基于OpenSSL的SSL/TLS加密套件全解析

已于 2024-04-01 23:06:35 修改
阅读量4.6k 收藏 39
点赞数 22
分类专栏: 网络安全 文章标签: ssl 网络协议 网络安全
于 2024-01-21 16:04:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/new9232/article/details/135704658
版权
本文介绍了SSL/TLS握手中的加密套件概念,重点讲解了OpenSSL中如何指定加密套件,包括AES-GCM、ECDHE和AES-CBC等算法的应用,以及如何确保兼容性,如谷歌浏览器与Nginx服务器的加密套件协商示例。
摘要由CSDN通过智能技术生成

概述

  • SSL/TLS握手时,客户端与服务端协商加密套件是很重要的一个步骤,协商出加密套件后才能继续完成后续的握手和加密通信。而现在SSL/TLS协议通信的实现,基本都是通过OpenSSL开源库,本文章就主要介绍下加密套件的含义以及如何在OpenSSL中指定加密套件。

加密套件介绍

  • SSL/TLS协议的加密套件是定义了在一次连接中所使用的各种加密算法的组合。它包括以下几个主要部分
    • 密钥交换算法:用于协商会话密钥,如RSA、DH、ECDH等。
    • 对称加密算法:用于实际数据传输的加解密,例如AES、3DES等。
    • 消息认证码(MAC)或伪随机函数(PRF):用于验证数据完整性及防止篡改,如SHA256等。
      在这里插入图片描述

如何指定加密套件

  • 使用OpenSSL或者Nginx实现SSL/TLS协议时,都需要指定加密套件。

  • 一般如下指定就可以,表示指定加密套件为任意算法,但身份认证算法和加密算法不能为空。这样客户端和服务端就会自动协商一个加密套件进行通信。

  •   	ssl_ciphers ALL:!aNULL;  #Nginx配置加密套件
  	SSL_CTX_set_cipher_list(ServerCTX, "ALL:!aNULL");  #openssl接口配置加密套件

  • 但如果想自己指定加密套件,就可以使用以下列表中的一种。

    序号加密套件(完整名称)加密套件(openssl接口指定名称)版本密钥协商算法身份验证算法加密算法MAC
    1TLS_AES_256_GCM_SHA384TLS_AES_256_GCM_SHA384TLSv1.3anyanyAESGCM(256)AEAD
    2TLS_CHACHA20_POLY1305_SHA256TLS_CHACHA20_POLY1305_SHA256TLSv1.3anyanyCHACHA20/POLY1305(256)AEAD
    3TLS_AES_128_GCM_SHA256TLS_AES_128_GCM_SHA256TLSv1.3anyanyAESGCM(128)AEAD
    4TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384ECDHE-ECDSA-AES256-GCM-SHA384TLSv1.2ECDHECDSAAESGCM(256)AEAD
    5TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384ECDHE-RSA-AES256-GCM-SHA384TLSv1.2ECDHRSAAESGCM(256)AEAD
    6TLS_DHE_RSA_WITH_AES_256_GCM_SHA384DHE-RSA-AES256-GCM-SHA384TLSv1.2DHRSAAESGCM(256)AEAD
    7TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256ECDHE-ECDSA-CHACHA20-POLY1305TLSv1.2ECDHECDSACHACHA20/POLY1305(256)AEAD
    8TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256ECDHE-RSA-CHACHA20-POLY1305TLSv1.2ECDHRSACHACHA20/POLY1305(256)AEAD
    9TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256DHE-RSA-CHACHA20-POLY1305TLSv1.2DHRSACHACHA20/POLY1305(256)AEAD
    10TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256ECDHE-ECDSA-AES128-GCM-SHA256TLSv1.2ECDHECDSAAESGCM(128)AEAD
    11TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256ECDHE-RSA-AES128-GCM-SHA256TLSv1.2ECDHRSAAESGCM(128)AEAD
    12TLS_DHE_RSA_WITH_AES_128_GCM_SHA256DHE-RSA-AES128-GCM-SHA256TLSv1.2DHRSAAESGCM(128)AEAD
    13TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384ECDHE-ECDSA-AES256-SHA384TLSv1.2ECDHECDSAAES(256)SHA384
    14TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384ECDHE-RSA-AES256-SHA384TLSv1.2ECDHRSAAES(256)SHA384
    15TLS_DHE_RSA_WITH_AES_256_CBC_SHA256DHE-RSA-AES256-SHA256TLSv1.2DHRSAAES(256)SHA256
    16TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256ECDHE-ECDSA-AES128-SHA256TLSv1.2ECDHECDSAAES(128)SHA256
    17TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256ECDHE-RSA-AES128-SHA256TLSv1.2ECDHRSAAES(128)SHA256
    18TLS_DHE_RSA_WITH_AES_128_CBC_SHA256DHE-RSA-AES128-SHA256TLSv1.2DHRSAAES(128)SHA256
    19TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHAECDHE-ECDSA-AES256-SHATLSv1ECDHECDSAAES(256)SHA1
    20TLS_ECDHE_RSA_WITH_AES_256_CBC_SHAECDHE-RSA-AES256-SHATLSv1ECDHRSAAES(256)SHA1
    21TLS_DHE_RSA_WITH_AES_256_CBC_SHADHE-RSA-AES256-SHASSLv3DHRSAAES(256)SHA1
    22TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHAECDHE-ECDSA-AES128-SHATLSv1ECDHECDSAAES(128)SHA1
    23TLS_ECDHE_RSA_WITH_AES_128_CBC_SHAECDHE-RSA-AES128-SHATLSv1ECDHRSAAES(128)SHA1
    24TLS_DHE_RSA_WITH_AES_128_CBC_SHADHE-RSA-AES128-SHASSLv3DHRSAAES(128)SHA1
    25RSA_PSK_WITH_AES_256_GCM_SHA384RSA-PSK-AES256-GCM-SHA384TLSv1.2RSAPSKRSAAESGCM(256)AEAD
    26DHE_PSK_WITH_AES_256_GCM_SHA384DHE-PSK-AES256-GCM-SHA384TLSv1.2DHEPSKPSKAESGCM(256)AEAD
    27TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256RSA-PSK-CHACHA20-POLY1305TLSv1.2RSAPSKRSACHACHA20/POLY1305(256)AEAD
    28TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256DHE-PSK-CHACHA20-POLY1305TLSv1.2DHEPSKPSKCHACHA20/POLY1305(256)AEAD
    29TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256ECDHE-PSK-CHACHA20-POLY1305TLSv1.2ECDHEPSKPSKCHACHA20/POLY1305(256)AEAD
    30TLS_RSA_WITH_AES_256_GCM_SHA384AES256-GCM-SHA384TLSv1.2RSARSAAESGCM(256)AEAD
    31PSK_WITH_AES_256_GCM_SHA384PSK-AES256-GCM-SHA384TLSv1.2PSKPSKAESGCM(256)AEAD
    32TLS_PSK_WITH_CHACHA20_POLY1305_SHA256PSK-CHACHA20-POLY1305TLSv1.2PSKPSKCHACHA20/POLY1305(256)AEAD
    33RSA_PSK_WITH_AES_128_GCM_SHA256RSA-PSK-AES128-GCM-SHA256TLSv1.2RSAPSKRSAAESGCM(128)AEAD
    34DHE_PSK_WITH_AES_128_GCM_SHA256DHE-PSK-AES128-GCM-SHA256TLSv1.2DHEPSKPSKAESGCM(128)AEAD
    35TLS_RSA_WITH_AES_128_GCM_SHA256AES128-GCM-SHA256TLSv1.2RSARSAAESGCM(128)AEAD
    36PSK_WITH_AES_128_GCM_SHA256PSK-AES128-GCM-SHA256TLSv1.2PSKPSKAESGCM(128)AEAD
    37TLS_RSA_WITH_AES_256_CBC_SHA256AES256-SHA256TLSv1.2RSARSAAES(256)SHA256
    38TLS_RSA_WITH_AES_128_CBC_SHA256AES128-SHA256TLSv1.2RSARSAAES(128)SHA256
    39ECDHE_PSK_WITH_AES_256_CBC_SHA384ECDHE-PSK-AES256-CBC-SHA384TLSv1ECDHEPSKPSKAES(256)SHA384
    40ECDHE_PSK_WITH_AES_256_CBC_SHAECDHE-PSK-AES256-CBC-SHATLSv1ECDHEPSKPSKAES(256)SHA1
    41RSA_PSK_WITH_AES_256_CBC_SHA384RSA-PSK-AES256-CBC-SHA384TLSv1RSAPSKRSAAES(256)SHA384
    42DHE_PSK_WITH_AES_256_CBC_SHA384DHE-PSK-AES256-CBC-SHA384TLSv1DHEPSKPSKAES(256)SHA384
    43RSA_PSK_WITH_AES_256_CBC_SHARSA-PSK-AES256-CBC-SHASSLv3RSAPSKRSAAES(256)SHA1
    44DHE_PSK_WITH_AES_256_CBC_SHADHE-PSK-AES256-CBC-SHASSLv3DHEPSKPSKAES(256)SHA1
    45TLS_RSA_WITH_AES_256_CBC_SHAAES256-SHASSLv3RSARSAAES(256)SHA1
    46PSK_WITH_AES_256_CBC_SHA384PSK-AES256-CBC-SHA384TLSv1PSKPSKAES(256)SHA384
    47PSK_WITH_AES_256_CBC_SHAPSK-AES256-CBC-SHASSLv3PSKPSKAES(256)SHA1
    48ECDHE_PSK_WITH_AES_128_CBC_SHA256ECDHE-PSK-AES128-CBC-SHA256TLSv1ECDHEPSKPSKAES(128)SHA256
    49ECDHE_PSK_WITH_AES_128_CBC_SHAECDHE-PSK-AES128-CBC-SHATLSv1ECDHEPSKPSKAES(128)SHA1
    50RSA_PSK_WITH_AES_128_CBC_SHA256RSA-PSK-AES128-CBC-SHA256TLSv1RSAPSKRSAAES(128)SHA256
    51DHE_PSK_WITH_AES_128_CBC_SHA256DHE-PSK-AES128-CBC-SHA256TLSv1DHEPSKPSKAES(128)SHA256
    52RSA_PSK_WITH_AES_128_CBC_SHARSA-PSK-AES128-CBC-SHASSLv3RSAPSKRSAAES(128)SHA1
    53DHE_PSK_WITH_AES_128_CBC_SHADHE-PSK-AES128-CBC-SHASSLv3DHEPSKPSKAES(128)SHA1
    54TLS_RSA_WITH_AES_128_CBC_SHAAES128-SHASSLv3RSARSAAES(128)SHA1
    55PSK_WITH_AES_128_CBC_SHA256PSK-AES128-CBC-SHA256TLSv1PSKPSKAES(128)SHA256
    56PSK_WITH_AES_128_CBC_SHAPSK-AES128-CBC-SHASSLv3PSKPSKAES(128)SHA1

  • 当然也不能任意指定,指定时要看客户端是否支持。比如使用谷歌浏览器访问Nginx服务,抓包可以看到客户端支持的所有加密套件。那么服务端指定加密套件时,就只能从以下支持的加密套件中选择一个。
    在这里插入图片描述

命令行工具

  • OpenSSL提供了命令行工具,可以查看加密套件
  • 1、查看OpenSSL支持的所有加密套件
    • openssl ciphers -v
  • 2、查看OpenSSL支持的所有加密套件,但身份验证和加密算法不能为空
    • openssl ciphers -v ‘ALL:!aNULL’

参考

大草原的小灰灰
关注
专栏目录
openSSL实现TLS双向认证
新时代农民工
07-26 1385
TLS(传输层安性)双向认证,也称为客户端认证或互相认证,是一种网络安全协议的扩展,用于建立在传输层上的安连接。传统的TLS认证只需要服务器验证客户端的身份,而双向认证则要求客户端也验证服务器的身份。在TLS双向认证中,客户端和服务器都必须拥有数字证书。数字证书由可信的第三方证书颁发机构(CA)签发,用于证明实体(如服务器)的身份。以下是TLS双向认证的基本步骤:1. 服务器配置:服务器需要配置受信任的数字证书,该证书由CA签发。配置包括私钥和公钥。
TLS 各种加密套件
热门推荐
weixin_43408952的博客
05-11 1万+
TLS 各种加密套件说明
TLS加密协议详解
u013349377的博客
11-11 5136
SSL/TLS是一种密码通信框架,他是世界上使用最广泛的密码通信方法。SSL/TLS综合运用了密码学中的对称密码,消息认证码,公钥密码,数字签名,伪随机数生成器等,可以说是密码学中的集大成者。SSL(Secure Socket Layer)安套接层,是1994年由Netscape公司设计的一套协议,并与1995年发布了3.0版本。TLS(Transport Layer Security)传输层安是IETF在SSL3.0基础上设计的协议,实际上相当于SSL的后续版本。消息摘要算法即HASH算法。
openssl常用命令
qq_36319965的博客
08-08 525
密码相关openssl常用命令
【学习笔记】SSL密码套件的选择
最新发布
Taki_UP的博客
09-12 1362
本期将密码套件的每个协议进行划分,分别是Avoid(未来可能有风险)、Accept(如果客户用的是过时的)和Prefer(最安的)
基于OpenSSLSSL TLS加密套件解析_openssl使用进行tls测试
2401_84140060的博客
04-06 1408
SSL/TLS握手时,客户端与服务端协商加密套件是很重要的一个步骤,协商出加密套件后才能继续完成后续的握手和加密通信。而现在SSL/TLS协议通信的实现,基本都是通过OpenSSL开源库,本文章就主要介绍下加密套件的含义以及如何在OpenSSL中指定加密套件SSL/TLS协议的加密套件是定义了在一次连接中所使用的各种加密算法的组合。它包括以下几个主要部分密钥交换算法:用于协商会话密钥,如RSA、DH、ECDH等。对称加密算法:用于实际数据传输的加解密,例如AES、3DES等。
openssl密码套件详解
humanhaunt的博客
09-24 9775
说起加密套件(CipherSuite)这个词可能会比较陌生,但是说起ssl/tls可能就是一个众所周知的词汇了,我们知道ssl/tls是经常被用在http协议上以使http协议升级为安的https协议,ssl协议呢也有自己的握手协商的过程,而这个握手协商的过程呢。就会使用到很多的加密算法,MAC算法,认证算法等等,而加密套件呢就可以理解为是这一些列密码算法的打包形式,其实密码算法的实现有很多,但是目前最主流的实现还是openssl,该文是以openssl来讲解的,有兴趣的可以了解一下其他的实现。 先说用法
openssl加密套件-学习-实例-笔记
pavilion的博客
02-28 444
openssl,众所周知用于对socket通信过程添加ssl支持,曾强安性实际上还可以使用里面丰富的加解密算法,对数据进行加解密。
SSL/TLS测试
weixin_30793643的博客
01-09 2882
本文介绍了使用半自动化工具执行SSLTLS性评估的过程,以及如何使用手动及工具的测试方法验证并发现问题。目的是优化TLSSSL测试流程,帮助信息安顾问在渗透测试时在TLS / SSL上花费更少的时间。 什么是TLSSSL? 安套接层(SSL)和传输层安TLS加密用于通过互联网提供通信安(传输加密)和来保护网络流量和互联网上的隐私,用于诸如网络,电子邮件,即时消息(IM...
加密与解密】【07】SSL套件解析
天天向上 Up Up Up (*^▽^*)
07-01 1706
以上案例,都是通过KeyStore来实现KeyManager和TrustManager的管理功能现在我们不用KeyStore,通过自定义规则,来实现秘钥管理和证书验证功能我们以OkHttp框架为例现在我们用OkHttp来替换上面的HttpClient来访问服务器.url(url).get().build()这里我们为了演示,不让问题复杂化,只是简单地信任了所有的证书,并不能起到实际的安作用。
ssl加密算法套件检测工具
01-18
该工具适用于安渗透测试人员,可以用来检测弱加密算法套件
加密套件SSL/TLS 握手中的运用
qq_37017501的博客
12-28 5570
最近负责主机漏洞扫描的工作,其实就是简单配置下主机 IP 和端口,然后静静等待扫描结束。扫描报告一出,红色漏洞(高危漏洞)和黄色漏洞(中危漏洞)一大片,其中黄色漏洞又清一色的来自 SSL/TLS 协议的不安加密算法,从匿名加密套件到有漏洞加密算法到弱加密算法,看得我云里雾里的,于是就趁着这个机会了解了下 SSL/TLS 协议的握手流程和加密套件。 看了下网上有介绍加密套件及其背后的 SSL/T...
Nginx与SSL/TLS:实现HTTPS安通信的最佳实践
java专栏
09-07 1116
SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是两个加密协议,它们是数字世界中保护信息安的盾牌。SSL是最初的版本,后来被TLS所取代。不过,人们通常还是习惯将它们统称为SSLSSL/TLS的作用是为数据传输提供一个安层,确保数据在传输过程中不被窃听或篡改。它们通过使用加密算法来实现这一点,只有拥有正确密钥的人才能解读加密后的数据。
openssl 密码套件相关内容(OID|密码套件
CHYabc123456hh的博客
07-25 2853
openssl 密码套件相关内容(OID|密码套件
OpenSSL
04stone37
06-06 1053
是什么? OpenSSL是一套开源的加密套件函数库,主要功能有: 实现了常见的加密算法; 实现了TLS及ALPN等协议; 版本查看 openssl version 对ALPN支持   OpenSSL 对 ALPN 的支持是在 2015年1月 发布的 1.0.2 版本中加入的,因此想要启用 ALPN 则必需升级版本到 1.0.2 以上。目前主流的操作系统的 OpenSSL 版本情...
如何确认服务器端的 SSL/TLS 配置是否正确
05-12
要确认服务器端的 SSL/TLS 配置是否正确,可以使用以下方法: 1. 使用 SSL/TLS 测试工具:有很多在线的 SSL/TLS 测试工具可以帮助您测试您的服务器的 SSL/TLS 配置。例如 SSL Labs 的 SSL Server Test(https://www.ssllabs.com/ssltest/)和 Qualys 的 SSL Server Test(https://www.qualys.com/ssl-test/)。 2. 检查 SSL/TLS 证书:确保您的 SSL/TLS 证书是有效的,已被正确安装,并且没有过期或被吊销。您可以使用 OpenSSL 命令行工具检查证书的有效性。 3. 检查 SSL/TLS 协议版本和加密套件:确保您的服务器只使用最新和最安SSL/TLS 协议版本和加密套件。您可以在服务器配置文件中配置协议版本和加密套件,例如 Apache 的 httpd.conf 文件。 4. 检查 SSL/TLS 配置安性:确保您的服务器的 SSL/TLS 配置是安的,例如禁用不安的协议和加密套件,启用 HSTS(HTTP Strict Transport Security)等安策略。 总之,通过使用 SSL/TLS 测试工具、检查 SSL/TLS 证书、协议版本和加密套件、以及检查 SSL/TLS 配置安性,可以帮助您确认服务器端的 SSL/TLS 配置是否正确。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大草原的小灰灰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值