HTTPS安全通讯 2. SSL/TLS加密协议
一、 概述
1. SSL
- SSL(Secure Socket Layer 安全套接层),由网景在90年代开发的安全协议;
- 1995年Netscape发布
SSL v2.0
- 1996年Netscape发布
SSL v3.0
- 1999年 IETF(Internet工程任务组)发布
TLS v1.0
,用于替代SSL v3.0
- 2006年 发布
TLS v1.1
- 2008年 发布
TLS v1.2
- 2018年 发布
TLS v1.3
至2020年3月,微软、苹果、谷歌等多家企业已弃用TLS v1.0
和TLS v1.1
。
目前,应用最广泛的是TLS 1.0
,接下来是SSL 3.0
。但是,主流浏览器都已经实现了TLS 1.2
的支持。
TLS 1.0
通常被标示为SSL 3.1
,TLS 1.1
为SSL 3.2
,TLS 1.2
为SSL 3.3
。
TLS
、SSL
协议一般构建在TCP
上,也可以构建在UDP
上,称为DTLS
,在WEB里应用的较少。
2. OpenSSL
TLS/SSL 的设计规范有一系列的RFC文档,实现的库有:
- OpenSSL:OpenSSL开发组;
- LibreSSL:OpenBSD开发组;
- BoringSSL:谷歌基于OpenSSL的分支,用在安卓和Chrome上;
- JSSE:Oracle使用Java实现的TLS/SSL协议;
- Network Security Service(NSS):Mozilla开发;
- GnuTLS:GNU TLS工程组,满足GPL许可证;
- Scheannel:微软用于Windows;
- Secure Transport:苹果用于iOS和OSX;
- mbed TLS:ARM用于嵌入式设备。
OpenSSL 是比较通用的TLS/SSL实现。
2014年,OpenSSL爆出“心脏出血”漏洞,影响了很多产品和服务。
OpenSSL包含两种类型的库:
- crypto 库函数:具体密码学算法使用库,如Md5,RSA,DES算法的实现;
- EVP接口:高层次库,基于crypto库函数做了进一步抽象。
OpenSSL已集成到大部分的Linux操作系统中。
3. https
将HTTP与TLS/SSL结合实现的协议,用于加密应用层。
一般浏览器将HTTPS默认在443端口。
证书链检测工具: myssl.com
4. 密钥协商算法
由于公钥算法运行速度较慢,所以一般用于通讯握手期间,在正常数据通讯时使用对称密钥算法。
协商目的就是生成对称密钥算法的密钥。
1.4.1 RSA算法
- 客户端向服务端发连接请求;
- 服务器端发RSA密钥对的公钥给客户端;
- 客户端生成随机数作为预备主密钥,用服务器公钥加密,再发给服务器;
- 服务器解密成功,即认为双方协商出预备主密钥。
1.4.2 DH算法
- 客户端向服务器端发连接请求;
- 服务器生成RSA密钥对,把公钥发给客户端;
- 服务器端生成DH参数和服务器DH密钥对,用RSA私钥签名DH参数和服务器DH公钥,最后将签名值、DH参数、服务器DH公钥发给客户端;
- 客户端通过服务器RSA的公钥验证签名,获取到DH参数和服务器DH公钥;
- 客户端通过DH参数生成客户端的DH密钥对,把客户端DH公钥发给服务器端;
- 客户端通过客户端DH私钥和服务器端DH公钥计算出预备主密钥;
- 服务器端接收到客户端的DH公钥,结合服务器的DH私钥计算出预备主密钥;
- 最终客户端与服务器端计算的预备主密钥保持一致。
服务器每次发送的DH参数和DH公钥如果是固定的,称为静态DH算法;
否则每次连接时临时生成,称为临时DH算法(EDH算法)。
5. 前向安全性
1. RSA算法
上面RSA算法中,攻击者无法获得服务器RSA密钥对,无法解密截获的数据。
但是攻击者如果把数据先保存下来,后来由于某种原因服务器密钥泄露了,即使服务器立刻改变密钥,但攻击者就可以解密历史数据,历史通信数据将都被解密。
2. 静态DH算法
静态DH算法也无法保持前向安全性,一旦服务器的DH参数和DH密钥泄露,攻击者能破解出预备主密钥,历史通信数据就会被破解。
6. PKI
PKI用于解决中间人攻击,由多个不同的组织构成,主要有:
- 服务器实体
- 客户端
- CA机构
二 、通信模式演化
-
正常通讯,无加密
通信过程很不安全,黑客可以监听双方的通信、拦截通信、伪造数据进行攻击。 -
使用密钥加密
为了应对攻击,对通信数据使用对称加密算法进行加密。通信双方需要共享密钥。
1981年,出现对称加密算法DES。DES使用56bit的密钥。但由于双方需要共享密钥,这个密钥在传输过程中有可能被拦截。 -
更高强度的密钥
DES可能被暴力破解。为了更高的安全性,出现了triple-DES(最长168bit密钥)、AES (最高 256bit密钥 )。
这仍没解决双方传递共享密钥的问题。 -
非对称加密
最著名的非对称加密算法RSA算法,其加密与解密使用不同密钥,加密的密钥可以公开。这样可以有效解决双方共享密钥的问题。在使用中,通讯双方都有一个公钥和私钥。
A要给B发网络数据流程:
-
A使用私钥加密数据的hash值
-
A再用B的公钥加密数据。
-
A将加密的hash值和加密的数据加上一些其它信息(如时间戳)发给B
-
B 先用私钥解密数据
-
B本地运行一个hash值
-
B用A的公钥解密hash值,与自己运行的比较,检验数据完整性。
但最初通讯交换公钥的过程,仍存在被中间人攻击的可能。
-
使用可信任机构颁布数字证书
三、SSL/TLS 基本运行过程
1. 整体通讯流程
- 客户端向服务器端索要并验证公钥
- 双方协商生成“对话密钥”
- 双方采用“对话密钥”进行加密通信。
SSL/TLS 使用非对称加密 。
- 保证公钥不被篡改:将公钥放在数字证书中,只要证书是可信的,公钥就是可信的。
- 每一次对话,双方生成一个对称密钥,用来加密信息,采用对称加密。 非对称加密只用来加密对称加密的密钥。
流程示意图:
通讯抓包示意图:
2. 握手阶段详细过程
握手阶段涉及4次通信。
4.1 客户端发出请求(Client Hello)
客户端数据主要包含:
- 支持的协议版本,如TLS 1.2版
- 一个客户端生成的随机数,稍后用于生成公钥
- 支持的加密方法 ,如RSA
- 支持的压缩方法。
客户端发送的信息中不包括服务器的域名。2006年,TLS协议加入了一个Service Name Indication扩展,允许客户端向服务器提供它所请求的域名。
支持的加密算法示例:
4.2 服务器回应(Server Hello)
服务器收到客户端请求后,向客户端发出回应,包含:
- 确认使用的加密通信协议版本,比如TLS 1.2版本。如果浏览器与服务器支持的版本不一致,服务器关闭加密通信。
- 一个服务器生成的随机数,稍后用于生成"对话密钥"。
- 确认使用的加密方法,比如RSA公钥加密。
- 服务器证书。
如果是双向认证,服务器需要确认客户端的身份,就会再包含一项请求,要求客户端提供客户端证书。即金融机构服务器端只允许认证客户连入自己的网络,会向正式客户提供USB密钥,里面就包含了一张客户端证书。
下面是单向认证抓包示意,Server Hello分成两个包发送。
4.3 客户端回应
客户端收到服务器回应以后,首先验证服务器证书。如果有以下问题:
- 证书不是可信机构颁布
- 或者证书中的域名与实际域名不一致
- 或证书已经过期
这时就会向访问者显示一个警告,由用户选择是否还要继续通信。
如果证书没有问题,客户端就会从证书中取出服务器的公钥,然后,向服务器发送以下信息:
- 一个随机数,用服务器公钥加密,称为pre-master key。
- 编码改变通知,表示随后的信息将用双方商定的加密方法 和密钥发送
- 客户端握手结束通知,表示客户端的握手阶段已经结束。 这一项同时也是前面发送的所有内容的hash值,用来供服务器检验。
客户端与服务器同时有了三个随机数,接着双方就用事先商定的加密方法,各自生成本次会话所用的同一把”会话密钥“。
使用三次随机数,防止有的主机生成的只是伪随机数。
4.4 服务器回应
服务器收到客户端的第三个随机数pre-master key之后,计算生成本次会话所用的”会话密钥“,然后给客户端发送下面信息:
- 编码改变通知,表示随后的信息都将用双方商定的加密方法 和密钥发送。
- 服务器握手结束通知,表示服务器的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供客户端检验。