写在前面:
TLS(安全传输层协议)是HTTPS使用的加密协议,用于在两个通信应用程序之间提供保密性和数据完整性。TLS协议因其保密性、完整性及认证性,至今仍在互联网底层架构中占据重要地位。但随着网络技术的快速更新,TLS也已升级到1.3版本。此版本支持0-rtt,砍掉了aead之外的加密方式,安全性大幅增强。
前段时间在某个项目的投标过程中,我们发现有厂商将TLS1.0技术作为控标参数。虚心请教才知道是将我们半年前已经开源的TLS1.0协议还原而成。哭笑不得之余,我们花了点时间将TLS1.0的技术原理及旁路解密的技术细节完完整整分享出来。尽管到目前为止,这类解密方法已经很少有使用场景,但技术总是基于旧版本做新迭代的,希望这个分享可以给大家提供一点技术思路。
需要特别注意的是,TLS 1.0于1999年发行,至今将近有20年。业内都知道该版本易受各种攻击(如BEAST和POODLE),除此之外,支持较弱加密也是它的弱项,对当今网络连接的安全已失去应有的保护效力。因此,我们恳切建议仍在使用已淘汰的TLS1.0作为“核心技术”的厂商,请尽快升级以提高产品安全性。
此外,我们也已将其开源信息上传至github平台,后续我们也将在网络安全这块进行更多的技术开源,欢迎大家为我们的开源项目点亮小星星:)
上传文档图片可能有遗漏,需了解详细信息可直达本项目GitHub地址:
https://github.com/qssec/TSL-1.0-protocol-bypass-resolution
正文如下: