你的流量加密尚需功能再升级

当今互联网世界安全形势严峻,内容篡改、流量劫持、个人隐私信息泄露等事件层出不穷。为让广大用户可以更安全的使用互联网服务,加密流量的应用越来越广泛,其地位也日益重要。在互联网领域,使用最多的流量加密技术就是HTTPS。如今互联网正在经历从明文(HTTP)到加密(HTTPS)的转变。

HTTPS使互联网环境更安全的同时,也带来了很多额外挑战,例如:加密运算消耗更多的CPU资源,这意味着服务器端需要增加更多的硬件(一般而言,HTTPS的硬件成本是同性能HTTP服务的3倍以上);而在移动客户端,如手机、平板电脑等环境中,这则意味着消耗更多电池电量。此外,HTTPS在握手阶段引入额外RTT,加上加解密运算的额外时间开销,增加了HTTP请求的时延,极大的影响了用户体验。

为应对上述挑战,HTTPS尚需功能升级,白山研发团队率先进行尝试,新增:TLS1.3协议、RSA多素数支持、ChaCha20算法支持及HTTPS可视化运营等特性,具体如下图:

图片描述

一、TLS 1.3协议——更低时延、更安全

TLS 1.3协议依循极简主义的设计哲学,祛除并修复了旧版本中的坏味道,将密钥交换、对称加解密、压缩等环节中可能存在的安全隐患剔除出该版本,包括:

  • TLS 1.3协议中选取的密钥交换算法均支持前向安全性,废除了RSA秘钥交换和静态DH密钥交换等不支持前向安全性的算法;
  • DSA证书作为历史遗留产物,尚未被大规模使用过,加之安全性较差,故在TLS 1.3协议中被废弃;
  • 禁用自定义的DH组参数,防止受到Key Recovery Attack攻击;
  • 禁用CBC模式,经实践证明这种对称加密模式尚存在安全隐患;
  • 禁用RC4流加密算法: 2013年,英国皇家哈洛威学院的研究人员发现一种针对TLS的攻击,可从RC4算法加密的密文中恢复出少量明文;
  • 禁用SHA1摘要算法:2017年初Google与荷兰研究机构CWI Amsterdam共同宣布已破解SHA1;
  • 禁用出口密码套件: 2000年美国放宽密码出口管制,随后出现的FREAK和LogJam攻击,可以通过中间人将加密套件降级成出口套件,进而将数据破解;
  • 禁用TLS压缩:TLS压缩存在安全漏洞,攻击者通过漏洞可以实行会话劫持并发动进一步攻击;
  • 加密握手消息: TLS1.3协议规定在ServerHello消息后的握手信息需要加密。TLS1.2及之前版本的协议中各种扩展信息在ServerHello中以明文方式发送,在新版本中可在加密之后封装到EncryptedExtension消息中,在ServerHello消息后发送,增
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值