SSL/TLS通信

本文同时发表在https://github.com/zhangyachen/zhangyachen.github.io/issues/31

复习基本概念

• 对称密码：加密和解密使用同一密匙。
• 公钥密码：加密和解密使用不同密钥的方式。
• 单向散列函数：计算散列值，保证的不是机密性，而是完整性。
• 消息认证码：确认消息是否被篡改，而且能够确认消息是否来自所期待的通信对象。
• 数字签名：由于消息认证码使用公钥进行加密的，会出现发送方否认的情况，所以为了防止这种情况出现，发送方使用私钥进行加密散列值。
• 证书：我们必须保证验证数字签名的公钥必须属于发送方，否则数字签名会失效。为了确认自己得到的公钥是否合法，我们需要使用证书。

密码技术

什么是SSL/TLS

来看一下通过http发送请求的场景：

但是此种情况下，信用卡号就很有可能被窃听。于是，我们可以使用SSL或者TLS作为对通信进行加密的协议，然后在此之上承载http。通过对此两种协议的叠加，我们就对HTTP的通信进行加密，防止窃听。

以上面的例子为例，如果我们想要达到安全的通信，必须达到以下几点：

• 信用卡号不被窃听
• 信用卡号不被篡改
• 确认通信对方是真实的而不是假冒的

以上问题抽象出来就是：

• 机密性
• 完整性
• 认证问题

通过文章最开始提到的密码技术，我们可以想到机密性可以用对称密码解决（这里的窃听不是指发送内容不能被攻击者得到，而是攻击者即使得到发送内容也不能理解或者破译）。由于对称密码不能被攻击者预测，因此我们使用伪随机数生成器来生成密钥。若要将对称密码的密钥发送给通信方而不被攻击者窃听，可以使用公钥密码或者Diffie-Hellman密钥交换。
识别篡改可以使用消息认证码技术.
对通信对象的认证，可以使用对公钥加上数字签名所生成的证书。

我们需要一个“框架”将上述工具组合起来，SSL/TLS协议就扮演了这样一个框架的角色。

上面的例子是SSL/TLS承载HTTP协议，其实SSL/TLS还可以承载很多协议，例如：SMTP、POP3。

SSL与TLS的区别

SSL是1994年网景公司设计的一种协议，并在该公司的Web浏览器中进行了实现。随后很多Web浏览器都采用了这一种协议，使其成为了事实上的行业标准。SSL已经于1995年发布了3.0版本。
TLS是IETF在SSL3.0的基础上设计的协议。在1999年作为RFC2246发布的TLS1.0，实际上相当于SSL3.1。

为什么使用SSL/TLS

• 所有信息都是加密传播，第三方无法窃听。
• 具有校验机制，一旦被篡改，通信双方会立刻发现。
• 配备身份证书，防止身份被冒充。

SSL/TLS的层次化协议

TLS协议分为TLS记录协议和TLS握手协议。位于底层的TLS记录协议负责进行加密，位于上层的TLS握手协议负责加密以外的其他操作。而上层的TLS握手协议又分为4个子协议。

记录协议

负责消息的压缩、加密以及数据的认证。

处理过程如下：

• 将消息分割成小片段，然后对每个片段进行压缩，压缩算法需要与通信对象进行协商。
• 将每个压缩的片段加上消息认证码，这是为了保证完整性并进行数据的认证。通过附加消息的MAC值，可以识别出篡改。与此同时，为了防止重放攻击，在计算消息认证码时，还加上了片段的编号，单向散列函数的算法。以及消息认证码所使用的共享密钥都需要与通信对象协商决定。
• 经过压缩的片段加上消息认证码会一起通过对称密码进行加密。加密使用CBC模式，CBC的初始化向量（IV）通过主密码（master secret）生成，而对称密码的算法以及共享密钥需要协商。

• 上述的加密数据再加上数据类型、版本号、压缩后的长度组成的报头就是最终的报文数据。

  握手协议

负责生产共享密钥以及交换证书。
握手协议主要分为4个子协议：握手协议、密码规格变更协议、警告协议和应用数据协议。

握手协议

负责在客户端和服务器之间协商决定密码算法和共享密钥。基于证书的认证也在这一步完成。这段协议相当于下面的会话：
客户端：“你好，我能理解的密码套件有RSA/3DES，或者DSS/AES，请问我们使用哪一种？”
服务器：“你好，我们使用RSA/3DES吧，这是我的证书。”
协商之后，就会互相发出信号来切换密码。负责发出信号的就是下面介绍的密码规格变更协议。

密码规格变更协议

负责向通信对象传达变更密码方式的信号。
客户端：“我们按照刚才的约定切换密码吧。1,2,3”
中途发生错误时，就会通过下面的警告协议传达给对方。

警告协议

负责向通信对象传达变更密码方式的信号。
客户端：“我们按照刚才的约定切换密码吧。1,2,3”
中途发生错误时，就会通过下面的警告协议传达给对方。

警告协议

服务器：“刚才的消息无法正确解析哦。”

应用数据协议

将TLS上面承载的应用数据传达给通信对象的协议。

使用SSL/TLS进行通信

（图片太长了，截了两次，o(╯□╰)o）

一些重要握手过程：

ClientHello

客户端向服务器发出加密通信的请求。
在这一步，客户端主要向服务器提供以下信息。

• 支持的协议版本，比如TLS 1.0版。
• 当前时间
• 一个客户端生成的随机数，稍后用于生成"对话密钥"。
• 会话ID
• 支持的加密方法，比如RSA公钥加密。
• 支持的压缩方法。

“会话ID”是当客户端和服务器希望重新使用之前建立的会话（通信路径）时所使用的信息。

ServerHello

服务器收到客户端请求后，向客户端发出回应。服务器的回应包含以下内容。

• 确认使用的加密通信协议版本，比如TLS 1.0版本。如果浏览器与服务器支持的版本不一致，服务器关闭加密通信。
• 一个服务器生成的随机数，稍后用于生成"对话密钥"。
• 当前时间
• 会话ID
• 确认使用的加密方法，比如RSA公钥加密。

• 密码套件。

  Certificate

服务器发送Certificate消息。包含以下内容

• 证书清单
  首先发送的是服务器的证书，然后会按顺序发送对服务器证书签名的认证机构的证书。
  当以匿名方式通信时，不发送Certificate消息。

  ServerKeyExchange

当Certificate消息不足以满足需求时（例如匿名方式通信），服务器会通过ServerKeyExchange消息向客户端发送一些必要信息。
当使用RSA时，服务器发送N与E，也就是公钥。
当使用DH算法时，服务器发送P、G、G的x次方modP（DH算法的公开参数）

ClientKeyExchange

客户端从服务器的证书中取出服务器的公钥，然后向服务器发送以下信息。

• 一个随机数。该随机数用服务器公钥加密，防止被窃听。该随机数也叫作pre-master key。有了它以后，客户端和服务器就同时有了三个随机数，接着双方就用事先商定的加密方法，各自生成本次会话所用的同一把主密码。而主密码用来加密客户端和服务器的通信内容。
  当使用RSA时，会随ClientKeyExchange一起发送经过加密的预备主密码。
  当使用DH算法时，会随ClientKeyExchange一起发送DH的公开值，即Y(G的x次方模P)，之后双方也能算出相同的pre-master key。

主密码

非常重要的一个数值，TLS密码通信的机密性和数据的认证全部依靠这个数值。

主密码的计算

主密码依赖如下信息计算出来：

• 预备主密码
• 客户端随机数
• 服务器随机数

当使用RSA公钥密码时，客户端在发送ClientKeyExchange消息时，将经过加密的预备主密码一起发送给服务器。
当使用DH密钥交换时，客户端在发送ClientKeyExchange消息时，将DH的公开值一起发送给服务器。根据这个值，客户端和服务器会各自生成预备主密码。
当根据预备主密码计算主密码时，会使用两个单向散列函数(MD5和SHA-1)组合而成的伪随机数生成器。之所以用两个单向散列函数，是为了提高安全性。

为什么一定要三个随机数

引用dog250的理解

不管是客户端还是服务器，都需要随机数，这样生成的密钥才不会每次都一样。由于SSL协议中证书是静态的，因此十分有必要引入一种随机因素来保证协商出来的密钥的随机性。
对于RSA密钥交换算法来说，pre-master-key本身就是一个随机数，再加上hello消息中的随机，三个随机数通过一个密钥导出器最终导出一个对称密钥。
pre master的存在在于SSL协议不信任每个主机都能产生完全随机的随机数，如果随机数不随机，那么pre master secret就有可能被猜出来，那么仅适用pre master secret作为密钥就不合适了，因此必须引入新的随机因素，那么客户端和服务器加上pre master secret三个随机数一同生成的密钥就不容易被猜出了，一个伪随机可能完全不随机，可是是三个伪随机就十分接近随机了，每增加一个自由度，随机性增加的可不是一。

主密码的目的

主密码用于生成下列6种信息：

• 对称密码的密钥（客户端->服务器）
• 对称密码的密钥（客户端<-服务器）
• 消息认证码的密钥（客户端->服务器）
• 消息认证码的密钥（客户端<-服务器）
• 对称密码的CBC模式所使用的初始化向量（客户端->服务器）
• 对称密码的CBC模式所使用的初始化向量（客户端<-服务器）

SSL/TLS密码技术小结

对SSL/TLS的攻击

• 对各个密码技术的攻击，比如对称密码。但是，SSL/TLS并不依赖于某种密码组件，当发现某种对称密码存在弱点时，换一种对称密码即可。
• 对伪随机数进行攻击。
• 利用证书的时间差进行攻击。
  要验证证书必须使用CRL（证书作废清单）。如果客户端没有安装最新版的CRL，那么SSL/TLS也无法保证通信的安全。

TLS握手优化

这部分还没涉猎过，先找个文章mark下。
https://imququ.com/post/optimize-tls-handshake.html

参考资料：《图解密码技术》
http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html
http://www.ruanyifeng.com/blog/2014/09/illustration-ssl.html