之前的文章说的都是RSA加密形式加密密钥,但是这类加密方式都有一个共性问题,你就是前向保密性。当服务端的私钥泄漏了之后,那么所有数据都会泄露,所以DH密钥交换方式就诞生了。
DH密钥交换让通信双方都拥有一对密钥和公钥,当拥有对方的公钥后,可以结合自己的私钥计算出共同的密钥,并以此来做后续通信。
DH密钥交换涉及离散对数:
有了以上这个公式,一职a,i,p时求b是一个十分简单的过程,但是已知b,a,p求i以当前的计算机运算水平是无法完成的。所以通过这个公式就有了DH四次握手。
DH四次握手:
首先客户端向服务器发送请求,请求进行DH连接,发送自己的TLS版本号,加密算法序列套件,以及第一个随机数给服务器。
服务器接收到后,确认TLS版本号,选择何时的加密算法序列,以及生成第二个随机数,同时生成密钥a,以及随机两个数g和p,其中g是底数,p是用于取模的素数。然后将a作为指数g^a(mod p)计算出公钥A,并且申请CA认证后发送给客户端。发送的信息有:g,p,公钥A数字证书,TLS版本确定信息,第二个随机数,加密算法序列。
客户端拿到CA证书后进行鉴别,鉴别成功后取出公钥A,拿出g和p,自己生成一个私钥b,用同样的算法计算出公钥B,然后通过A,g,p,b,第一个随机数,第二个随机数计算出最终密钥,向服务器发送CA认证的公钥B证书,请求切换为对称加密通信模式。
计算方法:
服务器拿到B证书后鉴别,通过的话取出B,结合g,p,a,第一个随机数,第二个随机数计算出相同的最终密钥。向客户端发送确认信息,此时对称加密通信开始。