From d53dc3a88192fc25d45939a0ef3772e8b90ba933 Mon Sep 17 00:00:00 2001
From: fuchencong <fuchencong@163.com>
Date: Tue, 26 Nov 2024 13:50:56 +0800
Subject: [PATCH] Site updated: 2024-11-26 13:50:55

---
 .../19/bulletproof-ssl-and-tls-01/index.html  | 55 ++++++++++++-------
 1 file changed, 36 insertions(+), 19 deletions(-)

diff --git a/2023/10/19/bulletproof-ssl-and-tls-01/index.html b/2023/10/19/bulletproof-ssl-and-tls-01/index.html
index ce3733ea7..54799844b 100644
--- a/2023/10/19/bulletproof-ssl-and-tls-01/index.html
+++ b/2023/10/19/bulletproof-ssl-and-tls-01/index.html
@@ -28,7 +28,7 @@
 <meta property="og:description" content="本系列文章是《HTTPS 权威指南：在服务器和 Web 应用上部署 SSL&#x2F;TLS 和 PKI》一书的读书笔记，该书的作者是 Ivan Ristić，除了本书，他的作品还有 《Apache Security》、《ModSecurity Handbook》。以下是他在本书的自我介绍： 1Ivan Ristić 是一位安全研究员、工程师、作者。他对于 Web 应用防火墙领域的发展，开源 We">
 <meta property="og:locale" content="zh_CN">
 <meta property="article:published_time" content="2023-10-19T04:13:15.000Z">
-<meta property="article:modified_time" content="2023-10-19T04:16:18.315Z">
+<meta property="article:modified_time" content="2024-11-26T05:50:34.282Z">
 <meta property="article:author" content="fuchencong">
 <meta property="article:tag" content="SSL">
 <meta name="twitter:card" content="summary">
@@ -219,12 +219,12 @@ <h1 class="post-title" itemprop="name headline">
 <p>安全领域变得越来越复杂，理解攻击和威胁往往就是其工作的一部分。在日常工作中，通常都是把 OpenSSL 库作为黑盒子使用，但是随着对 Nginx 开发维护的深入，当前在 SSL&#x2F;TLS 的知识储备不足以支撑我更深入地排查问题，因此想通过系统阅读相关书籍来加深对 SSL&#x2F;TLS 的理解。以上就是我阅读本书的初衷。</p>
 <span id="more"></span>
 
-<h2 id="传输层安全"><a href="#传输层安全" class="headerlink" title="传输层安全"></a>传输层安全</h2><p>所有连接到互联网的设备都有一个共同点，它们依赖安全套接字层（secure socket layer，SSL）和传输层安全（transport layer security，TLS）协议保护传输的信息。SSL 和 TLS 都是加密协议，旨在基于不安全的基础设施提供安全通信。这些协议保护着通信链路即传输层，这也是 TLS 名称的由来。</p>
+<h2 id="传输层安全"><a href="#传输层安全" class="headerlink" title="传输层安全"></a>传输层安全</h2><p>所有连接到互联网的设备都有一个共同点，它们依赖安全套接字层（secure socket layer，SSL）和传输层安全（transport layer security，TLS）协议保护传输的信息。<strong>SSL 和 TLS 都是加密协议，旨在基于不安全的基础设施提供安全通信。这些协议保护着通信链路即传输层，这也是 TLS 名称的由来</strong>。</p>
 <p>TLS 有以下四个主要目标：</p>
 <ul>
 <li>加密安全：为任意愿意交换信息的双方启用安全通信</li>
 <li>互操作性：独立的编程人员应该能够使用通用的加密参数开发程序和库，使它们可以相互通信</li>
-<li>可扩展性：TLS是一种能高效开发和部署加密协议的框架</li>
+<li>可扩展性：TLS是一种能高效开发和部署加密协议的框架，它能独立于实际使用的加密基元（例如密码和散列函数）</li>
 <li>效率：最终的目标是在实现上述所有目标的基础上保持性能成本在可接受的范围内</li>
 </ul>
 <h2 id="网络层"><a href="#网络层" class="headerlink" title="网络层"></a>网络层</h2><p>互联网的核心建立在 TCP&#x2F;IP 协议族之上，但是 TCP&#x2F;IP 协议族的核心协议本身不提供任何安全保障，任何有权访问通信链路的人都可以获得所有数据，并且可以在不被察觉情况下改变这些数据。</p>
@@ -246,7 +246,8 @@ <h3 id="构建基块"><a href="#构建基块" class="headerlink" title="构建
 <h4 id="对称加密"><a href="#对称加密" class="headerlink" title="对称加密"></a>对称加密</h4><p>对称加密（symmetric encryption）又称私钥加密（private-key cryptography），是一种混淆算法，能够让数据在非安全信道上进行安全通信。根据 <code>Auguste Kerckhoffs</code> 原则：</p>
 <figure class="highlight bash"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">即使攻击者知晓了整个密码系统除密钥以外的所有情报，系统仍然应当能保证安全。</span><br></pre></td></tr></table></figure>
 
-<p>所以我们可以认为密文的安全性完全取决于密钥。密码可以分为两类：</p>
+<p>优秀的加密算法需要产出表面上看起来完全随机的密文，这样攻击者就无法通过无法分析得出任何关于明文的信息。因此替换密码就不是一种好的算法，因为攻击者可以确定密文中各个字母的使用频率，并与英语中的字母使用频率进行对比。如果加密算法优秀，攻击者只有一种方法，那就是尝试所有可能的解码密钥，俗称穷举密钥搜索(exhaustive key search)。</p>
+<p>所以我们可以认为密文的安全性完全取决于密钥。通常我们通过密钥长度来衡量加密长度（前提是密钥本质上是随机的）。密码可以分为两类：</p>
 <ul>
 <li><code>序列密码</code></li>
 <li><code>分组密码</code></li>
@@ -256,13 +257,14 @@ <h4 id="对称加密"><a href="#对称加密" class="headerlink" title="对称
 <li>加密就是将密钥序列中的 1 字节与明文序列中的 1 字节进行异或操作</li>
 <li>因为异或操作是可逆的，所以解密就是将密文序列中的1字节与密钥序列中的相同字节进行异或操作</li>
 </ul>
-<p>只要攻击者无法预测密钥序列中对应位置的字节，就可以认为加密过程是安全的。RC4是最为人熟知的序列密码，但是它已经不再安全。</p>
-<p>分组密码（block cipher）每次加密一整块数据，并且现代的分组密码倾向于使用 128位（16 字节）大小的块。一种分组密码就是一个变换函数：接受输入并生成看似杂乱无章的输出。分组密码有一些限制：</p>
+<p>只要攻击者无法预测密钥序列中对应位置的字节，就可以认为加密过程是安全的。<strong>基于这个理由，序列密码绝对不能第二次使用相同的秘钥</strong>。因为攻击者很多时候可以预测特定区域的明文，同时有观察到密文，那么就可以解析一部分密钥序列。RC4是最为人熟知的序列密码，但是它已经不再安全。</p>
+<p>分组密码（block cipher）每次加密一整块数据，并且现代的分组密码倾向于使用 128位（16 字节）大小的块。一种分组密码就是一个变换函数：接受输入并生成看似杂乱无章的输出。分组密码的关键特性是：在输入上制造一个小的变换，就会得到非常不一样的输出变体。</p>
+<p>分组密码本身不是非常有用，因为分组密码有一些限制：</p>
 <ul>
 <li>只能使用它们加密长度等于加密块大小的数据。因此在实际使用分组算法时，需要一个方法处理任意长度的数据</li>
 <li>分组密码是确定的。对于相同的输入，输出也是相同的。这个特性会使许多攻击成为可能，需要解决。</li>
 </ul>
-<p><strong>实践中，人们通过称为 <code>分组密码模式</code>（block cipher mode）的加密方案来使用分组密码</strong>。这种方案能规避这些限制，有时还可以添加身份验证。</p>
+<p><strong>实践中，人们通过称为 <code>分组密码模式</code>（block cipher mode）的加密方案来使用分组密码</strong>。这种方案能规避上述限制，有时还可以添加身份验证。分组密码也可以作为其他加密基元的基础来使用。</p>
 <p>世界上最流行的分组密码是高级加密标准（advanced encryption standard，AES），可以使用 128 位、192 位和 256 位的加密强度。</p>
 <p>分组密码的挑战之一是处理数据长度小于加密块大小的数据加密。一种方法是追加额外的数据到明文的尾部。这些额外的数据就被称为填充（padding）。填充不能由任何随机数据构成，它必须遵循某种格式，这样接收方才可以发现填充并了解需要丢弃多少字节。</p>
 <ul>
@@ -275,15 +277,15 @@ <h4 id="散列函数"><a href="#散列函数" class="headerlink" title="散列
 <li>抗第二原像性（弱抗碰撞性）：给定一条消息和它的散列，计算上无法找到一条不同的消息具有相同的散列</li>
 <li>强抗碰撞性：计算上无法找到两条散列相同的消息</li>
 </ul>
-<p>散列函数最常用的使用场合是以紧凑的方式表示并比较大量数据。散列函数经常被称为指纹、消息摘要，或者简单称为摘要。</p>
-<h4 id="消息验证代码"><a href="#消息验证代码" class="headerlink" title="消息验证代码"></a>消息验证代码</h4><p>散列函数可以用于验证数据完整性，但仅在数据的散列与数据本身分开传输的条件下如此。<strong>否则攻击者可以同时修改数据和散列，从而轻易地避开检测</strong>。消息验证代码（message authentication code，MAC）或者使用密钥的散列（keyed-hash）是以身份验证扩展了散列函数的密码学函数。<strong>只有拥有散列密钥，才能生成合法的 MAC</strong>。</p>
+<p>散列函数最常用的使用场合是以紧凑的方式表示并比较大量数据。<strong>散列函数经常被称为指纹、消息摘要，或者简单称为摘要</strong>。现在使用最为广泛的散列函数是 SHA1，它的输出是 256，由于 SHA1 已经变弱，建议升级为 SHA256 变种。</p>
+<h4 id="消息验证代码"><a href="#消息验证代码" class="headerlink" title="消息验证代码"></a>消息验证代码</h4><p>散列函数可以用于验证数据完整性，但仅在数据的散列与数据本身分开传输的条件下如此。否则攻击者可以同时修改数据和散列，从而轻易地避开检测。<strong>消息验证代码（message authentication code，MAC）或者使用密钥的散列（keyed-hash）是以身份验证扩展了散列函数的密码学函数。只有拥有散列密钥，才能生成合法的 MAC</strong>。</p>
 <p>MAC 通常与加密一起使用。如果没有 MAC，即使攻击者无法解密密文，他也能修改传输中的数据。加密提供了机密性但无法确保完整性。当 MAC 和密文一起发送时，Bob 就能确认消息并没有篡改。</p>
 <p>任何散列函数都能用作 MAC 的基础，另一个基础是基于散列的消息验证代码（hash-based message authentication code，HMAC）。HMAC 本质就是将散列密钥和消息以一种安全的方式交织在一起。</p>
-<h4 id="分组密码模式"><a href="#分组密码模式" class="headerlink" title="分组密码模式"></a>分组密码模式</h4><p>分组密码模式是为了加密任意长度的数据而设计的密码学方案，是对分组密码的扩展。</p>
+<h4 id="分组密码模式"><a href="#分组密码模式" class="headerlink" title="分组密码模式"></a>分组密码模式</h4><p>上文说过，单纯的分组密码用处不大，我们需要使用 <code>分组密码模式</code> 来实现加密。<strong>分组密码模式是为了加密任意长度的数据而设计的密码学方案，是对分组密码的扩展</strong>。</p>
 <ul>
-<li><p>电码本（electronic codebook，ECB）：模式是最简单的分组密码模式。它只支持数据长度正好是块大小的整数倍的情况，如果数据长度不满足这个条件，就得事先实施填充。加密就是将数据 按块大小切分，再分别加密每一块。ECB 的简单就是它的劣势。因为分组密码是确定的（输入相同，输出也相同）。攻击者可以观察密文并且提交任意明文加密，如此尝试足够的次数，就能猜出明文</p>
+<li><p>电码本（electronic codebook，ECB）：该模式是最简单的分组密码模式。它只支持数据长度正好是块大小的整数倍的情况，如果数据长度不满足这个条件，就得事先实施填充。加密就是将数据 按块大小切分，再分别加密每一块。ECB 的简单就是它的劣势。因为分组密码是确定的（输入相同，输出也相同）。攻击者可以观察密文并且提交任意明文加密，如此尝试足够的次数，就能猜出明文</p>
 </li>
-<li><p>加密块链接（cipher block chaining，CBC）：模式是从 ECB 发展。为了解决 ECB 天生的确定性，CBC 引入了初始向量（initialization vector，IV）的概念。即使输入相同，IV 也可以使每次的输出都不相同：</p>
+<li><p>加密块链接（cipher block chaining，CBC）：该模式是从 ECB 发展。为了解决 ECB 天生的确定性，CBC 引入了初始向量（initialization vector，IV）的概念。即使输入相同，IV 也可以使每次的输出都不相同：</p>
 <ul>
 <li>整个过程开始于生成一个随机 IV（因此不可预测），长度与加密块相等</li>
 <li>加密前，明文第一块内容与 IV 进行异或操作。这一步对明文进行了掩饰，并保证密文总是不尽相同</li>
@@ -293,6 +295,7 @@ <h4 id="分组密码模式"><a href="#分组密码模式" class="headerlink" tit
 </ul>
 </li>
 </ul>
+<p>CBC 仍然是 SSL 和 TLS 的主要模式。另外，GCM 是 TLS 中相对较新的模式，从 1.2 版本开始才能使用。它提供了机密性和完整性，是当前可用的最好模式。</p>
 <h4 id="非对称加密"><a href="#非对称加密" class="headerlink" title="非对称加密"></a>非对称加密</h4><p>对称加密在高速处理大量数据方面做得非常好，然而随着使用它的团体增加，产生了更多的需求，使得对称加密无法满足：</p>
 <ul>
 <li>相同团体的成员必须共享相同的密钥</li>
@@ -303,23 +306,37 @@ <h4 id="非对称加密"><a href="#非对称加密" class="headerlink" title="
 <li>如果你利用某人的公钥加密数据，那么只有他们对应的私钥能够解密</li>
 <li>如果某人用私钥加密数据，任何人都可以利用对应的公钥解开消息。该操作不提供机密性，但可以用作数字签名</li>
 </ul>
-<p>非对称加密使得大规模团体的安全通信大幅简化。虽然公钥密码的属性非常有趣，但它却非常缓慢，不适用于数据量大的场景。<strong>因此，它往往被部署于进行身份验证和共享密钥的协商，这些密钥后续将用于快速的对称加密</strong>。</p>
-<p>RSA（得名于三个人的姓氏首字母:Ron Rivest、Adi Shamir和Leonard Adleman）是目前最普遍部署的非对称加密算法。现在推荐的RSA强度是 2048 位，强度等同于 112 位的对称密钥。</p>
+<p>非对称加密使得大规模团体的安全通信大幅简化。假设你可以广泛并且安全地分享你的公钥（通过 PKI），那么任何人都可以向你发送消息，而只有你可以阅读。</p>
+<p>虽然公钥密码的属性非常有趣，但它却非常缓慢，不适用于数据量大的场景。<strong>因此，它往往被部署于进行身份验证和共享密钥的协商，这些密钥后续将用于快速的对称加密</strong>。</p>
+<p>RSA（得名于三个人的姓氏首字母:Ron Rivest、Adi Shamir和 Leonard Adleman）是目前最普遍部署的非对称加密算法。现在推荐的RSA强度是 2048 位，强度等同于 112 位的对称密钥。</p>
 <h4 id="数字签名"><a href="#数字签名" class="headerlink" title="数字签名"></a>数字签名</h4><p>数字签名（digital signature）是一个密码学方案。它使得验证一条电子消息或者一篇电子文档的真实性成为可能。前面描述的 MAC 就是一种电子签名，<strong>它可以利用事先安全交换的散列密钥验证真实性</strong>。虽然这种校验非常有用，但仍有不足，因为它仍然依赖于一个私有密钥。</p>
 <p>借助公钥密码，数字签名可以与现实生活中的手写签名类似。我们可以利用公钥密码的非称性设计出一种算法，使用私钥对消息进行签名，并使用对应的公钥验证它。实际的方式依照选择的公钥密码体系而有所不同。</p>
-<h4 id="随机数生成"><a href="#随机数生成" class="headerlink" title="随机数生成"></a>随机数生成</h4><p>在密码学中，所有的安全性都依赖于生成随机数的质量。安全性构建于已知的算法和未知的密钥之上，而密钥最简单的形式就是非常长的随机数。随机数生成是不容易的，是因为计算机是十分善于预测的，它们会严格按照指令执行。</p>
+<h4 id="随机数生成"><a href="#随机数生成" class="headerlink" title="随机数生成"></a>随机数生成</h4><p>在密码学中，所有的安全性都依赖于生成随机数的质量。<strong>安全性构建于已知的算法和未知的密钥之上</strong>，而密钥最简单的形式就是非常长的随机数。随机数生成是不容易的，是因为计算机是十分善于预测的，它们会严格按照指令执行。</p>
 <p>在计算机中，真随机数生成器（true random number generator，TRNG）是很难的，实际使用中依靠的是伪随机数生成器（pseudorandom number generator，PRNG）。当然，PRNG 也要利用少量真正的随机数使系统运转起来。这个过程被称为 <code>种子设定（seeding）</code>。利用种子，PRNG根据需要构造出无限数量的伪随机数。</p>
 <p>普通用途的 PRNG 被常常用于编程，但它们并不适用于密码学，尽管其输出看起来就是随机的。加密安全伪随机数生成器（cryptographically secure pseudorandom number generator，CPRNG）是不可预测的 PRNG。这个性质对安全来说非常关键</p>
-<h3 id="协议"><a href="#协议" class="headerlink" title="协议"></a>协议</h3><p>加密基元本身其实没什么用，诸如加密和散列算法。我们只有将这些元素组合成方案和协议，才能满足复杂的安全需求。一个协议大致要实现如下工作：</p>
+<h3 id="协议"><a href="#协议" class="headerlink" title="协议"></a>协议</h3><p>加密基元本身其实没什么用，诸如加密和散列算法。我们只有将这些元素组合成方案和协议，才能满足复杂的安全需求，包括机密性、完整性和真实性。一个协议大致要实现如下工作：</p>
 <ul>
-<li>在握手阶段开始，包括身份验证和密钥交换（生成后续 <code>加密使用的密钥</code>、<code>完整性验证所需要的密钥</code>）</li>
-<li>数据交换阶段，保证机密性（例如 AES 算法）和完整性（使用只有双方知道的散列密钥计算每个消息的 MAC）</li>
+<li>在握手阶段开始，包括身份验证和密钥交换（生成后续 <code>加密使用的密钥</code>、<code>完整性验证所需要的密钥</code>）<ul>
+<li>可以使用上文介绍的公钥密码对会话双方进行身份验证</li>
+<li>可以使用密钥交换方案对加密密钥进行协商。<ul>
+<li>例如 Alice 生成所有密钥，并使用 Bob 的公钥加密，发给 Bob，这就是 RSA 密钥交换的工作方式</li>
+<li>也可以使用 Diffie-Hellman（DH）密钥交换协议作为替代</li>
+</ul>
+</li>
+</ul>
+</li>
+<li>数据交换阶段，保证机密性（例如 AES 算法）、完整性和真实性（使用只有双方知道的散列密钥计算每个消息的 MAC）<ul>
+<li>使用消息序列号防止丢弃或者重放任意消息</li>
+</ul>
+</li>
 <li>以关闭序列结束</li>
 </ul>
+<p>从宏观角度来讲，这就是 SSL&#x2F;TSL 所完成的工作。</p>
 <h3 id="攻击密码"><a href="#攻击密码" class="headerlink" title="攻击密码"></a>攻击密码</h3><p>复杂系统往往会受到多种方式的攻击，密码系统也不例外。人们一般都能很好地理解加密基元，因为它们相对直接，并且只完成一件工作。整体方案往往更容易遭受攻击，因为它们引入了额外的复杂性。此外，也存在针对协议实现（implementation）的攻击，即利用软件的 bug。所以，我们通常会说加密被绕过，而不是被攻击。这句话意味着使用的基元都很坚实，但软件体系不牢固。</p>
 <h3 id="衡量强度"><a href="#衡量强度" class="headerlink" title="衡量强度"></a>衡量强度</h3><p>我们使用攻破某个基元所需执行的操作数量衡量密码系统的强度，以安全位数来表示。实际使用的情况更复杂一些，因为并非所有操作的安全性都能同等度量。当我们讨论安全性时，提出诸如 <code>针对谁的安全</code> 和 <code>多长时间的安全</code> 这种问题会更有价值。</p>
 <h3 id="中间人攻击"><a href="#中间人攻击" class="headerlink" title="中间人攻击"></a>中间人攻击</h3><p>针对传输层安全性的攻击绝大多数来自中间人（man-in-the-middle，MITM）攻击。理论上，执行 MITM 攻击的最简单方法是加入网络，然后将受害者的通信重新路由到恶意节点。</p>
-<p>有一个问题需要额外注意，即是否支持 <code>前向保密</code>（forward secrecy）。例如 TLS 中最常见的密钥交换算法是基于 RSA 算法的，在使用这种算法的系统中，密钥交换使用的 RSA密钥 也用于解密过去所有的会话。</p>
+<p>如果攻击者只是监听双方的会话，我们称之为被动网络攻击（passive network attack）。如果攻击者主动改变数据流或者影响双方会话，我们则称之为主动网络攻击（active network attack）。</p>
+<p>有一个问题需要额外注意，即是否支持 <code>前向保密</code>（forward secrecy）。例如 TLS 中最常见的密钥交换算法是基于 RSA 算法的，在使用这种算法的系统中，密钥交换使用的 RSA密钥也用于解密过去所有的会话。所以 RSA 算法是不支持 <code>前向保密</code> 的。</p>
 
     </div>