SSL/TLS协议学习笔记

最新推荐文章于 2023-10-09 22:46:27 发布
最新推荐文章于 2023-10-09 22:46:27 发布
阅读量194 收藏
点赞数
分类专栏: 各种基础知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fallfeather/article/details/115310056
版权

前言

在分析cve-2021-3449漏洞的时候接触到了SSL/TLS协议,这个漏洞的原理为:如果从客户端发送了恶意的重新协商ClientHello消息,则OpenSSL TLS服务器可能会崩溃。如果TLSv1.2重新协商ClientHello省略了signature_algorithms扩展名(在最初的ClientHello中存在),但包括了signature_algorithms_cert扩展名,则将导致NULL指针取消引用,从而导致崩溃和拒绝服务攻击。

这里不探讨这个漏洞,我简单贴一下一些协议的基础知识,仅仅作为笔记

握手

下图为握手的大致过程

协议的学习通过抓包分析是最有效率的,这里直接抓了包,可以看到我们需要关注的只是Secure Sockets Layer(SSL)就可以了,下面有一些属性之类的值,其中比较重要的有Random(一个随机数,关系到密钥生成),Extensions(拓展功能)等等,具体字段的含义可以看下我下面的参考

整个建立连接的过程大致如下

1、client_hello(客户端发起请求,以明文传输请求信息,包含版本信息,加密套件候选列表,压缩算法候选列表,随机数,扩展字段等信息)

2、server_hello+server_certificate+sever_hello_done( server_hello, 服务端返回协商的信息结果,server_certificates, 服务器端配置对应的证书链,用于身份验证与密钥交换; server_hello_done,通知客户端 server_hello 信息发送结束;)

3、证书校验(客户端验证证书的合法性,如果验证通过才会进行后续通信,否则根据错误情况不同做出提示和操作)

4、client_key_exchange+change_cipher_spec+encrypted_handshake_message(client_key_exchange,合法性验证通过之后,客户端计算产生随机数字 Pre-master,并用证书公钥加密,发送给服务器;  change_cipher_spec,客户端通知服务器后续的通信都采用协商的通信密钥和加密算法进行加密通信; encrypted_handshake_message,结合之前所有通信参数的 hash 值与其它相关信息生成一段数据,采用协商密钥 session secret 与算法进行加密,然后发送给服务器用于数据与握手验证;)

5、change_cipher_spec+encrypted_handshake_message(计算之前所有接收信息的 hash 值,然后解密客户端发送的 encrypted_handshake_message,验证数据和密钥正确性;  change_cipher_spec, 验证通过之后,服务器同样发送 change_cipher_spec 以告知客户端后续的通信都采用协商的密钥与算法进行加密通信; encrypted_handshake_message, 服务器也结合所有当前的通信参数信息生成一段数据并采用协商密钥 session secret 与算法加密并发送到客户端;)

6、握手结束

7、加密通信

 

参考文章

https://blog.csdn.net/mrpre/category_9270159.html
https://www.wosign.com/FAQ/faq2016-0309-04.htm
https://www.uedbox.com/post/9994/

fa1lr4in
关注
专栏目录
学习笔记SSL/TLS互联网安全加密技术
weixin_43598739的博客
05-19 998
学习笔记SSL/TLS互联网安全加密技术
FTP服务学习笔记ssl/tls安全认证配置(3)
weixin_33888907的博客
11-28 1359
在Redhat5.8_X64bit上配置一、实验说明操作系统:Redhat5.8_x64bit实验平台:VMware Workstation实验目的:配置ftp基于ssl/tls安全认证二、实验步骤如下:1、安装vsftpd#yuminstallvsftpd #rpm-qlvsftpd #servicevsftpdstart #chkconfigvsftp...
HTTPS
xiaoxiongxiongshi的博客
01-29 1941
HTTPS 1.1 HTTPS握手图 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jotZTyn2-1574496457026)(./6.png)]     [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZAKH4ish-1574496457031)(./7.png)] 1.2 HTTPS握手细节 1.2.1 ClientHell...
面试题-------SSL协议简介
weixin_30826761的博客
11-09 474
SSL协议简介 SSL简介 Secure Socket Layer,为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。只要3.0版本以上之I.E.或Netscape浏览器即可支持SSL。当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。 SSL协议位...
https建立过程探索
superprintf的博客
02-23 3034
参考文章学习https
SSL/TLS 通信过程
103style
03-16 2160
目录 Wireshark抓包 Client Hello Server Hello、Certificate、Server Key Exchange、Server Hello Done Client 验证 Server 证书 Client Key Exchange、Change Cipher Spec、Encrypted Handshake Message Server→New Session Ti...
IEEE 802.1X-PEAP认证过程分析(抓包)
热门推荐
hanfs390的博客
02-09 2万+
IEEE 802.1X-PEAP认证过程分析(抓包)本文介绍IEEE802.1X认证的PEAP认证方式,是带有radius服务器的EAP中继认证。IEEE802.1X认证是使用EAP报文格式在申请者和认证者之间交换信息。带有radius服务器,即认证者不对申请者发送的数据进行解析处理,而是封装后直接转发给radius服务器。由radius服务器进行处理。PEAP认证方式,是在此基础上,首先建...
c# 调用webservice未能连接到服务器连接不上报登录失败,C#动态调用webService出现 基础连接已经关闭: 未能为 SSL/TLS 安全通道建立信任关系。...
weixin_36429702的博客
08-12 935
这里因为的原因是https请求要检查证书,有些证书不正确的,网页不会正常展示内容,而会返回链接不安全,是否继续。不安全的链接是否继续。详情参考:我的代码片段using System.Net.Http;using System.Net.Security;using System.Security.Cryptography.X509Certificates;using System.Security....
Netty学习笔记之:Ssl/Tls保护netty应用程序
qq_38767992的博客
02-10 664
public class SslChannelInitializer extends ChannelInitializer { private final SslContext context; private final boolean startTls;/** * @param context * @param stratTls */ public SslChannel
介绍Nginx的SSL/TLS加密支持功能,并学习怎么使用
最新发布
LJH_java10086的博客
10-09 575
在本文中,我们将介绍如何使用Nginx的SSL / TLS加密支持功能,同时使用Java编写一个简单的Web应用程序来测试SSL / TLS加密。例如,如果你的Nginx服务器的IP地址是`192.168.0.1`,则可以通过访问`https://192.168.0.1`来获取Java生成的SSL / TLS加密的内容。2. 配置Nginx的SSL / TLS支持:在Nginx的配置文件(通常是nginx.conf)中,你需要添加SSL / TLS支持的配置项。你需要将它们保存在安全的地方。
HTTPS工作原理及报文讲解
echo
07-27 1万+
1 HTTPS 1.1 HTTPS简介 HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议,是一个安全通信通道,它基于HTTP开发用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版,是使用TLS/SSL加密的HTTP协议SSL (Secure Sockets Layer)安全套接层。是由Netscape公司于1990年开发,用于保障Word Wide Web(WWW)通讯的安全。主要任务..
通过抓包深入分析HTTPS
SOHU_TECH的博客
09-08 1918
本文字数:6189字预计阅读时间:16分钟Https介绍https其实是在http上加了一层(SSL/TSL)加密协议,根据维基百科的解释:❝超文本传输安全协议(英语:HyperText Transfer Protocol Secure,缩写:HTTPS;常称为HTTP over TLS、HTTP over SSL或HTTP Secure)是一种通过计算机网络进行安全通信的传输协议。❝HTTP...
https原理学习笔记
yuubeka的博客
05-22 1811
https是使用tls/ssl加密的http协议。http是明文传输,存在信息窃听、信息篡改和信息劫持的风险,而tls/ssl协议具有身份验证、完整性校验和信息加密的功能,所以可以避免这些问题。
SSL/TLS 握手过程
guochaoHNU的博客
11-20 1010
目录握手过程Client HelloServer HelloCertificateServer Key ExchangeCertificate RequestServer Hello DoneCertificate VerifyClient Key ExchangeChange Cipher Spec(Client)Encrypted Handshake Message(Client)Change Cipher Spec(Server)Encrypted Handshake Message(Server)A
SSL通信过程分析
hpp205的专栏
10-09 4932
        SSL通信过程分析 一、SSL建立握手连接目的 1.身份的验证,client与server确认对方是它相连接的,而不是第三方冒充的,通过证书实现。 2.client与server交换session key,用于连接后数据的传输加密和hash校验。 二、简单的SSL握手连接过程 (仅Server端交换证书给client): 1.client发送ClientHell...
使用wireshark观察SSL/TLS握手过程--双向认证/单向认证
kv110的专栏
09-14 1696
SSL/TLS握手过程可以分成两种类型: 1)SSL/TLS 双向认证,就是双方都会互相认证,也就是两者之间将会交换证书。 2)SSL/TLS 单向认证,客户端会认证服务器端身份,而服务器端不会去对客户端身份进行验证。 我们知道,握手过程实际上就是通信双方协商交换一个用于对称加密的密钥的过程,而且握手过程是明文的。 这个过程实际上产生三个随机数:client random, server random, pre-master secret. 参考图解SSL/TLS协议. 前两个随机数都是明文传送的,只.
TLS/SSL 协议详解(10) server hello
Network/Storage/Linux Kernel
09-06 6352
Server hello 相对Client hello 来说简单的多,Server hello中的内容主要是对Client hello的响应。 主要包含几点重要的信息 1:随机数(用来生成主密钥和kdf) 2:session id(sessionid会话复用需要带上,当然命中session ticket时也需要带上) 3:使用的加密套件(根据客户端提供的算法列表、服务器证书类
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值