grpc-go源码剖析九十二之tls握手的本质是什么?tls1.2版本为什么为tls1.3版本多来一次握手呢?

已于 2022-07-03 08:56:47 修改
阅读量311 收藏
点赞数
文章标签: golang grpc grpc-go grpc-go源码 微服务
于 2021-10-18 08:45:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011582922/article/details/120819492
版权

已发表的技术专栏
0  grpc-go、protobuf、multus-cni 技术专栏 总入口

1  grpc-go 源码剖析与实战  文章目录

2  Protobuf介绍与实战 图文专栏  文章目录

3  multus-cni   文章目录(k8s多网络实现方案)

4  grpc、oauth2、openssl、双向认证、单向认证等专栏文章目录)

首先客户端跟服务器端握手的最终目的是

为了协商出一个对称秘钥,

典型的秘钥协商算法有两种:

  • RSA算法
  • ECDH算法;
1) RSA的秘钥协商过程,

RSA算法给予server端一个公钥和私钥,一段消息既可以用公钥加密,然后用私钥解密,也可以用私钥加密,用公钥解密。公钥是什么呢?

你可以理解成服务器从CA那得到的证书。

好,我们来看下TLS1.2的秘钥协商过程,

  • client发一个client_hello,
  • server端收到这个消息后,回传一个server_hello,一个证书,
  • client收到证书后,用公钥(也就是证书)加密一段随机数发回给server,
  • server收到后用私钥解密得到这段随机数,这段随机数就作为对称加密的秘钥了,至此握手就完成。
2) ECDH的秘钥协商过程,

首先EC的意思是椭圆曲线,

  • 这个EC提供了一个特性,在椭圆曲线上找一个点P,给定一个整数K,求解Q=KP很容易,但是给定一个点P,Q,知道Q =KP,求K却是个难题。
  • 在这个背景下,给定一个大家都知道的大数G,client在每次需要和server协商秘钥时,生成一段随机数a,然后发送A=a*G给server,
  • server收到这段消息(aG)后,生成一段随机数b,然后发送B=bG给client,然后server端计算(a*G)*b作为对称秘钥,
  • client端收到后bG后计算a(G*b),
  • 因为(aG)b = a(Gb),所以对称秘钥就是aGb啦,攻击者只能截获A=aG和B=bG,由于椭圆曲线难题,知道A和G是很难计算a和b的,也就无法计算aGb了

这块内容是我参考下面的博客内容,可能有助于大家的理解:

https://blog.csdn.net/zk3326312/article/details/80245756?utm_source=app&app_version=4.5.8
https://blog.csdn.net/mrpre/article/details/81532469?utm_source=app&app_version=4.5.8
https://www.jianshu.com/p/af8cc2db51f4/
https://blog.51cto.com/liuzhengwei521/2430427?source=dra

其实,我个人对tls加密过程,还是有很多地方不清楚的。

源代码都可以通过努力来理解,但是缺少的是对tls算法的理解。

代码只是算法的具体实现。

如果大家对tls感兴趣,可以继续研究tls算法。如果对tls算法有很好的认识的话,再看源码会很容易的。

下一篇文章
  数据帧发送阶段来分析grpc框架加密的原理?

码二哥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
grpc-go剖析八十九之tls加密相关介绍以及测试用例介绍
码二哥的技术池
10-13 306
从本节开始,我们介绍加密方面的相关内容。 1、加密介绍? 1.1、加密使用的场景?或者说,一般什么情况下使用加密功能? 如果rpc通信不加密的话,可能存在以下风险: 通信数据可能被窃听、截取、修改、冒充等风险 如果想解决掉这些风险的话,可以使用加密策略,如tls加密。 1.2、加密功能属于链路级别功能,还是流级别功能? 属于链路级别; 对链路加密后,使用此链路的所有rpc请求都会加密。 1.3、grpc框架原生支持哪几类加密? 支持两类加密: a.一类是tls加密; b.一类是alts加密; 只介绍tls
TLS握手协议详解
实践求真知
10-17 1万+
一 点睛 握手协议是TLS握手协议的一部分,负载生成共享密钥以及交换证书。其中,生成共享密钥是为了进行密码通信,交换证书是为了通信双方相互进行认证。 握手协议这一名称中的“握手”,是服务器和客户端在密码通信之间交换一些必要信息这一过程比喻。 由于握手协议的信息交换是在没有加密的情况下进行的(即使用“不加密”这一密码套件),也就是说,在这一协议中所收发的所有数据都可能被窃听者窃听,因此在这一过...
Go中TLS码学习(2)之TLS1.2握手概述
遇见你是我最美丽的意外
05-04 876
快速学习TLS协议握手流程,在此基础上深入学习握手过程中的详细处理流程
gRpc中的TLS验证
向宪章的博客
06-07 2122
/*-=权认证 gRpc中默认支持两种授权,SSL/TLS认证方式、基于Token的认证方式 1.1 SSL/TLS认证方式 SSL全称是Secure Sockets Layer,又被称之为安全套接字层,是一种标准安全协议,用于在通信过程中建立客户端与服务器之间的加密连接。 TLS的全称是Transport Layer Security,TLS是SSL的升级版本。在使用额过程中,往往习惯于将SSL和TLS组合在一起,统称为SSL/TLS。 简而言之,SSL/TLS是一种用于网络通信中加密的安全协议。 1.2
fizz:TLS-1.3标准的C ++ 14实现
02-15
Fizz是TLS 1.3的实现。 Fizz当前支持TLS 1.3草案28、26(与最终规范有线兼容)和23。支持所有主要的握手模式,包括PSK恢复,早期数据,客户端身份验证和HelloRetryRequest。 更多背景和详细信息,请访问 。 依存关系 Fizz在很大程度上取决于三个库: , 和 。 布局 fizz/crypto :加密原始实现(大多数都包装OpenSSL或libsodium) fizz/record :TLS 1.3记录层解析 fizz/protocol :客户端和服务器之间共享的通用协议代码 fizz/client :客户端协议实现 fizz/server :服务器协议实现 fizz/tool :示例CLI应用程序 设计 核心协议实现在ClientProtocol和ServerProtocol 。 FizzClientContext和FizzServerCo
grpc-tools:一套gRPC调试工具。 像FiddlerCharles一样,但是对于gRPC
05-01
grpc工具 一套用于gRPC调试和开发的工具。 像 / 但是对于gRPC! 主要工具是grpc-dump ,可透明地拦截网络流量,并将所有具有完整元数据的gRPC和gRPC-Web请求记录为JSON。 该流可以按原样轻松读取,也可以使用工具...
grpc-java-1.9.0.zip_grpc-java 1.9.0
09-24
这里的 `grpc-java-1.9.0.zip` 是 `grpc-java` 在 1.9.0 版本代码,对于理解 GRPC 的工作原理、自定义扩展或排查问题非常有帮助。 首先,让我们深入了解 GRPC 的核心概念: 1. **ProtoBuf(Protocol Buffers)...
项目-grpc-grpc-go.zip
10-15
9. `protoc-gen-go/`:gRPC的代码生成工具,将.proto接口定义转换为Go语言的客户端和服务端代码。 gRPC是Google推出的一个高性能、开和通用的RPC框架,基于HTTP/2标准设计,支持多种语言。它提供了一个强大的协议...
TLS1.3 协议的Golang 实现——ClientHello
weixin_33762130的博客
05-10 803
前言 撰写本文时TLS1.3 RFC 已经发布到28版本。以前写过一点密码学及TLS 相关的文章,为了更深入理解TLS1.3协议,这次将尝试使用Go语言实现它。网络上已有部分站点支持TLS1.3,Chrome浏览器通过设置可支持TLS1.3 (draft23),利用这些条件可验证,我们实现的协议是否标准。 完整的实现TLS1.3 工作量很大,概念和细节...
gRPC 如何确认TLS版本
chenwr2018的博客
09-25 1073
一、问题 因客户需求grpc必须支持SSL/TLS1.2以上的版本,之前纳闷没有查看支持TLS版本的选项和宏开关,后续想到可以通过抓包工具获取协议头的信息。 但是我实际通过wireshark模拟抓包数据确不是TLSv1.2,而是TLSv1。 二、原因 后续排查发现,有可能是openssl版本的问题。加密组同事提供的版本是openssl 1.1.0f。 模拟测试了一下。 笔记本(openssl 1.0.1f)运行grpc server PLCN1(系统库 OpenSSL 1.0.1k)运行grpc cli
gRPC 服务使用 TLS 加密
啦啦啦啦 la
03-28 1970
gRPC 服务使用 TLS 加密 gRPC 支持使用 TLS 对请求进行加密 SSL(Secure Socket Layer,安全套接字),是面向连接的网络层和应用层协议之间的一种协议层;SSL 通过互相认证、使用数字签名确保完整性、使用加密确保隐私性,以实现客户端和服务端之间的安全通讯 TLS(Transport Layer Security, 传输层安全协议),用于两个应用程序之间提供保密性和数据完整性 SSL是基于 HTTP 之下 TCP 之上的一个协议层,在SSL更新到3.0时,IETF对SSL3
grpc加TLS加密和令牌认证
金庆的专栏
11-26 7083
grpc加TLS加密和令牌认证 (金庆的专栏 2018.11) 用 golang 创建 grpc 服务,开启 TLS 加密,并采用令牌认证。 然后用 C++ 和 golang 分别创建客户端连接服务器。 参考: https://segmentfault.com/a/1190000007933303 服务器 import ( ... grpc_auth "github.com/grpc-ecos...
openssl 码_OpenSSL支持TLS1.3特性(1)
weixin_39528525的博客
12-06 1075
(点击上方公众号,可快速关注)OpenSSL支持TLS1.3特性:TLS 1.3版本是对规范的重大修改。它到底应该叫TLS2.0还是现在的名字TLS 1.3,还存在一些争论。该版本有重大变化,一些工作方式也非常不同。下面是你可能需要注意的一些问题,简明扼要,不过并不太全面。(1)有一些新的密码套件仅在TLS 1.3下工作。一些旧的密码套件无法用于TLS 1.3连接。(2)新的密码套件定义...
TLS 1.3 协议详解
热门推荐
Network/Storage/Linux Kernel
08-09 3万+
TLS 1.3 握手流程详解 需要的背景知识: (1):对 TLS 1.2 协议有一定程度的了解,包括秘钥交换、会话复用等。 第一节 TLS 1.3 的握手概述 协议分析的第一步就是看报文。TLS 1.3的报文,有个特点,就是通过抓包发现,只能看到明文的Client Hello和Server Hello,其余的握手报文均被加密。 1-RTT 如图: 图1 条件:无条...
gin https tls 禁用某些加密算法
qq_43158436的博客
09-13 1375
公司的一个 https 服务被扫描出了漏洞(SSL/TLS协议信息泄露漏洞(CVE-2016-2183)),需要禁用DES加密,我用gin框架编写的https服务,找了半天没找到相关的设置,因为gin只提供了一个简单的 RunTLS(addr, certFile, keyFile string)方法。 经过对码的琢磨,终于知道怎么设置了,如下: router := gin.New() // 指定tls加密算法 tlsconf := &tls.Config{ PreferServerCipher
聊聊Go与TLS 1.3
TonyBai
01-13 791
除了一些综述类文章和译文,我的文章选题多来于实际工作和学习中遇到的问题。这次我们来聊聊近期遇到一个问题:如何加快基于TLS安全通信的海量连接的建连速度?TLS(Transport Layer Security)传输安全层的下面是TCP层,我们首先可能会想到的是优化内核有关TCP握手的相关参数来快速建立TCP连接,比如:net.ipv4.tcp_max_syn_backlognet.ipv4.tc...
grpc-go剖析
最新发布
09-05
grpc-go是一款受欢迎的Go语言实现的高性能RPC框架,用于构建分布式系统。它基于Google的开框架gRPC,并为Go语言提供了相应的接口和库。下面我将对grpc-go码进行简要剖析。 在grpc-go码中,最重要的是其核心...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码二哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值