL" jest tak napisany, jakby problem
weryfikacji dostarczonego klucza publicznego nie istniał.
Czego nie wiem?

Jak już załóżmy mam klucz publiczny banku i wiem, że nie jest to jakaś
podróba to dalej z opisu na Wiki wynika, że do ustalenia klucza sesji brane
są dwie liczby losowe przesłane wcześniej przez mój komputer i serwer banku
oraz jakiś ustalony przez mój komputer klucz, który jest podpisywany kluczem
publicznym banku i wysyłany do banku.
Wcześniej przesłane liczby losowe - a więc jawne (bo przed ustaleniem
sesji). Czyli jedyną tajną rzeczą na tym etapie jest ten wylosowany przez
komputer klucz.
Wiadomo, że generator jest wystarczająco dobry?
P.G.