听说这是程序员被黑得最惨的一次 - SSL/TLS协议原理解析
本文系做者学习后巩固知识点,错误之处烦请点出,本文从叙述一个小故事的视角来介绍 SSL/TLS 的原理,但愿对读者有所启发。html
背景
程序员小明想给隔壁小红写信表白,可是又不想让信件内容被其余人看见,但愿只有小红才能看见信件内容,火烧眉毛的小明的大脑飞快运转起来。程序员
预备基础知识
对称密钥加密(Symmetric Key Cryptography):加密与解密使用相同密钥。对称加密算法的特色是算法公开、计算量小、加密速度快、加密效率高。缺点是交易双方都使用一样钥匙,安全性得不到保证。算法
非对称密钥加密(Asymmetric Key Cryptography):加密与解密使用不一样密钥。非对称加密使用一对秘钥,一个用来加密,一个用来解密,并且公钥是公开的,秘钥是本身保存的,其安全性更好。缺点是加密和解密花费时间长、速度慢,只适合对少许数据进行加密。安全
哈希算法(Hash Algorithm):又称散列算法,杂凑算法,是一种从任意文件中创造小的数字「指纹」的方法。与指纹同样,散列算法就是一种以较短的信息来保证文件惟一性的标志,这种标志与文件的每个字节都相关,并且难以找到逆向规律。所以,当原有文件发生改变时,其标志值也会发生改变,从而告诉文件使用者当前的文件已经不是你所需求的文件。性能
信件加密(对称加密)
小明想到对信件内容进行加密,而加密算法通常分为 对称加密 与 非对称加密 两种。非对称加密对加密性能较差,对加密内容有长度限制,因此加密信件内容咱们只能选择对称加密方式。使用对称加密算法和一个 会话秘钥 对信件内容加密,当小明把加密好的信件送给小红,小红收到密信后须要使用同一个会话秘钥进行解密,小明该如何才能安全地把会话秘钥送到小红手上呢?学习
会话秘钥加密(非对称加密)
直接将会话秘钥和信件打包一块儿发出去,若是赶上了和小明同样懂得加密算法的程序员,那信件内容至关于不设防,因此咱们也要想办法对秘钥进行加密,由于秘钥的长度通常都不会太长,因此咱们可使用非对称加密算法加密秘钥 。加密
非对称加密秘钥有两份,能够任选一把做为 私钥 ,供本身使用,另一把做为 公钥 ,分发出去供收信方使用。小明用本身的私钥对会话秘钥进行加密,这样会话密钥就能够确保安全了。可是小明仍然没法保证公钥能安全送到小红手中,若是公钥被坏人获得了,甚至能够假冒成小红与小明互相通讯,细思恐极之下,小明陷入了深思中。操作系统
权威机构
N多年过去了,小明经过不懈努力,终于找到了安全传输公钥的办法。小明创建了一个权威机构,该权威机构专门颁布一种数字证书,因为该权威机构驰名海内网而且公认信用可靠,它颁布数字证书基本能够肯定证书内容可靠,在其之下还有不少各级证书颁布机构,受大众信任程度各不相同。咱们的电脑在安装操做系统时,系统顺带安装了一些受信任的证书颁布机构的证书,证书包含有这些机构秘钥对应的公钥。3d
数字证书
小明只要去证书颁布机构申请一个数字证书,数字证书中包含了很多于如下几项内容:code
- 证书的发布机构
- 证书的有效期
- 公钥
- 证书的全部者
- 签名所使用的算法
- 指纹以及指纹算法
而后将数字证书发给小红,小红获得数字证书后,经过证书发布机构的公钥(默认安装在系统中)能够对证书内容解密,若是成功解密,说明该证书来源真实可靠,以该证书颁布机构的名誉保证。数字证书中的 证书全部者 保证了公钥来自于小明,而不是来自于隔壁老王的儿子小王。来源可靠,可是不能保证证书内容没有被别人篡改,这个时候就涉及到了指纹和数字签名。
指纹
1. 指纹加密
证书颁布机构在给小明发证书时,把证书的发布机构、证书的有效期、公钥、证书的全部者等信息以明文的形式写到证书里面,而后用一个指纹算法计算出这些数字证书内容的一个指纹,并把指纹和指纹算法用本身的私钥进行加密获得数字签名,而后这些内容一块儿打包发给小明,还会将一个专属于小明私钥给到小明,这个私钥和证书中的公钥为一对。
2. 指纹验证
而这个证书由小明又转送至小红手中,首先小红读取证书中的证书颁发机构为SecureTrust CA ,而后会在操做系统中受信任的发布机构的证书中去找SecureTrust CA的证书,若是找不到,那说明证书的发布机构是个水货发布机构,小明的证书和内容可能有问题。 若是在系统中找到了SecureTrust CA的证书,那么从证书中取出SecureTrust CA的公钥,而后对小明的证书里面的数字签名用这个公钥进行解密,获得指纹和指纹算法,而后使用这个指纹算法计算小明的证书的指纹,将这个计算出来指纹与放在证书中的指纹对比,若是一致,说明小明的证书确定没有被修改过而且证书是SecureTrust CA发布的。
握手流程
最终小红能够安全地拿到小明的公钥,每次写信的时候随机生成一个会话秘钥,再使用公钥对会话秘钥加密后发给小明,小明用本身的私钥解密获得会话秘钥,而后对会话秘钥hash后,将hash值加密发回给小红,小红使用公钥解密获得hash值,而后本身也对会话秘钥进行hash计算,对比本身算出的hash值和对方发过来的hash值,若是一直就能够确认对方是持有私钥的小明了。而后双方就可使用这个会话秘钥进行通讯了。
虽然如今信件若是被第三方持有了也没法得知信件内容,可是赶上无聊的人他仍然能够对信件内容进行破坏。在每次发送信息时,先对信息的内容进行一个hash计算得出一个指纹,将信息的内容和这个指纹一块儿加密后发送。接收方在收到后进行解密获得明文的内容和指纹,而后接收方再本身对收到信息内容作一次hash计算,与收到的指纹进行对比看是否匹配,若是匹配就说明信息在传输过程当中没有被修改过。若是不匹配说明中途有人故意对加密数据进行了修改,马上中断通话过程后作其它处理。
结语
到这里,小明终于能够给小红写信了,然而小红已经和隔壁老王的儿子小王在一块儿了。小明气急,磨刀霍霍向小王...
欲知后事如何,赶忙点赞。有错误之处烦请指出
参考
- 1. 听说这是程序员有史以来被黑的最惨的一次
- 2. 据说这是程序员有史以来被黑的最惨的一次
- 3. 这次是程序员被黑的最惨几项,你晓得哪几个呢?
- 4. 史上Java程序员被黑的最最最惨的一次~
- 5. Chrome被黑得最惨的一次…
- 6. java程序员黑得最惨的一次
- 7. 这绝对是程序员被黑的最惨的一次,被老婆带了无数顶帽子!
- 8. Chrome被黑的最惨的一次
- 9. Java被黑的最惨的一次
- 10. Java 被黑的最惨的一次
- 更多相关文章...
- • BASE原理与最终一致性 - NoSQL教程
- • ARP协议的工作机制详解 - TCP/IP教程
- • 互联网组织的未来:剖析GitHub员工的任性之源
- • Java Agent入门实战(三)-JVM Attach原理与使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。