https原理:證書傳遞、驗證和資料加密、解密過程解析

https原理:證書傳遞、驗證和資料加密、解密過程解析

我們都知道HTTPS能夠加密資訊,以免敏感資訊被第三方獲取。所以很多銀行網站或電子郵箱等等安全級別較高的服務都會採用HTTPS協議。

HTTPS簡介

HTTPS其實是有兩部分組成:HTTP  SSL / TLS,也就是在HTTP上又加了一層處理加密資訊的模組。服務端和客戶端的資訊傳輸都會通過TLS進行加密,所以傳輸的資料都是加密後的資料。具體是如何進行加密,解密,驗證的,且看下圖。

1. 客戶端發起HTTPS請求

使用者在瀏覽器裡輸入一個https網址,然後連線到server的443埠。

2. 服務端的配置

採用HTTPS協議的伺服器必須要有一套數字證書,可以自己製作,也可以向組織申請。區別就是自己頒發的證書需要客戶端驗證通過,才可以繼續訪問,而使用受信任的公司申請的證書則不會彈出提示頁面(startssl就是個不錯的選擇,有1年的免費服務)。這套證書其實就是非對稱加密中的公鑰和私鑰。

3. 傳送證書

下發的證書其實就是公鑰,只是包含了很多資訊,如證書的頒發機構,過期時間等等。

4. 客戶端解析證書

這部分工作是由客戶端的TLS來完成的,首先會驗證公鑰是否有效,比如頒發機構,過期時間等等,如果發現異常,則會彈出一個警告框,提示證書存在問題。如果證書沒有問題,那麼就生成一個隨即值(後續對稱加密中用的私匙)然後用證書(客戶端下發的公匙)對該隨機值(客戶端生成的私匙)進行加密。

5. 傳送加密資訊

傳送的是用證書加密後的隨機值(客戶端私匙),目的就是讓服務端得到客戶端生成的私匙,以後客戶端和服務端的通訊就可以走對稱加密流程了,也就是通過這個客戶端產生的私匙來進行加密解密了。

6. 服務段解密資訊

服務端用私鑰(這個是第2步中和公匙對應的非對稱加密的私匙)解密後,得到了客戶端傳過來的隨機值(對稱加密的私鑰),然後把內容通過該值進行對稱加密。所謂對稱加密就是,將資訊和私鑰通過某種演算法混合在一起,這樣除非知道私鑰,不然無法獲取內容,而正好客戶端和服務端都知道這個私鑰,所以只要加密演算法夠彪悍,私鑰夠複雜,資料就夠安全。

7. 傳輸加密後的資訊

這部分資訊是服務段用對稱加密私鑰加密後的資訊,可以在客戶端被還原

8. 客戶端解密資訊

客戶端用之前生成的私鑰解密服務段傳過來的資訊,於是獲取瞭解密後的內容。整個過程第三方即使監聽到了資料,也束手無策。

SSL的位置

SSL介於應用層和TCP層之間。應用層資料不再直接傳遞給傳輸層,而是傳遞給SSL層,SSL層對從應用層收到的資料進行加密,並增加自己的SSL頭。


RSA效能是非常低的,原因在於尋找大素數、大數計算、資料分割需要耗費很多的CPU週期,所以一般的HTTPS連線只在第一次握手時使用非對稱加密,

(之前步驟的1-4)通過握手交換對稱加密金鑰(之前步驟的5-6),在之後的通訊走對稱加密(之前步驟的7-8)。

http://www.cnblogs.com/ttltry-air/archive/2012/08/20/2647898.html

HTTPS在傳輸資料之前需要客戶端(瀏覽器)與服務端(網站)之間進行一次握手,在握手過程中將確立雙方加密傳輸資料的密碼資訊。TLS/SSL協議不僅僅是一套加密傳輸的協議,更是一件經過藝術家精心設計的藝術品,TLS/SSL中使用了非對稱加密,對稱加密以及HASH演算法。握手過程的具體描述如下:


1.瀏覽器將自己支援的一套加密規則傳送給網站。 
2.網站從中選出一組加密演算法與HASH演算法,並將自己的身份資訊以證書的形式發回給瀏覽器
。證書裡面包含了網站地址,加密公鑰,以及證書的頒發機構等資訊。 
3.瀏覽器獲得網站證書之後瀏覽器要做以下工作: 
a) 驗證證書的合法性(頒發證書的機構是否合法,證書中包含的網站地址是否與正在訪問的地址一致等),如果證書受信任,則瀏覽器欄裡面會顯示一個小鎖頭,否則會給出證書不受信的提示。 
b) 如果證書受信任,或者是使用者接受了不受信的證書,瀏覽器會生成一串隨機數的密碼,並用證書中提供的公鑰加密。 
c) 使用約定好的HASH演算法計算握手訊息,並使用生成的隨機數對訊息進行加密,最後將之前生成的所有資訊傳送給網站。 
4.網站接收瀏覽器發來的資料之後要做以下的操作: 
a) 使用自己的私鑰將資訊解密取出密碼,使用密碼解密瀏覽器發來的握手訊息,並驗證HASH是否與瀏覽器發來的一致。 
b) 使用密碼加密一段握手訊息,傳送給瀏覽器。 
5.瀏覽器解密並計算握手訊息的HASH,如果與服務端發來的HASH一致,此時握手過程結束,之後所有的通訊資料將由之前瀏覽器生成的隨機密碼並利用對稱加密演算法進行加密

      這裡瀏覽器與網站互相傳送加密的握手訊息並驗證,目的是為了保證雙方都獲得了一致的密碼,並且可以正常的加密解密資料,為後續真正資料的傳輸做一次測試。另外,HTTPS一般使用的加密與HASH演算法如下:


      非對稱加密演算法:RSA,DSA/DSS  (有一個公匙和一個私匙)
      對稱加密演算法:AES,RC4,3DES    (只有一個私匙)
      HASH演算法:MD5,SHA1,SHA256


總結:

伺服器用RSA生成一對公鑰和私鑰

把公鑰放在證書裡傳送給客戶端,私鑰自己儲存

客戶端首先向一個權威的伺服器檢查證書的合法性,如果證書合法,客戶端產生一段隨機數,這個隨機數就作為通訊的金鑰,我們稱之為對稱金鑰,用公鑰加密這段隨機數,然後傳送到伺服器

伺服器用金鑰解密獲取對稱金鑰,然後,雙方就已對稱金鑰進行加密解密通訊了