移动端网络安全-密钥交换的前世今生(4)-番外篇

最新推荐文章于 2023-12-28 03:33:20 发布
最新推荐文章于 2023-12-28 03:33:20 发布
阅读量346 收藏
点赞数
分类专栏: 移动端开发 安全性 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhoujabcd/article/details/102924523
版权

前言:上一篇提到了https依旧会有受到中间人攻击的风险,这一篇就来讲一下中间人攻击和相关的应对方法:ssl-pinning

中间人攻击

中间人攻击(Man-in-the-Middle Attack, MITM)是一种由来已久的网络入侵手段,常见的方式如SMB会话劫持、DNS欺骗等攻击都是典型的MITM攻击等。这里就部展开细讲,主要讲一下在https环境下,如何实现中间人攻击。

记得上一篇有提到,一般的CA证书有包含了证书拥有者身份信息,那中间人是如何“冒充”的呢?

  1. 大量的应用在证书检验方面做的都不够,很多只是简单判断证书是不是权威CA机构颁发,证书是否过期等等。
  2. 一些第三方的系统(Android中风行一时的三方ROM),会在系统中内置一些伪造的受信任证书。

这些因素就给图谋不轨者有机可乘

借用网络上的一张图片来说明下:

简单来说,中间人在获得用户的请求后,把自己伪装成用户想要通讯的服务期,将自己的证书发送给用户,同时,向真正的服务器提交访问请求。用户在收到了中间人的证书后,由于之前提到的一些原因,并没有验证出现在通讯的对象并非真正想要通讯的服务器,并完成了和中间人的握手后开始正常的通讯。而中间人在获得了用户的信任之后,也已经完成和真正的服务期的握手(将自己伪装成一个普通用户)。这时,中间人对于两头的通讯都是透明的,它将用户的通讯数据用自己的私钥解密,获取内容后,再用从服务器获取的公钥加密,发送给服务器后,并获取服务器返回的数据。这期间,用户和服务器的数据都能正常交换,并不会感知到任何问题,但其实中间人已经获取了全部信息的内容。

ssl-pinning

ssl-pinning的原理其实很简单,既然证书可能被伪造,那就干脆将服务端证书一块打包到客户端里。这样在https建立时与服务端返回的证书比对一致性(对公钥进行指纹算法),进而识别出中间人攻击。

不过这个方案有一个需要注意的地方,就是证书的过期时间。因为证书和客户端一起打包的关系,证书一旦过期,服务端重新申请证书后,客户端在验证证书有效性时就会出现问题。这个问题的解决方案是客户端不验证证书有效期,并且服务器在续期证书时,选择不更换公钥(这样公钥的指纹就不会变化)。

写在最后

关于移动端密钥交换的内容差不多就写到这里,本人也是在不断的学习和探索中,也希望大家能多沟通和交流。

拿铁先生
关注
专栏目录
移动端网络安全-密钥交换前世今生(3)
zhoujabcd的博客
10-29 371
前言:之前的两篇,主要讲了DH和ECDH两种交换协议。今天来讲一个比较古老,但却使用很广泛的密钥交换方式:RSA 非对称加密算法:RSA 相信熟悉加密算法的同学对RSA这个词并不陌生,RSA是一种比较知名的非对成加密算法。那么,它和密钥交换协议有什么关系呢?实际上,早期的SSL/TLS使用的,就是RSA的密钥交换方式。 首先,我们先来回顾一下RSA算法: 摘录百度的一段话: R...
移动端网络安全-密钥交换前世今生(1)
zhoujabcd的博客
10-19 316
前言:在那个https还没有普及的黑暗年代,混沌的大地充斥着各种危险的明文传输(抱歉,中二了)。相信很多软件开发人员都遇到过通信加密的问题,早期的一些做法,只是简单的将对称加密的密钥写死在客户端中,通过对称加密的方式进行数据传输加密。然而这样的方案问题也十分明显,一旦客户端被反编译,密钥泄露,那么几乎所有客户端都暴露在了风险中。 既然不适合将对称加密的密钥写死在客户端,那是否可以动态生成密钥...
加密算法的前世今生
fdl123456的博客
01-21 668
预计阅读时间:8 分钟这里说的密码和我们平时用的密码并不是一个概念。本文讨论的加密算法要解决的主要是信息传输中的加密和解密问题。要假设数据传输过程是不安全的,所有信息都在被窃听的,所以发...
移动应用安全策略不足:未对通过移动应用访问网络的安全进行适当管理
最新发布
ZOMO的博客
12-28 1015
随着移动互联网的快速发展,越来越多的企业和个人选择通过移动应用来访问网络资源。然而,移动应用安全策略的不足,往往导致数据泄露、恶意攻击等问题。本文将针对这一问题进行分析并提出相应的解决方案。
linux windows smb共享,通过smb协议访问共享,win7需要做那些修改?比如,验证方式,交换密钥...
weixin_34193397的博客
05-04 286
1. win7访问网络打印机的共享磁盘有问题;其它的,通过修改注册表win7能加入linux的samba域、访问域共享也一切正常2. 网络打印机正常使用,从windows xp pro上可以正常访问打印机的磁盘共享3. win7 pro是新安装的系统,系统没默认防火墙都已关闭,并且作了以下修改:网络安全: LAN 管理器身份验证级别 ---------(发送 LM & NTLM - 如果协...
移动端网络安全-密钥交换前世今生(2)
zhoujabcd的博客
10-24 239
前言:前文讲了DH密钥交换协议,DH的数学基础是离散对数,而一个算法在数学上逆运算越困难,其本身被破解的难度越大。 而我们今天要讲的椭圆曲线算法,在数学上,就复杂的多。 椭圆曲线的数学概念 椭圆曲线是由下面的方程描述的曲线: y² = x³ + ax + b 4a³ + 27b² !=0 比如,y² = x³ -x + 1的图像是: 椭圆曲线有这样的两个性质:...
Diffie-Hellman密钥交换协议
hxb002131的博客
04-07 2080
一、实验目的 Diffie-Hellman密钥交换协议实现。 二、主要内容 1、理解Diffie-Hellman协议的实现原理 2、编程实现Diffie-Hellman协议的程序 3、能够实现密钥协商的目的 三、Diffie-Hellman密钥交换协议原理图及其中间人攻击 四、编程实现Diffie-Hellman协议 import math import random def judge_prime(p): # 素数的判断 if p <= 1: .
Diffie-Hellman密钥交换
让我思考一下
05-30 2853
DH密钥交换是一种安全协议,它可以让双方在不安全的信道上创建一个密钥。双方互相发送的数据就算被第三方知晓,也无法知道加密信息的密钥。 其解决问题的主要思想可以用下图来解释: Alice和Bob想要协商出一个只有它们两人知道的颜色,不能让第三方知道,怎么办呢?解决办法如下: 先从它们共同拥有的颜色(图中为黄色)开始,这个黄色是大家都知道的,第三方知道也没有关系。 Alice选了一个只有自己知道的...
VC++ 实现Diffie-Hellman密钥交换算法
04-15
Diffie-Hellman密钥交换算法是密码学中一个重要的概念,它允许两个通信方在不安全的信道上安全地协商一个共享密钥。这个算法由Whitfield Diffie和Martin Hellman在1976年提出,是公钥基础设施(PKI)中的基础组成...
Python实现Diffie-Hellman密钥交换协议
baidu_38271024的博客
01-04 1万+
1.Diffie-Hellman密钥交换算法 (1)有两个全局公开的参数,一个素数p和一个整数a,a是p的一个原根(对于正整数gcd(a,m)=1,如果a是模m的原根,那么a是整数模m乘法群的一个生产元); (2)假设用户A和B希望交换一个密钥,用户A选择一个作为私有密钥的随机数XA,并计算公开密钥YA = a^XA mod p,A对XA的值保密存放而使YA能被B公开获得。类似地,用户B选
Android安全机制--六种核心安全机制-加密、密钥、签名与证书
04-14 3300
1.算法与密钥。(规则就是算法,可公开验证) 2.对称加密(两端密钥是一样的,share key )规则算法就只有置换,转置(矩阵的行列转换),乘积来产生share key。 公认的DES,AES。 3.非对称加密(密钥不一样,加密端用的是public key,解密端用的是private key)。 公开密钥算法两大数学基础基础:分解大质数(素数)的困难度(两个很大的质数相乘得到一个更大的
移动端加密解密方案探索
weixin_44921985的博客
06-12 810
1、RSA——非对称加密,会产生公钥和私钥,公钥在客户端,私钥服务端。公钥用于加密,私钥用于解密。 2、AES——对称加密,直接使用给定的秘钥加密,使用给定的秘钥解密。(加密解密使用相同的秘钥)。 3、MD5——一种单向的加密方式,只能加密,不能解密。 4、Base64编码——对字节数组转换成字符串的一种编码方式。 客户端,服务端的通信逻辑 之前:明文传输通信 客户端将要上传的数据以字典(Map...
服务端移动端交互信任的锚点---维护授信证书与私钥
m0_37460885的博客
11-20 368
HTTPS 分为 HTTP + SSL 安全套接字层,后面SSL3.0之后被重命名为TLS1.0,其实就是SSL3.0的进化版本.TLS1.0(Transport Layer Security 安全传输层协议),可以说TLS就是SSL的新版本3.1 但是数据表明使用HTTPS协议传输数据的工作效率只有使用HTTP协议传输的十分之一.加密传输有损失效率,根据不同场景安全等级选择使用. TLS的关键就是 移动端服务端 各自维护一套可信证书库,这是信任的根节点.信证书库的维护更新是有各大硬件商如华为,小米等,
公钥私钥信息储存在服务器端么,将公钥和私钥存储在数据库或密钥库中
weixin_30271235的博客
08-12 2627
您可以提供keystores到现有的通过http发送数据的实现,它将获取密钥库并执行所有必要的操作,所以您不必这样做。 对于服务器端验证,这将是一个keystore = KeyStore.getInstance(“JKS”),它包含所有可信证书。对于客户端验证(如果适用)(您需要验证自己),此类实现已存在 您只需提供客户端'keystore'=>这一个将包含您的证书并且它的私钥=> K...
密码学系列之一:密码学的前世今生
热门推荐
聚集机器学习、信息安全
05-29 1万+
密码技术产生以来,直到二战结束,其主要应用军事、政府、外交等重要部门,相关研究也处于一种不公开的状态,充满着神秘感。随着信息技术的发展,尤其是互联网的广泛应用,使得密码学逐渐揭开了它的神秘面纱,走进寻常百姓的日常工作与生活。
小谈移动端加密
CoderJon的博客
03-22 2271
加密方式大致分为以下几种: --哈希(散列函数) --MD5 --SHA1 --SHA256(512) --对称加密算法 --DES --3DES --AES(高级密码标准。美国国家安全局使用的加密算法) --非对称加密算法  RSA 很多项目中都用到了MD5,它是一种不可逆算法。相同的数据加密,得到的结果是一样的,对不同的数据加密,得到的结果是定长的(32字符),很多人以为这
非对称加密之密钥交换算法-DH
虎哥LoveDroid
10-19 3295
非对称加密算法之DH算法1. 算法简述2. 模型分析3. 代码实现4. 算法实现分析 1. 算法简述 对称加密算法提高数据安全性,但是带来了密钥管理的复杂性, 如何安全地传递密钥成为棘手问题。密钥交换算法(Diffie-Hellman算法,简称DH算法)成为该问题的关键。 DH算法是第一个密钥协商算法,仅能用于密钥分配,不能用于加密和解密消息。该算法的目的在于让消息收发双方可以在安全的条件下交换密钥,以备后续加密/解密使用。 DH密钥交换算法安全性基于有限域上的离散对数难题。 2. 模型分析 DH算法过程分
android系统几个常见的密钥key
security_yj的博客
09-09 5953
1、rpmb(replay protected memory block) key rpmb是emmc存储中的一个安全存储区。结合rpmb key和计数器,通过hmac算法,安全的读写rpmb中的数据 rpmb key存储在rpmb的一个寄存器中 烧写rpmb key的触发条件有,刷机后首次开机、烧写efuse后开机、使用命令手动延迟触发 rpmb key关联cpu id,因此更换cpu需要一同更换emmc 2、widevine drm(digital rights management) k
格上0-RTT密钥交换协议:完全前向安全与高效通信
这篇研究提出了一个创新的0-RTT密钥交换协议,它结合了格理论、一次性签名和PFS概念,提供了快速、安全的密钥交换解决方案,特别适用于对通信效率有高要求的环境,并且在对抗量子计算和重放攻击方面具有优势。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值