SSL/TLS
zhangtaoym
这个作者很懒,什么都没留下…
展开
-
浅析HTTPS中间人攻击与证书校验
浅析HTTPS中间人攻击与证书校验0x00 引言随着安全的普及,https通信应用越发广泛,但是由于对https不熟悉导致开发人员频繁错误的使用https,例如最常见的是未校验https证书从而导致“中间人攻击”,并且由于修复方案也一直是个坑,导致修复这个问题时踩各种坑,故谨以此文简单的介绍相关问题。本文第一节主要讲述https的握手过程,第二节转载 2017-06-01 11:32:22 · 406 阅读 · 0 评论 -
TLS协议分析 (二) 架构总览
转自:http://chuansong.me/n/1268791452834二. TLS协议的原理1. 自顶向下,分层抽象构建软件的常用方式是分层,把问题域抽象为多层,每一层的概念定义为一组原语,上一层利用下一层的组件构造实现,并被上一层使用,层层叠叠即成软件。例如在编程语言领域中,汇编语言为一层,在汇编上面是C/C++等静态编译语言,C/C++之上是pyt转载 2017-04-10 14:39:02 · 1831 阅读 · 1 评论 -
TLS协议分析 (三) record协议
转自:http://chuansong.me/n/12687915528344. record 协议record协议做应用数据的对称加密传输,占据一个TLS连接的绝大多数流量,因此,先看看record协议图片来自网络:Record 协议 — 从应用层接受数据,并且做:分片,逆向是重组生成序列号,为每个数据块生成唯一编号,防止被重放或被重排转载 2017-04-10 14:51:51 · 4654 阅读 · 1 评论 -
TLS协议分析 (四) handshake协议概览
转自:http://chuansong.me/n/12687916528435. handshake 协议handshake protocol重要而繁琐。TLS 1.3对握手做了大修改,下面先讲TLS 1.2,讲完再介绍一下分析TLS 1.3.5.1.handshake的总体流程handshake protocol用于产生给record protocol使用转载 2017-04-10 15:44:59 · 9191 阅读 · 1 评论 -
TLS协议分析 (五) handshake协议 证书与密钥交换
转自:http://chuansong.me/n/12815545529595.4. handshake — Server Certificate当服务器确定了CipherSuite后,根据CipherSuite里面的认证算法,如果需要发送证书给客户端,那么就发送 Server Certificate消息给客户端。Server Certificate总是在ServerHello之后转载 2017-04-10 15:53:37 · 6192 阅读 · 2 评论 -
TLS协议分析 (六) handshake协议扩展
转自:http://chuansong.me/n/12815546529435.11. handshake — Finished在 ChangeCipherSpec 消息之后,应该立即发送 Finished 消息,来确认密钥交换和认证过程已经成功了。ChangeCipherSpec 必须在其它握手消息和 Finished 消息之间。Finished 消息是第一条用刚刚协商转载 2017-04-11 08:55:45 · 2194 阅读 · 1 评论 -
TLS协议分析 (七) 安全性分析
转自:http://chuansong.me/n/12815547529379. TLS协议的安全分析安全分析,重中之重,也是大家最关心的。安全分析的第一步是建立攻击模型,TLS的攻击模式是:攻击者有充足的计算资源攻击者无法得到私钥,无法得到客户端和服务器内存里面的密钥等保密信息攻击者可以抓包,修改包,删除包,重放包,篡改包。转载 2017-04-11 09:13:28 · 5629 阅读 · 1 评论 -
TLS协议分析 (九) 现代加密通信协议设计
转自:http://chuansong.me/n/1286704052752六. TLS协议给我们的启发 — 现代加密通信协议设计在看了这么多的分析和案例之后,我们已经可以归纳出加密通信协议设计的普遍问题,和常见设计决策,设计决策点:四类基础算法 加密/MAC/签名/密钥交换 如何选择?对称加密目前毫无疑问应该直接用aead,最佳选择就是 aes-12转载 2017-04-11 09:24:05 · 3358 阅读 · 0 评论 -
TLS协议分析 (八) 实现与开源项目
转自:http://chuansong.me/n/1286703952743三. TLS协议的代码实现TLS的主要实现:OpenSSLboringssl(Google)libressls2n(Amazon)nss(Mozilla)polarsslbotangnutls(gpl)转载 2017-04-11 09:16:25 · 2425 阅读 · 0 评论 -
TLS协议分析 (一) 设计目标及历史
来源:http://chuansong.me/n/1256214352643原创2016-12-07何龙微信后台团队最近发现密码学很有意思,刚好还和工作有点关系,就研究了一下,本文是其中一部分笔记和一些思考。密码学理论艰深,概念繁多,本人知识水平有限,错误难免,如果您发现错误,请务必指出,非常感谢!本文目标:学习鉴赏TLS协议的设计,透彻理解转载 2017-04-10 14:25:04 · 1192 阅读 · 0 评论