HTTPS和TLS/SSL的关系
HTTP和TLS/SSL的协议组合在一起就是HTTPS,HTTPS=HTTP+TLS/SSL,就是说HTTPS拥有HTTP的所有特征,并且使用TLS/SSL协议进行安全保护。
密码学的四个目标
机密性:传输的数据必须是加密的,通过密钥才能解密
完整性:传输的数据必须是完整的,没有被篡改的
身份验证:发送方和接收方互相确认身份
不可抵赖:例:A向B借钱写了欠条,然后不承认此欠条是自己写的
TLS/SSL协议在网络层协议中的定位
TLS/SSL协议位于应用层协议和TCP之间,构建在TCP之上,由TCP协议保证数据传输的可靠性,任何数据到达TCP之前,都经过TLS/SSL协议的加密
TLS/SSL协议背后保证密码学目标的算法
加密算法和HMAC算法:
公开密钥加密算法的缺点就是运算慢,HTTP传输的数据非常大,大部分web中很少使用公开密钥算法加解密。一般采用对称加密算法如:AES、DES。MAC算法使用较多的是HMAC,如HMAC-SHA-1、HMAC-SHA-256
密钥协商算法
在HTTPS中,一般采用RSA或者DH算法协商预备主密钥
1)RSA算法流程如下:
客户端发起请求,服务端发送RSA密钥对公钥给客户端,
客户端随机生成预备主密钥,通过RAS公钥加密发送给服务端,
服务端正确解密预备主密钥
2)DH算法:
客户端发起请求
服务端生成RSA密钥对,发送公钥给客户端
服务端生成DH参数和服务端DH密钥对,用RAS私钥签名DH参数和服务端DH公钥,最后将签名值、DH参数、服务端DH公钥发送给客户端
客户端通过服务端的RSA公钥验证签名,获取到服务端DH参数和服务端DH公钥
客户端通过DH参数生成客户端的DH密钥对,将客户端的DH公钥发送给服务端
客户端通过DH私钥和服务端DH公钥计算出预备主密钥
服务端通过接收到的客户端DH公钥,结合服务端DH私钥计算出预备主密钥
例:
发送方Alice,接收方Bob,双方共享DH参数(p,g),DH参数(p,g)公开
Alice的私钥a(其实a不是数字证书的私钥,叫secret,就是为本次协商密钥产生的)
Bob的私钥b(同理,b也不是数字证书的私钥,也是secret)
Alice和Bob约定使用一个模 p = 23和g = 5(g是23的原根)
Alice选择一个保密的整数 a = 4作为私钥,计算出公钥 A = g^a mod p,将公钥A发送给Bob;
A = 54 mod 23 = 4
Bob选在一个保密的整数 b = 3,计算出公钥 B = g^b mod p,将公钥B发送给Alice;
B = 53 mod 23 = 10
Alice 计算出共享密钥 s = B^a mod p
s = 104 mod 23 = 18
Bob 计算共享密钥 s = A^b mod p
s = 43 mod 23 = 18
Alice和Bob现在就共享一个密钥(s = 18)
A^b mod p = (ga)b mod p = (gb)a mod p = B^a mod p
(ga mod p)b mod p = (gb mod p)a mod p(算法证明略)
前向安全性
RSA密钥协商,协商完成后一段时间内密钥是不变的,攻击者可以先保存这些加密信息,以后如果密钥泄密,这段通信密文就会被解密。
DH静态密钥协商类似,只有动态DH密钥协商能够保证前向安全性,因为密钥是每次重新生成的。
中间人攻击
通过RSA或者DH密钥协商算法,服务器需要提供一对密钥,可以使RSA密钥对或者是ECDSA密钥对,看似无懈可击,却存在着致命的问题,那就是中间人攻击。
中间人攻击就是服务端存底给客户端的公钥可能被攻击者替换。
PKI
首先明确一点,PKI不是TLS/SSL协议的一部分,但是在HTTPS中,必须有PKI技术才能保证安全,简单来说,PKI技术能够保证客户端接收到的服务端公钥,确实是服务端的公钥,而不是中间人。
PKI技术的核心是证书,证书签发流程如下:
证书校验
需要先明白的两点:
1、浏览器内置了根证书
2、根证书是绝对信任证书
国家发放身份证,学校发放毕业证,类似根证书直接签发某网站的CA证书,学校委托第三方发放毕业证,类似根证书签发CA机构证书,由CA机构签发某网站的CA证书,根证书只有一个,负责所有CA证书的签发显然不切实际,故CA证书一般都是CA机构签发的,两者场景不同。
根证书直接签发的CA证书,浏览器通过内置的根证书公钥,校验由根证书私钥签发的CA证书即可完成校验。
不是根证书签发的CA证书,证书中附带有证书签发机构链,如上图某网站的CA证书,证书中包含签发CA机构,CA机构再签发二级CA机构,二级CA机构签发某网站的CA证书,校验时,先使用二级CA机构的证书校验此CA证书是由对应的CA机构颁发,再使用上一级CA机构的证书校验二级CA机构证书,以此校验,直到根证书。
浏览器内置根证书和中间CA机构证书,若无CA机构证书,或此CA机构不再被信任,则校验失败。
HTTPS总结
HTTPS主要由两层构成,分别是握手层和加密层,握手层位于加密层的上层,握手层提供加密层需要的信息(密钥块),对于一个HTTPS请求来说,HTTP消息没有完成握手之前,是不会传递到加密层的,一旦握手成功,最终应用层的所有HTTP消息交由加密层进行加密。
握手:
1)认证
客户端和服务端进行密钥交换之前,必须通过证书校验各自的身份,否则就存在中间人攻击。认证的核心是PKI技术,PKI技术的核心是证书,证书校验的核心是公开密钥加密算法,此算法的核心是离散对数问题目前无法被破解。
2)密码套件协商
客户端和服务端需要协商出双方都认可的密码套件,密码套件决定了本次连接使用的加密算法、HMAC算法、密钥协商算法等各类算法。
为什么要进行密钥协商
客户端的运营环境是无法预知的,有各种各样的操作系统,操作系统版本,浏览器,浏览器版本,比如某些客户端不支持HMAC-SHA256算法,在这种情况下,客户端和服务端需要协商双方都支持的HMAC算法。
什么是密码套件
一个完整的密码套件举例:
TLS_DH_RSA_WITH_AES_CBC_128_SHA
RSA:身份验证算法,表示证书中包含的服务器公钥是RSA公钥。
DH:表示密钥协商算法。
AES_CBC_128:表示加密算法,用于保证机密性,本例中使用的是AES对称加密算法,加密模式是CBC模式,密钥长度是128位(bit)。
SHA:表示HMAC算法,用于保证消息完整性,本例中是HMAC_SHA1算法。
3)密钥协商
理解密码套件后,密钥协商相对就简单了,密码套件决定客户端和服务端使用何种算法进行密钥协商。
为了保证消息的前向安全性,目前使用最多的密钥协商算法就是DHE算法和ECDHE算法,这两个算法和服务器的密钥对关系不大,,服务器私钥即使泄漏,也不会造成太大的损失。
4)消息完整性校验
为了避免消息篡改,握手过程中需要一种机制避免消息篡改,客户端和服务端协商出密钥块后,代表可以对消息进行机密性和完整性保护了,但首先保护的消息不是应用层消息,而是握手消息。
- 客户端将发送和接收到的所有握手消息组合在一起啊,然后计算出摘要握手层使用密钥块对消息进行机密性和完整性保护,然后发送给服务端
- 服务端接收到验证消息后。使用加密块解密出消息摘要
- 服务端自行计算发送和接收的所有消息的消息摘要,比对客户端的摘要值,比对一致说明握手消息没有被篡改。
加密:
相比于握手层,加密层处理相对就简单了,握手层协商出加密层需要的算法和算法对应的密钥,加密层接下来进行加密运算和完整性保护。
参数资料:
- 《深入浅出HTTPS》
- HTTPS详解:https://segmentfault.com/a/1190000011675421
