一、準(zhǔn)備知識(shí)

在開始介紹前，需要首先了解一下消息摘要、數(shù)字簽名、數(shù)字證書的知識(shí)

1、消息摘要 - Message Digest

消息摘要(Message Digest) ，又稱數(shù)字摘要（Digital Digest）或數(shù)字指紋（Finger Print）。簡單來說，消息摘要就是在消息數(shù)據(jù)上，執(zhí)行一個(gè)單向的Hash函數(shù)，生成一個(gè)固定長度的Hash值，這個(gè)Hash值即是消息摘要，Hash算法有MD5，SHA。它有以下特征：

• 無論輸入的消息有多長，計(jì)算出來的消息摘要的長度總是固定的。例如應(yīng)用MD5算法摘要的消息有128個(gè)比特位，用SHA-1算法摘要的消息最終有160比特位的輸出，SHA-1的變體可以產(chǎn)生192比特位和256比特位的消息摘要。一般認(rèn)為，摘要的最終輸出越長，該摘要算法就越安全。

• 消息摘要看起來是“隨機(jī)的”。這些比特看上去是胡亂的雜湊在一起的。可以用大量的輸入來檢驗(yàn)其輸出是否相同，一般，不同的輸入會(huì)有不同的輸出，而且輸出的摘要消息可以通過隨機(jī)性檢驗(yàn)。但是，一個(gè)摘要并不是真正隨機(jī)的，因?yàn)橛孟嗤乃惴▽ο嗤南⑶髢纱握?，其結(jié)果必然相同；而若是真正隨機(jī)的，則無論如何都是無法重現(xiàn)的。因此消息摘要是“偽隨機(jī)的”。

• 消息摘要函數(shù)是單向函數(shù)，即只能進(jìn)行正向的信息摘要，而無法從摘要中恢復(fù)出任何的消息，甚至根本就找不到任何與原信息相關(guān)的信息。當(dāng)然，可以采用強(qiáng)力攻擊的方法，即嘗試每一個(gè)可能的信息，計(jì)算其摘要，看看是否與已有的摘要相同，如果這樣做，最終肯定會(huì)恢復(fù)出摘要的消息。但實(shí)際上，要得到的信息可能是無窮個(gè)消息之一，所以這種強(qiáng)力攻擊幾乎是無效的。好的摘要算法，沒有人能從中找到“碰撞”，雖然“碰撞”是肯定存在的（由于長明文生成短摘要的Hash必然會(huì)產(chǎn)生碰撞）。

正是由于以上特點(diǎn)，消息摘要算法被廣泛應(yīng)用在“數(shù)字簽名”領(lǐng)域，作為對明文的摘要算法。著名的消息摘要算法有RSA公司的MD5算法和SHA-1算法及其大量的變體。

2、數(shù)字簽名 - Signature

數(shù)字簽名方案是一種以電子形式存儲(chǔ)消息簽名的方法。一個(gè)完整的數(shù)字簽名方案應(yīng)該由兩部分組成：簽名算法和驗(yàn)證算法。在講數(shù)字簽名之前，我們先簡單介紹幾個(gè)相關(guān)知識(shí)點(diǎn)：“公鑰密碼體制”、“對稱加密算法”、“非對稱加密算法”。

公鑰密碼體制(public-key cryptography)：

公鑰密碼體制分為三個(gè)部分，公鑰、私鑰、加密解密算法，它的加密解密過程如下：

加密：通過加密算法和公鑰對內(nèi)容(或者說明文)進(jìn)行加密，得到密文。加密過程需要用到公鑰。

解密：通過解密算法和私鑰對密文進(jìn)行解密，得到明文。解密過程需要用到解密算法和私鑰。注意，由公鑰加密的內(nèi)容，只能由私鑰進(jìn)行解密，也就是說，由公鑰加密的內(nèi)容，如果不知道私鑰，是無法解密的。

公鑰密碼體制的公鑰和算法都是公開的(這是為什么叫公鑰密碼體制的原因)，私鑰是保密的。大家都以使用公鑰進(jìn)行加密，但是只有私鑰的持有者才能解密。在實(shí)際 的使用中，有需要的人會(huì)生成一對公鑰和私鑰，把公鑰發(fā)布出去給別人使用，自己保留私鑰。目前使用最廣泛的公鑰密碼體制是RSA密碼體制。

對稱加密算法(symmetric key algorithms)：

在對稱加密算法中，加密和解密都是使用的同一個(gè)密鑰。因此對稱加密算法要保證安全性的話，密鑰要做好保密，只能讓使用的人知道，不能對外公開。

非對稱加密算法(asymmetric key algorithms)：

在非對稱加密算法中，加密使用的密鑰和解密使用的密鑰是不相同的。前面所說的公鑰密碼體制就是一種非對稱加密算法，他的公鑰和是私鑰是不能相同的，也就是說加密使用的密鑰和解密使用的密鑰不同，因此它是一個(gè)非對稱加密算法。

RSA簡介：

RSA密碼體制是一種公鑰密碼體制，公鑰公開，私鑰保密，它的加密解密算法是公開的。 由公鑰加密的內(nèi)容可以并且只能由私鑰進(jìn)行解密，而由私鑰加密的內(nèi)容可以并且只能由公鑰進(jìn)行解密。也就是說，RSA的這一對公鑰、私鑰都可以用來加密和解密，并且一方加密的內(nèi)容可以由并且只能由對方進(jìn)行解密。

加密：公鑰加密，私鑰解密的過程，稱為“加密”。因?yàn)楣€是公開的，任何公鑰持有者都可以將想要發(fā)送給私鑰持有者的信息進(jìn)行加密后發(fā)送，而這個(gè)信息只有私鑰持有者才能解密。

簽名： 私鑰加密，公鑰解密的過程，稱為“簽名”。它和加密有什么區(qū)別呢？因?yàn)楣€是公開的，所以任何持有公鑰的人都能解密私鑰加密過的密文，所以這個(gè)過程并不能 保證消息的安全性，但是它卻能保證消息來源的準(zhǔn)確性和不可否認(rèn)性，也就是說，如果使用公鑰能正常解密某一個(gè)密文，那么就能證明這段密文一定是由私鑰持有者 發(fā)布的，而不是其他第三方發(fā)布的，并且私鑰持有者不能否認(rèn)他曾經(jīng)發(fā)布過該消息。故此將該過程稱為“簽名”。

數(shù)字簽名

事實(shí)上，任何一個(gè)公鑰密碼體制都可以單獨(dú)地作為一種數(shù)字簽名方案使用。如RSA作為數(shù)字簽名方案使用時(shí)，可以定義如下：

這種簽名實(shí)際上就是用信源的私鑰加密消息，加密后的消息即成了簽體；而用對應(yīng)的公鑰進(jìn) 行驗(yàn)證，若公鑰解密后的消息與原來的消息相同，則消息是完整的，否則消息不完整。它正好和公鑰密碼體制用于消息保密是相反的過程。因?yàn)橹挥行旁床艙碛凶约旱乃借€，別人無法重新加密源消息，所以即使有人截獲且更改了源消息，也無法重新生成簽體，因?yàn)橹挥杏眯旁吹乃借€才能形成正確地簽體。同樣信宿只要驗(yàn)證用信源的公鑰解密的消息是否與明文消息相同，就可以知道消息是否被更改過，而且可以認(rèn)證消息是否是確實(shí)來自意定的信源，還可以使信源不能否認(rèn)曾經(jīng)發(fā)送的消息。所以 這樣可以完成數(shù)字簽名的功能。

但這種方案過于單純，它僅可以保證消息的完整性，而無法確保消息的保密性。而且這種方案要對所有的消息進(jìn)行加密操作，這在消息的長度比較大時(shí)，效率是非常低的，主要原因在于公鑰體制的加解密過程的低效性。所以這種方案一般不可取。

幾乎所有的數(shù)字簽名方案都要和快速高效的摘要算法（Hash函數(shù)）一起使用，當(dāng)公鑰算法與摘要算法結(jié)合起來使用時(shí)，便構(gòu)成了一種有效地?cái)?shù)字簽名方案。

這個(gè)過程是：

1. 用摘要算法對消息進(jìn)行摘要。

2. 再把摘要值用信源的私鑰加密。

通過以上兩步得到的消息就是所謂的原始信息的數(shù)字簽名，發(fā)送者需要將原始信息和數(shù)字簽名一同發(fā)送給接收者。而接收者在接收到原始信息和數(shù)字簽名后，通過以下3步驗(yàn)證消息的真?zhèn)危?/p>

1. 先把接收到的原始消息用同樣的摘要算法摘要，形成“準(zhǔn)簽體”。

2. 對附加上的那段數(shù)字簽名，使用預(yù)先得到的公鑰解密。

3. 比較前兩步所得到的兩段消息是否一致。如果一致，則表明消息確實(shí)是期望的發(fā)送者發(fā)的，且內(nèi)容沒有被篡改過；相反，如果不一致，則表明傳送的過程中一定出了問題，消息不可信。

這種方法使公鑰加密只對消息摘要進(jìn)行操作，因?yàn)橐环N摘要算法的摘要消息長度是固定的，而且都比較“短”（相對于消息而言），正好符合公鑰加密的要求。這樣效率得到了提高，而其安全性也并未因?yàn)槭褂谜惴ǘ鴾p弱。

綜上所述，數(shù)字簽名是非對稱加密技術(shù) + 消息摘要技術(shù)的結(jié)合。

3、數(shù)字證書 - Certificate

通過數(shù)字簽名技術(shù)，確實(shí)可以解決可靠通信的問題。一旦驗(yàn)簽通過，接收者就能確信該消息是期望的發(fā)送者發(fā)送的，而發(fā)送者也不能否認(rèn)曾經(jīng)發(fā)送過該消息。大家有沒有注意到，前面講的數(shù)字簽名方法，有一個(gè)前提，就是消息的接收者必須事先得到正確的公鑰。如果一開始公鑰就被別人篡改了，那壞人就會(huì)被你當(dāng)成好人，而真正的消息發(fā)送者給你發(fā)的消息會(huì)被你視作無效的。而且，很多時(shí)候根本就不具備事先溝通公鑰的信息通道。那么如何保證公鑰的安全可信呢？這就要靠數(shù)字證書來解決了。

數(shù)字證書是一個(gè)經(jīng)證書授權(quán)（Certificate Authentication）中心數(shù)字簽名的包含公鑰擁有者信息以及公鑰的文件。數(shù)字證書的格式普遍采用的是X.509V3國際標(biāo)準(zhǔn)，一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書通常包含以下內(nèi)容：

• 證書的發(fā)布機(jī)構(gòu)（Issuer）
  - 該證書是由哪個(gè)機(jī)構(gòu)（CA中心）頒發(fā)的。

• 證書的有效期（Validity）
  - 證書的有效期，或者說使用期限。過了該日期，證書就失效了。

• 證書所有人的公鑰（Public-Key）
  - 該證書所有人想要公布出去的公鑰。

• 證書所有人的名稱（Subject）
  - 這個(gè)證書是發(fā)給誰的，或者說證書的所有者，一般是某個(gè)人或者某個(gè)公司名稱、機(jī)構(gòu)的名稱、公司網(wǎng)站的網(wǎng)址等。

• 證書所使用的簽名算法（Signature algorithm）
  - 這個(gè)數(shù)字證書的數(shù)字簽名所使用的加密算法，這樣就可以使用證書發(fā)布機(jī)構(gòu)的證書里面的公鑰，根據(jù)這個(gè)算法對指紋進(jìn)行解密。

• 證書發(fā)行者對證書的數(shù)字簽名（Thumbprint）
  - 也就是該數(shù)字證書的指紋，用于保證數(shù)字證書的完整性，確保證書沒有被修改過。其原理就是在發(fā)布證書時(shí)，CA機(jī)構(gòu)會(huì)根據(jù)簽名算法（Signature algorithm）對整個(gè)證書計(jì)算其hash值（指紋）并和證書放在一起，使用者打開證書時(shí)，自己也根據(jù)簽名算法計(jì)算一下證書的hash值（指紋），如 果和證書中記錄的指紋對的上，就說明證書沒有被修改過。

可以看出，數(shù)字證書本身也用到了數(shù)字簽名技術(shù)，只不過簽名的內(nèi)容是 整個(gè)證書（里面包含了證書所有者的公鑰以及其他一些內(nèi)容）。與普通數(shù)字簽名不同的是，數(shù)字證書的簽名者不是隨隨便便一個(gè)普通機(jī)構(gòu)，而是CA機(jī)構(gòu)。這就好像 你的大學(xué)畢業(yè)證書上簽名的一般都是德高望重的校長一樣。一般來說，這些CA機(jī)構(gòu)的根證書已經(jīng)在設(shè)備出廠前預(yù)先安裝到了你的設(shè)備上了。所以，數(shù)字證書可以保 證證書里的公鑰確實(shí)是這個(gè)證書所有者的，或者證書可以用來確認(rèn)對方的身份?？梢?，數(shù)字證書主要是用來解決公鑰的安全發(fā)放問題。

HTTPS加密過程

建議可以在電腦上安裝一下Woreshark,這個(gè)軟件方便直觀的觀察加密流程。

https：在http(超文本傳輸協(xié)議)基礎(chǔ)上提出的一種安全的http協(xié)議，因此可以稱為安全的超文本傳輸協(xié)議。http協(xié)議直接放置在TCP協(xié)議之上，而https提出在http和TCP中間加上一層加密層。從發(fā)送端看，這一層負(fù)責(zé)把http的內(nèi)容加密后送到下層的TCP，從接收方看，這一層負(fù)責(zé)將TCP送來的數(shù)據(jù)解密還原成http的內(nèi)容。

image

密鑰交換/協(xié)商機(jī)制的幾種類型

• 依靠非對稱加密算法
  原理：拿到公鑰的一方先生成隨機(jī)的會(huì)話密鑰，然后利用公鑰加密它；再把加密結(jié)果發(fā)給對方，對方用私鑰解密；于是雙方都得到了會(huì)話密鑰。
  舉例：RSA

• 依靠專門的密鑰交換算法
  原理：這個(gè)比較復(fù)雜，一兩句話說不清楚，待會(huì)兒聊到 DH 的那個(gè)章節(jié)會(huì)詳談。
  舉例：DH（Diffie–Hellman的簡寫），ECDH（DH 的變種）

基于RSA的秘鑰交換

這大概是 SSL 最古老的密鑰協(xié)商方式（我更傾向稱之為秘鑰交換）——早期的 SSLv2 只支持一種密鑰協(xié)商機(jī)制，就是它。交換過程如下：

image.png

現(xiàn)在，假設(shè)A與B通信，A是SSL客戶端（上圖左側(cè)），B是SSL服務(wù)器端（上圖右側(cè)）：

A(客戶端）：我想和你（服務(wù)端）安全的通話，我支持的加密算法組合有這些，并生成了一隨機(jī)數(shù)Client Random（把消息封裝成Client Hello發(fā)送給B)。

B（服務(wù)端）：我們用ECDHE－RSA－SHA這對組合好了,我也生成一個(gè)隨機(jī)值Server Random（把消息封裝成Server Hello發(fā)送給A)。

B（服務(wù)端）：這是我的證書，里面有我的信息和公鑰，你拿去驗(yàn)證一下我的身份吧（把證書Certificate發(fā)給A）。

A（客戶端）：（收到B發(fā)來的加密方式和證書Certificate，驗(yàn)證B的證書的真實(shí)性，如果其中一項(xiàng)有誤，發(fā)出警告并斷開連接，這一步保證了B的公鑰的真實(shí)性，至于如何驗(yàn)證下面詳細(xì)講）
確認(rèn)數(shù)字證書有效，然后生成一個(gè)新的隨機(jī)數(shù)（Premaster secret），并使用數(shù)字證書中的公鑰加密了這個(gè)隨機(jī)數(shù)，發(fā)給服務(wù)器B。

接著，A和B分別根據(jù)約定的加密方法，使用前面的三個(gè)隨機(jī)數(shù)（Client Random，Server Random，Premaster secret），生成"對話密鑰"（session key），用來加密接下來的整個(gè)對話過程。

握手階段有三點(diǎn)需要注意：

（1）生成對話密鑰一共需要三個(gè)隨機(jī)數(shù)。

（2）握手之后的對話使用"對話密鑰"加密（對稱加密），服務(wù)器的公鑰和私鑰只用于加密和解密"對話密鑰"（非對稱加密），無其他作用。

（3）服務(wù)器公鑰放在服務(wù)器的數(shù)字證書之中。

通過上面的分析，可以看到整個(gè)握手階段都不加密（也沒法加密），都是明文的。因此，如果有人竊聽通信，他可以知道雙方選擇的加密方法，以及三個(gè)隨機(jī)數(shù)中的兩個(gè)。整個(gè)通話的安全，只取決于第三個(gè)隨機(jī)數(shù)（Premaster secret）能不能被破解。

雖然理論上，只要服務(wù)器的公鑰足夠長（比如2048位），那么Premaster secret可以保證不被破解。但是為了足夠安全，我們可以考慮把握手階段的算法從默認(rèn)的RSA算法，改為 Diffie-Hellman算法（簡稱DH算法）。

基于DH（ECDH，ECDHE)算法的秘鑰協(xié)商

DH 算法又稱“Diffie–Hellman 算法”。這是兩位數(shù)學(xué)牛人的名稱，他們創(chuàng)立了這個(gè)算法。該算法用來實(shí)現(xiàn)【安全的】“密鑰交換”。它可以做到——“通訊雙方在完全沒有對方任何預(yù)先信息的條件下通過不安全信道創(chuàng)建起一個(gè)密鑰”。這句話比較繞口。
先看看DH的具體算法：

通訊雙方（張三、李四）需要先約定好算法參數(shù)（algorithm parameters）：一個(gè)素?cái)?shù) p 作為模數(shù)，一個(gè)素?cái)?shù) g 作為基數(shù)（g 也稱為“生成元”）。這兩個(gè)算法參數(shù)是可以對外公開滴。
　　對于張三而言，需要先想好一個(gè)秘密的自然數(shù) a 作為私鑰（不能公開），然后計(jì)算 A = g^a mod p 作為自己的公鑰（可以公開）。
　　對李四而言也類似，先想好一個(gè)秘密的自然數(shù) b 作為私鑰（不能公開），然后計(jì)算 B = g^b mod p 作為自己的公鑰（可以公開）。
　　張三和李四互相交換各自的公鑰。
　　然后張三計(jì)算出 k = Ba mod p，李四計(jì)算出 k = Ab mod p

該算法至少確保了如下幾點(diǎn)：

1. 張三和李四分別計(jì)算出來的 k 必定是一致的
2. 張三和李四都無法根據(jù)已知的數(shù)來推算出對方的私鑰（張三無法推算出 b，李四無法推算出 a）
3. 對于一個(gè)旁觀者（偷窺者），雖然能看到 p，g，A，B，但是無法推算出 a 和 b（就是說，旁觀者無法推算出雙方的私鑰），自然也無法推算出 k

采用DH算法后，Premaster secret不需要傳遞，雙方只要交換各自的參數(shù)，就可以算出這個(gè)隨機(jī)數(shù)。

ECDH是DH算法一個(gè)變種，它是ECC算法和DH的結(jié)合。ECC是建立在基于橢圓曲線的離散對數(shù)問題上的密碼體制，給定橢圓曲線上的一個(gè)點(diǎn)P，一個(gè)整數(shù)k，求解Q=kP很容易；給定一個(gè)點(diǎn)P、Q，知道Q=kP，求整數(shù)k確是一個(gè)難題。所以看得出DH 依賴的是——求解“離散對數(shù)問題”的困難，而ECDH 依賴的就是——求解“橢圓曲線離散對數(shù)問題”的困難。DH和ECDH的主要的作用就是在通信雙方發(fā)送一些公有參數(shù)，保留私有參數(shù)，而后通過一系列計(jì)算雙方都能夠得到一個(gè)一致的結(jié)果。而這個(gè)運(yùn)算的逆運(yùn)算復(fù)雜度過高，在有限時(shí)間內(nèi)不可解（至少量子計(jì)算機(jī)問世以前不可解），以保證密鑰安全性。在實(shí)際使用過程中我們可能更多的會(huì)看到ECDHE這個(gè)詞，這個(gè)多出來的E的意思是指每次公鑰都隨機(jī)生成，可以說是對ECDH的一個(gè)升級版，算法是一樣的。

讓我們領(lǐng)略一下ECDH算法的大概思路：

假設(shè)密鑰交換雙方為Alice、Bob，其有共享曲線參數(shù)（橢圓曲線E、階N、基點(diǎn)G）。

1. Alice生成隨機(jī)整數(shù)a，計(jì)算A=a*G。 A作為Alice公鑰

2. Bob生成隨機(jī)整數(shù)b，計(jì)算B=b*G。 B作為Bob公鑰

3. Alice將自己的公鑰A傳遞給Bob。A的傳遞可以公開，即攻擊者可以獲取A。

   （由于橢圓曲線的離散對數(shù)問題是難題，所以攻擊者不可以通過A、G計(jì)算出a。）

4. Bob將B傳遞給Alice。同理，B的傳遞可以公開。

5. Bob收到Alice傳遞的A，計(jì)算Q =b*A #Bob通過自己的私鑰和Alice的公鑰得到對稱密鑰Q

6. Alice收到Bob傳遞的B，計(jì)算Q`=a*B #Alice通過自己的私鑰和Bob的公鑰得到對稱密鑰Q'

Alice、Bob雙方即得Q=bA=b(aG)=(ba)G=(ab)G=a(bG)=aB=Q' (交換律和結(jié)合律)，即雙方得到一致的密鑰Q。

在了解了ECDH秘鑰協(xié)商算法后，開始分析基于ECDH的TLS握手過程：

1244495-20171108204533294-1339745312.png

現(xiàn)在來說一下客戶端是如何驗(yàn)證服務(wù)端發(fā)來的證書Certificate的：

客戶端接到服務(wù)器傳來的證書，從本機(jī)得到CA的公鑰值，這樣就可以解密數(shù)字證書末尾的數(shù)字簽名了，解密簽名得到原始的證書摘要HASHs，然后自己也按照證書中的HASH算法，自己也對證書計(jì)算一個(gè)摘要HASHc，如果HASHs == HASHc，則認(rèn)證通過，否則認(rèn)證失敗。