HTTPS安全通讯 2. SSL/TLS加密协议

一、 概述1. SSL2. `OpenSSL`3. `https`4. 密钥协商算法1.4.1 RSA算法1.4.2 DH算法 5. 前向安全性1. RSA算法2. 静态DH算法 6. PKI二 、通信模式演化三、SSL/TLS 基本运行过程1. 整体通讯流程2. 握手阶段详细过程4.1 客户端发出请求(Client Hello)4.2 服务器回应(Server Hello)4.3 客户端回应4.4 服务器回应

一、 概述

1. SSL

SSL（Secure Socket Layer 安全套接层），由网景在90年代开发的安全协议；1995年Netscape发布SSL v2.01996年Netscape发布SSL v3.01999年 IETF(Internet工程任务组)发布TLS v1.0，用于替代SSL v3.02006年 发布TLS v1.12008年 发布TLS v1.22018年 发布TLS v1.3 至2020年3月，微软、苹果、谷歌等多家企业已弃用TLS v1.0 和 TLS v1.1。

目前，应用最广泛的是TLS 1.0，接下来是SSL 3.0。但是，主流浏览器都已经实现了TLS 1.2的支持。 TLS 1.0通常被标示为SSL 3.1，TLS 1.1为SSL 3.2，TLS 1.2为SSL 3.3。

TLS 、SSL 协议一般构建在TCP上，也可以构建在UDP上，称为DTLS，在WEB里应用的较少。

2. OpenSSL

TLS/SSL 的设计规范有一系列的RFC文档，实现的库有:

OpenSSL：OpenSSL开发组；LibreSSL：OpenBSD开发组；BoringSSL：谷歌基于OpenSSL的分支，用在安卓和Chrome上；JSSE：Oracle使用Java实现的TLS/SSL协议；Network Security Service(NSS)：Mozilla开发；GnuTLS：GNU TLS工程组，满足GPL许可证；Scheannel：微软用于Windows；Secure Transport：苹果用于iOS和OSX；mbed TLS：ARM用于嵌入式设备。

OpenSSL 是比较通用的TLS/SSL实现。 2014年，OpenSSL爆出“心脏出血”漏洞，影响了很多产品和服务。 OpenSSL包含两种类型的库：

crypto 库函数：具体密码学算法使用库，如Md5,RSA,DES算法的实现；EVP接口：高层次库，基于crypto库函数做了进一步抽象。

OpenSSL已集成到大部分的Linux操作系统中。

3. https

将HTTP与TLS/SSL结合实现的协议，用于加密应用层。 一般浏览器将HTTPS默认在443端口。 证书链检测工具： myssl.com

4. 密钥协商算法

由于公钥算法运行速度较慢，所以一般用于通讯握手期间，在正常数据通讯时使用对称密钥算法。 协商目的就是生成对称密钥算法的密钥。

1.4.1 RSA算法

客户端向服务端发连接请求；服务器端发RSA密钥对的公钥给客户端；客户端生成随机数作为预备主密钥，用服务器公钥加密，再发给服务器；服务器解密成功，即认为双方协商出预备主密钥。

1.4.2 DH算法

客户端向服务器端发连接请求；服务器生成RSA密钥对，把公钥发给客户端；服务器端生成DH参数和服务器DH密钥对，用RSA私钥签名DH参数和服务器DH公钥，最后将签名值、DH参数、服务器DH公钥发给客户端；客户端通过服务器RSA的公钥验证签名，获取到DH参数和服务器DH公钥；客户端通过DH参数生成客户端的DH密钥对，把客户端DH公钥发给服务器端；客户端通过客户端DH私钥和服务器端DH公钥计算出预备主密钥；服务器端接收到客户端的DH公钥，结合服务器的DH私钥计算出预备主密钥；最终客户端与服务器端计算的预备主密钥保持一致。

服务器每次发送的DH参数和DH公钥如果是固定的，称为静态DH算法； 否则每次连接时临时生成，称为临时DH算法（EDH算法）。

5. 前向安全性

1. RSA算法

上面RSA算法中，攻击者无法获得服务器RSA密钥对，无法解密截获的数据。 但是攻击者如果把数据先保存下来，后来由于某种原因服务器密钥泄露了，即使服务器立刻改变密钥，但攻击者就可以解密历史数据，历史通信数据将都被解密。

2. 静态DH算法

静态DH算法也无法保持前向安全性，一旦服务器的DH参数和DH密钥泄露，攻击者能破解出预备主密钥，历史通信数据就会被破解。

6. PKI

PKI用于解决中间人攻击，由多个不同的组织构成，主要有：

服务器实体客户端CA机构

二 、通信模式演化

正常通讯，无加密 通信过程很不安全，黑客可以监听双方的通信、拦截通信、伪造数据进行攻击。

使用密钥加密 为了应对攻击，对通信数据使用对称加密算法进行加密。通信双方需要共享密钥。 1981年，出现对称加密算法DES。DES使用56bit的密钥。但由于双方需要共享密钥，这个密钥在传输过程中有可能被拦截。

更高强度的密钥 DES可能被暴力破解。为了更高的安全性，出现了triple-DES(最长168bit密钥)、AES (最高 256bit密钥 )。 这仍没解决双方传递共享密钥的问题。

非对称加密 最著名的非对称加密算法RSA算法，其加密与解密使用不同密钥，加密的密钥可以公开。这样可以有效解决双方共享密钥的问题。在使用中，通讯双方都有一个公钥和私钥。

A要给B发网络数据流程：

A使用私钥加密数据的hash值

A再用B的公钥加密数据。

A将加密的hash值和加密的数据加上一些其它信息（如时间戳）发给B

B 先用私钥解密数据

B本地运行一个hash值

B用A的公钥解密hash值，与自己运行的比较，检验数据完整性。

但最初通讯交换公钥的过程，仍存在被中间人攻击的可能。

使用可信任机构颁布数字证书

三、SSL/TLS 基本运行过程

1. 整体通讯流程

客户端向服务器端索要并验证公钥双方协商生成“对话密钥”双方采用“对话密钥”进行加密通信。

SSL/TLS 使用非对称加密 。

保证公钥不被篡改：将公钥放在数字证书中，只要证书是可信的，公钥就是可信的。每一次对话，双方生成一个对称密钥，用来加密信息，采用对称加密。 非对称加密只用来加密对称加密的密钥。

流程示意图：

通讯抓包示意图：

2. 握手阶段详细过程

握手阶段涉及4次通信。

4.1 客户端发出请求(Client Hello)

客户端数据主要包含：

支持的协议版本，如TLS 1.2版一个客户端生成的随机数，稍后用于生成公钥支持的加密方法 ，如RSA支持的压缩方法。

客户端发送的信息中不包括服务器的域名。2006年，TLS协议加入了一个Service Name Indication扩展，允许客户端向服务器提供它所请求的域名。

支持的加密算法示例：

4.2 服务器回应(Server Hello)

服务器收到客户端请求后，向客户端发出回应，包含：

确认使用的加密通信协议版本，比如TLS 1.2版本。如果浏览器与服务器支持的版本不一致，服务器关闭加密通信。一个服务器生成的随机数，稍后用于生成"对话密钥"。确认使用的加密方法，比如RSA公钥加密。服务器证书。

如果是双向认证，服务器需要确认客户端的身份，就会再包含一项请求，要求客户端提供客户端证书。即金融机构服务器端只允许认证客户连入自己的网络，会向正式客户提供USB密钥，里面就包含了一张客户端证书。 下面是单向认证抓包示意，Server Hello分成两个包发送。

4.3 客户端回应

客户端收到服务器回应以后，首先验证服务器证书。如果有以下问题：

证书不是可信机构颁布或者证书中的域名与实际域名不一致或证书已经过期 这时就会向访问者显示一个警告，由用户选择是否还要继续通信。

如果证书没有问题，客户端就会从证书中取出服务器的公钥，然后，向服务器发送以下信息：

一个随机数，用服务器公钥加密，称为pre-master key。编码改变通知，表示随后的信息将用双方商定的加密方法 和密钥发送客户端握手结束通知，表示客户端的握手阶段已经结束。 这一项同时也是前面发送的所有内容的hash值，用来供服务器检验。

客户端与服务器同时有了三个随机数，接着双方就用事先商定的加密方法，各自生成本次会话所用的同一把”会话密钥“。

使用三次随机数，防止有的主机生成的只是伪随机数。

4.4 服务器回应

服务器收到客户端的第三个随机数pre-master key之后，计算生成本次会话所用的”会话密钥“，然后给客户端发送下面信息：

编码改变通知，表示随后的信息都将用双方商定的加密方法 和密钥发送。服务器握手结束通知，表示服务器的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值，用来供客户端检验。