<div dir="ltr">CRIU allows you to migrate TCP connections. This also means that CRIU allows you to migrate SSL/TLS encrypted connections, since encryption happens at higher layers of network stack than TCP. SSL/TLS is also session-based. While migrating encrypted connections, I noticed that I don&#39;t have to have the certificates available on the receiving host during the migration, and the connection will still restore properly and continue communication.<div><br></div><div>Now consider the (somewhat contrived) example:</div><div><br></div><div>Attacker A is interested in determining the contents of a particular stream of encrypted data traveling to company C. So A gets an employee inside C to checkpoint the application receiving the data (leaving it running), as well as capture a small section of the encrypted stream. The insider then sends the checkpoint and the captured packets to A. </div><div><br></div><div>A doesn&#39;t have the certificates initially used to setup the encrypted communication, and is able to reconstruct the application and successfully restore the checkpoint, with TCP connection modified to receive from his own IP address. A then replays the captured packet stream from his IP, sending the packets to the restored application, and receives the output from the application.</div><div><br></div><div>Is this a security problem?</div></div>