(D)TLS1.3大揭秘之TLS1.3深入解密

已于 2024-11-05 10:24:00 修改
阅读量2.3k 收藏 4
点赞数 1
分类专栏: TLS 文章标签: tls
于 2021-06-19 12:38:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16106195/article/details/118052182
版权
本文深入解析TLS 1.3中的HKDF算法,包括HKDF-Extract和Derive-Secret操作,以及密钥如何通过这些步骤在握手过程中派生,涉及密钥计算、AEAD算法和0-RTT、密钥更新、会话恢复等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本节主要对TLS1.3协议中比较常见的概念知识进行深入分析。

HKDF算法

密钥派生是将一个密钥生成一个或者多个密钥。在TLS1.2协议中使用的是伪随机数生成函数(PRF),该函数基于SHA256或更高强度的单向散列算法。而在TLS1.3协议中使用的是RFC5869中定义的HKDF算法(HMAC-based Extract-and-Expand Key Derivation Function),其是基于HMAC的密钥派生方法。

HKDF计算分为两步:Extract和Expand,HKDF实现可参考OpenSSL_HKDF

Extract

   HKDF-Extract(salt, IKM) -> PRK

   Options:
      Hash     a hash function; HashLen denotes the length of the
               hash function output in octets

   Inputs:
      salt     optional salt value (a non-secret random value);
               if not provided, it is set to a string of HashLen zeros.
      IKM      input keying material

   Output:
      PRK      a pseudorandom key (of HashLen octets)

   The output PRK is calculated as follows:

   PRK = HMAC-Hash(salt, IKM)

可以看出,HKDF的Extract操作就是HMAC计算。以HMAC-SHA256为例,输入参数为:salt盐,如未提供,就是默认设置32字节的全0;IKM,输入密钥材料。输出为32字节的伪随机密钥。

Expand

   HKDF-Expand(PRK, info, L) -> OKM

   Options:
      Hash     a hash function; HashLen denotes the length of the
               hash function output in octets
   Inputs:
      PRK      a pseudorandom key of at least HashLen octets
               (usually, the output from the extract step)
      info     optional context and application specific information
               (can be a zero-length string)
      L        length of output keying material in octets
               (<= 255*HashLen)
   Output:
      OKM      output keying material (of L octets)

   The output OKM is calculated as follows:

   N = ceil(L/HashLen)
   T = T(1) | T(2) | T(3) | ... | T(N)
   OKM = first L octets of T

   where:
   T(0) = empty string (zero length)
   T(1) = HMAC-Hash(PRK, T(0) | info | 0x01)
   T(2) = HMAC-Hash(PRK, T(1) | info | 0x02)
   T(3) = HMAC-Hash(PRK, T(2) | info | 0x03)
   ...

可以看出,HKDF的Expand操作仍然是做HMAC计算。仍以HMAC-SHA256为例,输入参数为:PRK,至少为32字节的伪随机密钥,通常是Extract步骤的输出;info,可选的值,可以是"",L,期望的输出密钥材料长度(小于255*32字节)。输出参数为长度L字节的密钥材料。假定要Expand出48自己的密钥,计算步骤为:求轮数N=ceil(48/32)=2(+1取整);T(0)=空,长度为0;T(1)=HMAC-SHA256(PRK, T(0) | info | 0x01),第二个参数为T(0),info,轮数0x01组合而成;T(2)=HMAC-SHA256(PRK, T(1) | info | 0x02),第二个参数为T(0),info,轮数0x02组合而成;OKM= T(1) | T(2)组合而成64字节的前48字节数据。

密钥计算

在TLS1.3握手阶段过程中,不同的秘密参数用于生成实际使用的密钥材料。由于握手过程中SeverHello和ClientHello都使用了随机数,因此每个traffic secrets均不相同。

密钥方案

TLS1.3的密钥派生过程充分利用HKDF算法。这里定义的两个计算操作:HKDF-ExtractDerive-Secret。HKDF-Extract就是上一部分HKDF算法中Extract步骤,而Derive-Secret定义如下(摘自RFC8446的7.1节):

Derive-Secret(Secret, Label, Messages) = 
HKDF-Expand-Label(Secret, Label, Transcript-Hash(Messages), Hash.length)

而HKDF-Expand-Label定义为:

HKDF-Expand-Label(Secret, Label, Context, Length) =
HKDF-Expand(Secret, HkdfLabel, Length)

其中HkdfLablel定义为:

struct {
    uint16 length = Length;
    opaque label<7..255> = "tls13 " + Label;
    opaque context<0..255> = Context;
} HkdfLabel;

因此最终定定义为:

Derive-Secret(Secret, Label, Messages) = HKDF-Expand(Secret, HkdfLabel, Hash.length)
HkdfLabel = Hash.length + Label.length + "tls13 " + Label + Hash.length + Transcript-Hash(Messages)

下图为TLS1.3握手过程中密钥派生方案图:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ngb1G9FD-1624077457869)(images/密钥派生图.bmp)]

该图画的理解起来很困难,我们需要从横向和纵向进行单独分析,其中0表示输入HKDF-Extract的salt为全0字串。

从竖向来看:

  1. PSK作为IKM,0作为salt输入HKDF-Extract函数得到输出Early Secret
  2. Early Secret作为Secret,“derived”作为Label,“”作为Messages输入Derive-Secret函数得到一个临时密钥材料1;
  3. 将**(EC)DHE密钥协商出来的密钥作为IKM,将临时密钥材料1作为salt输入HKDF-Extract函数得到输出Handshake Secret**;
  4. 同理,将Handshake Secret作为Secret,“derived”作为Label,“”作为Messages输入Derive -Secret函数得到又一个临时密钥材料2
  5. 同理,将0作为IKM,将临时密钥材料2作为salt输入HKDF-Extract函数得到输出Master Secret

从横向来看:

  1. 对于Early Secret,使用Derive-Secret函数可以得到不同的secretbinder_keyclient_early_traffic_secretearly_exporter_master_secret
  2. 同理对于Handshake Secret,可以得到:**client_handshake_traffic_secret **,server_handshake_traffic_secret
  3. 同理对于Master Secret,可以得到:client_application_traffic_secret_0server_application_traffic_secret_0exporter_master_secretresumption_master_secret

其实输出的这些Secret并不是用作加密数据的密钥,可以理解为为了计算密钥Key而产生的临时变量。

Traffic密钥计算

真正用于加解密用的密钥计算如下:

[sender]_write_key = HKDF-Expand-Label(Secret, "key", "", key_length)
[sender]_write_iv = HKDF-Expand-Label(Secret, "iv", "", iv_length)

其中sender表示发送方,即客户端或者服务端发送方向和接收方向使用不同的密钥,不同记录层的Secret值如下

+-------------------+---------------------------------------+
| Record Type 		| Secret 								|
+-------------------+---------------------------------------+
| 0-RTT Application | client_early_traffic_secret 			|
| Handshake 		| [sender]_handshake_traffic_secret 	|
| Application Data 	| [sender]_application_traffic_secret_N |
+-------------------+---------------------------------------+

AEAD算法

AEAD(authenticated encryption with asociated data)即使用关联数据的认证加密算法,详见RFC5116。TLS1.3协议强制使用AEAD算法来对记录层负载进行保护,常见为AES-CCM和AES-GCM算法。

TLS1.3用于AEAD操作的明文和密文结构如下(摘自RFC8446的5.2节):

struct {
    opaque content[TLSPlaintext.length];
    ContentType type;
    uint8 zeros[length_of_padding];
} TLSInnerPlaintext;
struct {
    ContentType opaque_type = application_data; /* 23 */
    ProtocolVersion legacy_record_version = 0x0303; /* TLS v1.2 */
    uint16 length;
    opaque encrypted_record[TLSCiphertext.length];
} TLSCiphertext;

以下TODO。

会话恢复

0-RTT

密钥更新

Binder

[密码学实战]Java实现国密TLSv1.3单向认证
曼岛_的博客
03-08 475
[密码学实战]Java实现国密TLSv1.3单向认证
Windows系统启用TLS1.2和TLS1.3详解(TLS漏洞修复)
August_Leaf的博客
08-26 9921
在公司的安全扫描中,发现TLS漏洞(TLS Version 1.0 Protocol Detection)(TLS Version 1.1 Deprecated Protocol),漏洞描述是说服务器中使用低版本的TLS协议(服务器中默认使用TLS1.0和TLS1.1版本)。经过检索后,发现没有能解决问题的,什么改浏览器设置都是扯淡。因此,总结出TLS协议升级的流程以供参考。
TLS1.3 协议介绍
狗子身上有太阳
11-13 2175
一、 协议介绍 TLS(Transport Layer Security )的中文全称是安全传输层协议,TLS的设计目标是在传输层之上,构建一个安全传输层。 因为有了TLS的存在,HTTP协议栈增加了安全性。变成了目前规模使用的HTTPS。SSL是TLS的前身。在TLS1.3发布之前,TLS 1.2是该协议的最新版本。TLS是保护Web应用程序和Web浏览器之间通信的标准,但更常见的是通常位于可...
Wireshark解密TLSv1.3加密流量
热爱学习,喜欢折腾!
03-23 4052
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的途径取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。
TLS 1.3 协议详解
热门推荐
Network/Storage/Linux Kernel
08-09 3万+
TLS 1.3 握手流程详解 需要的背景知识: (1):对 TLS 1.2 协议有一定程度的了解,包括秘钥交换、会话复用等。 第一节 TLS 1.3 的握手概述 协议分析的第一步就是看报文。TLS 1.3的报文,有个特点,就是通过抓包发现,只能看到明文的Client Hello和Server Hello,其余的握手报文均被加密。 1-RTT 如图: 图1 条件:无条...
(D)TLS1.3揭秘TLS1.3总体概览
qq_16106195的博客
06-19 3868
SSL/TLS SSL/TLS是应用最广泛的密码通信方法。SSL/TLS一种为计算机网络提供通信安全的加密协议,即扮演着将各种密码技术组合起来的“框架”角色。最常见就是互联网协议HTTPS,此外还有物联网方向的CoAPs,MQTTs等。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-E3z12PwT-1624077376727)(images/https.png)] SSL(Secure Socket Layer)最初是网景公司设计的,一直迭代到SSL3.0协议版本。而TLS
科普:什么是TLS1.3
TrustAsia的博客
07-24 4074
TLS1.3是一种新的加密协议,它既能提高各地互联网用户的访问速度,又能增强安全性。 我们在访问许多网页的时候,常常会在浏览器的地址栏上看到一个锁的图标,并使用“https”代替传统的“http”。这里的“s”代表着安全。当你连接到一个HTTPS站点时,你和该站点之间的通信会被加密,这会显著提高浏览的安全性,使你的通信避开那些窥视的眼睛,并防止恶意代码的注入。HTTPS不仅应用于网站,还保护
【Python TLS握手机制揭秘】:如何保障加密通信安全
[【Python TLS握手机制揭秘】:如何保障加密通信安全](https://community.fortinet.com/legacyfs/online/images/kb_15969_3.png) # 1. Python中的TLS握手概述 TLS(Transport Layer Security)握手是建立加密通信的...
TLS握手过程深度剖析:揭秘TLS安全通信的核心秘密
传输层安全协议(TLS)握手协议是保证数据传输安全的关键机制,它确保了客户端和服务器之间数据交换的机密性和完整性。通过握手过程,双方协商加密参数,验证彼此的身份,并建立一个安全的会话。虽然TLS握手发生在...
TLS握手到恢复】:揭秘TLS会话全过程的秘诀
[【TLS握手到恢复】:揭秘TLS会话全过程的秘诀](https://i0.wp.com/www.ntop.org/wp-content/uploads/2020/02/TLS_Client_Fingerprinting.png?resize=988%2C410&ssl=1) # 摘要 TLS(传输层安全)握手协议是确保网络...
TLS案例分析:安全事件背后的配置失误揭秘
[TLS案例分析:安全事件背后的配置失误揭秘](https://www.thesslstore.com/blog/wp-content/uploads/2018/03/TLS_1_3_Handshake.jpg) # 1. TLS概述及其安全重要性 TLS(传输层安全性协议)是互联网安全通信的关键...
TLS1.3规范
06-15
TLS1.3草拟规范,供提前研究
TLS1.3双方使用证书身份认证的密钥导出详细过程.docx
11-09
TLS1.3通信中,使用双方数字证书进行身份认证,在一个完整的通信中计算出所有的密钥,在计算每个密钥的过程中,对所用到的输入以及各种条件进行详细地说明,感兴趣的爱好者可以借鉴,希望能对你有所帮助。
TLS_SSL安全密钥】:揭秘如何通过密码学保护你的gRPC连接
为了保证数据在传输过程中的安全,gRPC在设计之初就内置了对TLS/SSL的支持。TLS(传输层安全性协议)和SSL(安全套接层协议)是目前广泛使用的加密协议,它们提供了数据加密、身份验证和数据完整性校验等功能。 TLS...
TLS1.3规范(RFC文档)
Joe's Blog
01-05 1万+
The Transport Layer Security (TLS) Protocol Version 1.3 (draft-ietf-tls-tls13-latest) TLS支持三种基本的密钥交换模式: (EC)DHE (Diffie-Hellman both the finite field and elliptic curve varieties),PSK-onl
HTTPS之TLS1.3对比TLS1.2协议
最新发布
m0_69695971的博客
12-22 1215
学习TLS1.3
tls1.3【转载】
llzhang_fly的博客
08-29 2094
该文档定义了TLS(Transport Layer Security)协议的1.3版本。TLS可以让C/S应用在互联网上通过一种能抵御信息泄露、破坏或篡改的方式安全通信。该文档更新了RFC 5705和6066,废弃了RFC 5077、5246、6961。也对TLS1.2的实现做了些新的规定。TLS的首要目标在两个通信端点之间提供一个安全通道;对底层传输通道的唯一要求就是传输可靠、没有乱序。可鉴别:server端总是可被鉴别,client端可选被鉴别。...
TLS1.3 概述
qq_35324057的博客
04-08 8403
TLS1.3的最终版本,在2018年8月发布,它包含着很多不同以往版本的改进,相对于之前版本安全性以及性能具有极的提高,同时它也具备了更多的扩展和握手模式,那么从实现完整TLS1.3结构的角度去学习TLS,我们应该从哪些方面入手呢? 什么是TLS TLS代表传输层安全性,并且是SSL(安全套接字层)的后继者。TLS提供了Web浏览器和服务器之间的安全通信。连接本身是安全的,因为使用对称密码...
某些加密协议(如TLS 1.3)采用了更严格的加密标准,使得检测更加困难
图幻未来的博客
08-06 654
随着互联网技术的快速发展,网络安全问题日益严峻。加密协议作为一种有效的安全防护手段,已经被广泛应用于保障网络通信的安全。然而,一些新型加密协议(如TLS 1.3)采用了更严格的加密标准,使得检测变得更加困难。本文将分析这类加密协议所带来的安全隐患,并探讨AI技术在网络安全领域的应用场景,以期为解决这些问题提供参考。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值