(D)TLS1.3大揭秘之TLS1.3深入解密

最新推荐文章于 2024-06-01 15:25:37 发布
最新推荐文章于 2024-06-01 15:25:37 发布
阅读量1.4k 收藏 4
点赞数 1
分类专栏: TLS 文章标签: tls
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16106195/article/details/118052182
版权

本节主要对TLS1.3协议中比较常见的概念知识进行深入分析。

HKDF算法

密钥派生是将一个密钥生成一个或者多个密钥。在TLS1.2协议中使用的是伪随机数生成函数(PRF),该函数基于SHA256或更高强度的单向散列算法。而在TLS1.3协议中使用的是RFC5869中定义的HKDF算法(HMAC-based Extract-and-Expand Key Derivation Function),其是基于HMAC的密钥派生方法。

HKDF计算分为两步:Extract和Expand,HKDF实现可参考OpenSSL_HKDF

Extract

   HKDF-Extract(salt, IKM) -> PRK

   Options:
      Hash     a hash function; HashLen denotes the length of the
               hash function output in octets

   Inputs:
      salt     optional salt value (a non-secret random value);
               if not provided, it is set to a string of HashLen zeros.
      IKM      input keying material

   Output:
      PRK      a pseudorandom key (of HashLen octets)

   The output PRK is calculated as follows:

   PRK = HMAC-Hash(salt, IKM)

可以看出,HKDF的Extract操作就是HMAC计算。以HMAC-SHA256为例,输入参数为:salt盐,如未提供,就是默认设置32字节的全0;IKM,输入密钥材料。输出为32字节的伪随机密钥。

Expand

   HKDF-Expand(PRK, info, L) -> OKM

   Options:
      Hash     a hash function; HashLen denotes the length of the
               hash function output in octets
   Inputs:
      PRK      a pseudorandom key of at least HashLen octets
               (usually, the output from the extract step)
      info     optional context and application specific information
               (can be a zero-length string)
      L        length of output keying material in octets
               (<= 255*HashLen)
   Output:
      OKM      output keying material (of L octets)

   The output OKM is calculated as follows:

   N = ceil(L/HashLen)
   T = T(1) | T(2) | T(3) | ... | T(N)
   OKM = first L octets of T

   where:
   T(0) = empty string (zero length)
   T(1) = HMAC-Hash(PRK, T(0) | info | 0x01)
   T(2) = HMAC-Hash(PRK, T(1) | info | 0x02)
   T(3) = HMAC-Hash(PRK, T(2) | info | 0x03)
   ...

可以看出,HKDF的Expand操作仍然是做HMAC计算。仍以HMAC-SHA256为例,输入参数为:PRK,至少为32字节的伪随机密钥,通常是Extract步骤的输出;info,可选的值,可以是"",L,期望的输出密钥材料长度(小于255*32字节)。输出参数为长度L字节的密钥材料。假定要Expand出48自己的密钥,计算步骤为:求轮数N=ceil(48/32)=2(+1取整);T(0)=空,长度为0;T(1)=HMAC-SHA256(PRK, T(0) | info | 0x01),第二个参数为T(0),info,轮数0x01组合而成;T(2)=HMAC-SHA256(PRK, T(1) | info | 0x02),第二个参数为T(0),info,轮数0x02组合而成;OKM= T(1) | T(2)组合而成64字节的前48字节数据。

密钥计算

在TLS1.3握手阶段过程中,不同的秘密参数用于生成实际使用的密钥材料。由于握手过程中SeverHello和ClientHello都使用了随机数,因此每个traffic secrets均不相同。

密钥方案

TLS1.3的密钥派生过程充分利用HKDF算法。这里定义的两个计算操作:HKDF-ExtractDerive-Secret。HKDF-Extract就是上一部分HKDF算法中Extract步骤,而Derive-Secret定义如下(摘自RFC8446的7.1节):

Derive-Secret(Secret, Label, Messages) = 
HKDF-Expand-Label(Secret, Label, Transcript-Hash(Messages), Hash.length)

而HKDF-Expand-Label定义为:

HKDF-Expand-Label(Secret, Label, Context, Length) =
HKDF-Expand(Secret, HkdfLabel, Length)

其中HkdfLablel定义为:

struct {
    uint16 length = Length;
    opaque label<7..255> = "tls13 " + Label;
    opaque context<0..255> = Context;
} HkdfLabel;

因此最终定定义为:

Derive-Secret(Secret, Label, Messages) = HKDF-Expand(Secret, HkdfLabel, Hash.length)
HkdfLabel = Hash.length + Label.length + "tls13 " + Label + Hash.length + Transcript-Hash(Messages)

下图为TLS1.3握手过程中密钥派生方案图:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ngb1G9FD-1624077457869)(images/密钥派生图.bmp)]

该图画的理解起来很困难,我们需要从横向和纵向进行单独分析,其中0表示输入HKDF-Extract的salt为全0字串。

从竖向来看:

  1. PSK作为IKM,0作为salt输入HKDF-Extract函数得到输出Early Secret
  2. Early Secret作为Secret,“derived”作为Label,“”作为Messages输入Derive-Secret函数得到一个临时密钥材料1;
  3. 将**(EC)DHE密钥协商出来的密钥作为IKM,将临时密钥材料1作为salt输入HKDF-Extract函数得到输出Handshake Secret**;
  4. 同理,将Handshake Secret作为Secret,“derived”作为Label,“”作为Messages输入Derive -Secret函数得到又一个临时密钥材料2
  5. 同理,将0作为IKM,将临时密钥材料2作为salt输入HKDF-Extract函数得到输出Master Secret

从横向来看:

  1. 对于Early Secret,使用Derive-Secret函数可以得到不同的secretbinder_keyclient_early_traffic_secretearly_exporter_master_secret
  2. 同理对于Handshake Secret,可以得到:**client_handshake_traffic_secret **,server_handshake_traffic_secret
  3. 同理对于Master Secret,可以得到:client_application_traffic_secret_0server_application_traffic_secret_0exporter_master_secretresumption_master_secret

其实输出的这些Secret并不是用作加密数据的密钥,可以理解为为了计算密钥Key而产生的临时变量。

Traffic密钥计算

真正用于加解密用的密钥计算如下:

[sender]_write_key = HKDF-Expand-Label(Secret, "key", "", key_length)
[sender]_write_iv = HKDF-Expand-Label(Secret, "iv", "", iv_length)

其中sender表示发送方,即客户端或者服务端发送方向和接收方向使用不同的密钥,不同记录层的Secret值如下

+-------------------+---------------------------------------+
| Record Type 		| Secret 								|
+-------------------+---------------------------------------+
| 0-RTT Application | client_early_traffic_secret 			|
| Handshake 		| [sender]_handshake_traffic_secret 	|
| Application Data 	| [sender]_application_traffic_secret_N |
+-------------------+---------------------------------------+

AEAD算法

AEAD(authenticated encryption with asociated data)即使用关联数据的认证加密算法,详见RFC5116。TLS1.3协议强制使用AEAD算法来对记录层负载进行保护,常见为AES-CCM和AES-GCM算法。

TLS1.3用于AEAD操作的明文和密文结构如下(摘自RFC8446的5.2节):

struct {
    opaque content[TLSPlaintext.length];
    ContentType type;
    uint8 zeros[length_of_padding];
} TLSInnerPlaintext;
struct {
    ContentType opaque_type = application_data; /* 23 */
    ProtocolVersion legacy_record_version = 0x0303; /* TLS v1.2 */
    uint16 length;
    opaque encrypted_record[TLSCiphertext.length];
} TLSCiphertext;

会话恢复

0-RTT

密钥更新

Binder

ersion = 0x0303; /* TLS v1.2 */
uint16 length;
opaque encrypted_record[TLSCiphertext.length];
} TLSCiphertext;




# 会话恢复

# 0-RTT

# 密钥更新

# Binder
安全有理
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TLS1.3抓包分析(3)——EncryptedExtentions等
汪哈哈zzz
03-12 2498
其实在最开始抓包的时候就发现了一个问题,就是在ChangeCipherSpec消息之后,没有加密扩展、证书,甚至Finished消息都没有。在握手过程中,Finished消息是一定存在的,所以说明用Wireshark抓的包存在问题,之前提到过,ChangeCipherSpec之后的消息都是进行加密了的,所以可能是因为Wireshark没有对后续的消息进行解密,所以只是显示了ApplicationD...
TLS1.3TLS1.2的区别
汪哈哈zzz
05-04 1万+
TLS1.3TLS1.2的区别 1、密钥协商机制改变,TLS1.3借助扩展进行密钥交换,TLS1.3只需要三次握手交互,TLS1.2则需要四次握手。 首先看TLS1.2,它通过KeyExchange进行密钥协商,即ServerKeyExchange和ClientKeyExchange,那么密钥交换本身就需要一个交互来回,所以总共有四次握手交互。 再看TLS1.3,通过ClientHello和S...
解密SSL/TLS:密码套件扫描仪的深度解析(C/C++代码实现)
chen1415886044的博客
05-06 1222
SSL/TLS协议是网络安全中不可或缺的一部分,它们为网络通信提供了传输层的数据安全。 首先,来了解一下SSL和TLS的概念。SSL(安全套接字层)是一种早期的安全协议,它的主要目的是在Web服务器和Web浏览器之间创建加密连接。而TLS(传输层安全性)是SSL的后继者,它在SSL的基础上进行了改进和标准化,目前被广泛使用以确保互联网通信的私密性和数据安全性。 接下来,深入探讨一下SSL/TLS协议的基础构成。SSL/TLS协议主要分为两层,底层是记录协议,负责使用对称密码对消息进行加密。
TLS协议中PRF和TLS1.3中的HKDF
Network/Storage/Linux Kernel
04-23 9323
TLS 协议中 PRF 和 TLS 1.3 中的 HKDF TLS 1.0/1.1/1.2协议中,使用了PRF算法进行 key derive。 TLS 1.3中使用了标准的HKDF来进行key derive。 这里大概先回顾一下 &amp;amp;lt;= TLS 1.2 时密钥导出流程和PRF算法使用场景。 然后再说一下 TLS 1.3 中的HKDF 算法 流程。 PRF算法: PRF算法可以生...
prometheus监控Oracle
最新发布
weixin_45767577的博客
06-01 334
【代码】prometheus监控Oracle。
Wireshark解密TLSv1.3加密流量
热爱学习,喜欢折腾!
03-23 2514
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的途径取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。
TLS1.3---密钥的计算
qq_35324057的博客
04-27 4147
TLS1.2中的PRF 通过对TLS1.2的学习,我了解到其中具有三种密钥:预主密钥、主密钥和会话密钥。 在其握手过程中,客户端和服务器都会根据密码套件生成自己的临时公私钥对,并且将公钥发送给对方,当客户端接收到服务器的公钥时,会生成预主密钥。 之后客户端会使用PRF函数计算出主密钥发送给服务器,计算时需要三个输入: 预主密钥 客户端生成的随机数 服务器生成的随机数 如果使用的是RSA,那么预...
TLS1.2 和 TLS1.3的简要区别
热门推荐
weixin_43408952的博客
05-12 2万+
TLS1.3的握手流程
浅谈 TLS 1.3
小米云技术
12-26 1876
本文主要从TLS 1.3的优势、部署和时间发展线介绍了这种用于为计算机网络通信提供安全性的密码协议TLS。 上篇文章回顾:浅谈DHCP协议    TLS简介 按照维基百科的定义,TLS 是一种用于为计算机网络通信提供安全性的密码协议,其前身安全套接层(SSL)想必很多人都听说过。TLS 被广泛应用于基于 IP 的网络协议,如 HTTP、SMTP、FTP 等。最近几年内,Let's En...
如何让Nginx快速支持TLS1.3协议详解
09-30
【如何让Nginx快速支持TLS1.3协议详解】 Nginx 是一款广泛应用的高性能Web服务器和反向代理服务器,其对TLS(Transport Layer Security)协议的支持是保证网络安全的重要一环。TLS 1.3是最新且最安全的TLS协议版本...
TLS 1.3 CertificateVerify消息认证的一点心得.docx
11-08
TLS 1.3 CertificateVerify 消息认证的一点心得 TLS 1.3 CertificateVerify 消息认证是 TLS 1.3 协议中的一个重要组成部分,它用于身份验证和密钥交换。在 TLS 1.3 中,CertificateVerify 消息包含了签名算法和签名...
TLS1.3(RFC8446) - 翻译版 .docx
05-30
TLS 1.3 (RFC8446) - 翻译版 TLS 1.3 是一种安全的 Internet 通信协议,旨在为通信双方提供一个安全的通道。它是 RFC5705 和 RFC6066 的更新版,并淘汰了 RFC5077、RFC5246 和 RFC6961。TLS 1.3 由两个主要部分构成...
TLS1.3双方使用证书身份认证的密钥导出详细过程.docx
11-09
TLS1.3 双方使用证书身份认证的密钥导出详细过程 本文将详细介绍 TLS1.3 双方使用证书身份认证的密钥导出过程,从 Early Secret 到 Handshake Secret 的计算过程,包括 HKDF-Extract 和 HKDF-Expand 函数的使用。 ...
nginx-1.16.1-TLS1.3-http2
01-05
`nginx-1.16.1-TLS1.3-http2` 是一个特别构建的 Nginx 版本,集成了最新的 TLS 1.3 安全协议和 HTTP/2 协议,旨在为用户提供更高效、更安全的 HTTPS 访问体验。 **Nginx:高性能Web服务器与反向代理** Nginx 是一...
RFC8446_TLS1.3
11-09
各大浏览器、操作系统和网络应用均已支持TLS 1.3,这表明了行业对其的认可和支持。 #### 五、结论 TLS 1.3 是一个重要的里程碑,它不仅提高了互联网通信的安全性,还简化了连接建立过程,提升了用户体验。随着更多...
TLS1.3协议英文版,含页签
04-08
TLS1.3协议是互联网上广泛使用的一种安全传输层协议。TLS全称为Transport Layer Security,是IETF(互联网工程任务组)制定的一种用于保证互联网通信安全的协议。TLS协议的主要作用是在客户端和服务器之间建立一个...
理解HTTPS/TLS/SSL(二)可视化TLS握手过程并解密加密数据
特别享受思考问题的过程
09-16 1489
已经在本地使用了生成自签名证书,并使浏览器认为该证书是合法的,并且可以看到有了HTTPS,通过WireShark抓出来的包看不到请求内容和响应内容了。看了网上很多分析HTTPS握手的文章,每次看过之后,总是过段时间就忘记了,所以自己决定动手抓下包,看下整个过程。
你了解TLS协议吗?
了不起的盖茨比的博客
06-22 1471
前面的博客我们介绍了对应的网络的一些协议,比如说HTTP1协议,还有就是WebSocket协议,同时还HTTP2协议,今天我们要介绍对应的TLS/SSL协议。TLS设计目的TLS/SSL发展TLS协议Record记录协议Handshake握手协议TLS安全密码套件解读对称加密AES对称加密在网络中的应用对称加密与XOR异或运算填充padding位填充:以bit位为单位来填充字节填充:以字节为单位为填充分组工作模式 block cipher mode of operationECB(Electronic co
TLS1.3 抓包分析
SkyChaserYu的博客
04-29 7332
一、TLS1.3抓包分析——ClientHello 抓包使用的是WireShark2.6.7,抓包内容为https://tls13.crypto.mozilla.org/(Mozilla的TLS1.3测试页面),浏览器为chrome(需开启TLS1.3),这里我先给出抓包结果: wireshark抓包 本次从握手的第一步开始分析,即ClientHello,下面是ClientHel...
TLS1.2和TLS1.3握手区别
06-09
TLS(Transport Layer Security)是一种加密通信协议。TLS1.2和TLS1.3TLS协议的两个版本,TLS1.3TLS1.2的最新版本,相比之下,TLS1.3在握手过程中有以下几个主要的区别: 1. 消息数:TLS1.2握手需要两个往返(2-RTT),而TLS1.3握手只需要一个往返(1-RTT),这意味着TLS1.3握手可以更快地完成。 2. 密钥交换算法:TLS1.2和TLS1.3都支持多种密钥交换算法,但TLS1.3强制使用了“DH”或“ECDH”密钥交换算法,而不再支持“RSA”密钥交换算法,因为“RSA”易受中间人攻击。 3. 密钥派生方式:TLS1.2使用的是基于MD5和SHA-1的PRF(伪随机函数),而TLS1.3使用基于HMAC的HKDF(哈希密钥派生函数)。HKDF更安全,不容易受到MD5和SHA-1的弱点的影响。 4. 算法套件:TLS1.3取消了一些不安全或不常用的加密算法,只支持更安全的加密算法。 总的来说,TLS1.3在加密安全性、握手效率和性能方面都有所提升。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值