你的流量加密尚需功能再升级

当今互联网世界安全形势严峻，内容篡改、流量劫持、我的隐私信息泄露等事件层出不穷。为让广大用户能够更安全的使用互联网服务，加密流量的应用愈来愈普遍，其地位也日益重要。在互联网领域，使用最多的流量加密技术就是HTTPS。现在互联网正在经历从明文（HTTP）到加密（HTTPS）的转变。

HTTPS使互联网环境更安全的同时，也带来了不少额外挑战，例如：加密运算消耗更多的CPU资源，这意味着服务器端须要增长更多的硬件（通常而言，HTTPS的硬件成本是同性能HTTP服务的3倍以上）；而在移动客户端，如手机、平板电脑等环境中，这则意味着消耗更多电池电量。此外，HTTPS在握手阶段引入额外RTT，加上加解密运算的额外时间开销，增长了HTTP请求的时延，极大的影响了用户体验。

为应对上述挑战，HTTPS尚需功能升级，白山研发团队率先进行尝试，新增：TLS1.3协议、RSA多素数支持、ChaCha20算法支持及HTTPS可视化运营等特性，具体以下图：

1、TLS 1.3协议——更低时延、更安全

TLS 1.3协议依循极简主义的设计哲学，祛除并修复了旧版本中的坏味道，将密钥交换、对称加解密、压缩等环节中可能存在的安全隐患剔除出该版本，包括：

• TLS 1.3协议中选取的密钥交换算法均支持前向安全性，废除了RSA秘钥交换和静态DH密钥交换等不支持前向安全性的算法；
• DSA证书做为历史遗留产物，还没有被大规模使用过，加之安全性较差，故在TLS 1.3协议中被废弃；
• 禁用自定义的DH组参数，防止受到Key Recovery Attack攻击；
• 禁用CBC模式，经实践证实这种对称加密模式尚存在安全隐患；
• 禁用RC4流加密算法：2013年，英国皇家哈洛威学院的研究人员发现一种针对TLS的攻击，可从RC4算法加密的密文中恢复出少许明文；
• 禁用SHA1摘要算法：2017年初Google与荷兰研究机构CWI Amsterdam共同宣布已破解SHA1；
• 禁用出口密码套件：2000年美国放宽密码出口管制，随后出现的FREAK和LogJam攻击，能够经过中间人将加密套件降级成出口套件，进而将数据破解；
• 禁用TLS压缩：TLS压缩存在安全漏洞，攻击者经过漏洞能够实行会话劫持并发动进一步攻击；
• 加密握手消息：TLS1.3协议规定在ServerHello消息后的握手信息须要加密。TLS1.2及以前版本的协议中各类扩展信息在ServerHello中以明文方式发送，在新版本中可在加密以后封装到EncryptedExtension消息中，在ServerHello消息后发送，增长数据安全性。
  HTTPS提升网络安全的同时也增长了额外的性能消耗，如：额外的SSL握手交互过程，数据加解密对CPU的消耗等。TLS1.3在提升效率方面进行了大量改进，特别是对SSL握手过程从新设计，将握手的交互延时从2-RTT下降为1-RTT甚至是0-RTT。在网络环境较差或节点距离较远的状况下，这种优化可节省几百毫秒的时间。这几百毫秒就能决定用户下一步的行为是继续浏览仍是关闭。性能提高包括：
• 1-RTT握手机制：以ECDHE密钥交换过程为例，握手过程以下。将客户端发送ECDH临时公钥的过程提早至ClientHello ，同时删除ChangeCipherSpec协议简化握手过程，使第一次握手只须要一个RTT。
  

• 0-RTT握手机制：为使TLS协议性能获得极致提高，TLS 1.3提出了0-RTT的握手机制。对于用户最近访问过的网站，可在第一次交互时就向服务器发送加密数据。具体实现过程以下：客户端和服务端经过TLS session复用或外部输入的方式共享PSK，这种状况下容许客户端在第一次交互的ClientHello消息中包含使用PSK加密的应用数据。

为展示更加直观的效果，白山搭建了支持TLS 1.3协议的服务器。

对应当前主流浏览器支持的draft-18的服务器：https://tls13.baishancloud.com/
对应最新的draft-21版本的服务器：https://tls13.baishancloud.com:44344

2、RSA多素数——更快、更稳定

简单来讲，多素数RSA是指在生成RSA密钥的时候，在计算固定长度（好比2048位或者4096位）的模数（modulus）的时候，选择多于2个素数并进行相乘获得最终指望长度的modulus。也就是说，n = pq 这种标准RSA的计算方式n = pq ，在多素数RSA中，会变成 n = r1r2r3r4r5... 的形式。这也是多素数（multi-prime RSA）这个名字的由来。

这样作的好处是能够大幅提升RSA私钥计算性能（下降握手时间，减轻服务器压力），具体数据见下图：

由上可知，多素数RSA具有三个特色：

素数个数越多，单个RSA私钥运算所需时间越短，总体性能越高；
其中：

• 3素数相对标准RSA提升25%
• 5素数提升230%
• 8素数提升310%
• 15素数提升近400%

素数个数越多，RSA密钥生成时间越短；

素数个数越多，安全强度越差，私钥被破解的可能性越高

多素数RSA最大优点在于做为一种不须要使用硬件加速卡的低成本方案，能够在某些安全性要求不高的场景下发挥做用。例如：静态图片对安全强度的要求不如动态数据大，可考虑采用多素数RSA方案。

当前OpenSSL对多素数RSA并不支持，白山基于 RFC 8017 在OpenSSL中实现多素数RSA功能，并将其开源，开源代码位于：https://github.com/openssl/op... 目前正向OpenSSL官方合并代码，有望归入OpenSSL 1.1.1版本的发布。

3、ChaCha20算法——更省电

ChaCha20是Google大力推广的一种对称加密算法，用于解决不支持AES硬件加速指令的Android设备的HTTPS性能问题。Google在其Chrome浏览器中增长了对这一算法的支持，同时还支持Poly1305摘要算法，造成了ChaCha20-Poly1305组合，并在2015年和2016年将这组算法标准化，造成 RFC 7539 和 RFC 7905 两篇RFC文档。

在对称加密领域，自从AES算法从性能上超越并取代3DES算法，成为NIST指定的加密算法后，再未出现其余普遍使用而且兼顾性能和安全的对称加密算法。这带来了如下几个问题：

1. 将来若是AES被发现存在问题，人们将不得不退而使用老旧的3DES算法，所以业界须要一个备选算法；
2. 在不支持AES硬件加速指令的设备上，AES算法的性能不具有明显优点（尤为是和某些流加密算法相比）；
3. AES若是实现的不正确，可能存在缓存碰撞时序攻击（AES Cache-Collision Timing Attack）。

而ChaCha20能够较好的解决上述问题。

ChaCha20是一种流加密算法，实现较为简单，而且比纯软件实现的AES性能更好。

性能对比

上图是在不使用AES硬件加速的状况下，对AES和ChaCha20进行的性能对比测试。其中ChaCha20性能是GCM模式AES256的5倍左右。

将ChaCha20同已经濒临灭绝的RC4算法进行了对比，同为流加密算法，ChaCha20的性能达到了RC4的2倍之多。单位时间内运算次数的提升，表示单次操做所需的指令周期更短，而在移动端设备上这种特色直接影响电池电量的消耗。

虽然在HTTPS的场景中，一次全握手产生的功耗要远大于对称加密环节产生的，可是在针对大文件加密、解密操做时，更快的对称加密算法依然存在实际应用价值。

但若是设备已经支持AES硬件加速指令，例如iPhone和部分Android系统手机或支持AES-NI指令的Intel CPU等，AES的速度依然具备绝对优点：

由上图可见，其性能约为ChaCha20的3倍左右，此外GCM模式的AES比CBC模式在有硬件加速的状况下性能提高的更大，这主要是因为GCM模式能够比CBC模式能更好利用硬件流水线进行并发。

HTTPS服务全面支持ChaCha20-Poly1305算法，能够同时采用自动适应客户端算法列表的处理手段：

1. 若是客户端不支持AES硬件加速指令，则优先使用ChaCha20
2. 不然按照服务器的算法优先级顺序选择AES算法
   目前白山支持的TLS加密套件有：
3. TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
4. TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
5. TLS_CHACHA20_POLY1305_SHA256 (TLSv1.3用）

结合以上ChaCha20的性能对比，能够认为该算法最适合在不支持AES硬件加速的Android平台中使用。所以做为应用程序，最好能够判断当前运行的平台是否支持AES指令。如不支持，则将上述TLS加密套件排列在客户端ClientHello消息中最前的位置（根据支持的协议），根据客户端支持的加密套件列表选择最优算法来和客户端握手。在支持AES指令的硬件平台上，推荐优先选择AES-GCM算法；而CBC模式的RSA和RC4算法在不少状况下并不是最好选择，应当尽可能避免过多使用。

4、HTTPS可视化运营——更直观

HTTPS的数字化运营在HTTPS服务的质量监控、服务优化等方面有着举足轻重的做用。

目前白山数字化运营平台对主要关注以下几点：

• HTTPS请求数：可直接观察当前网站的活跃程度，提供用户行为的参考依据；
• HTTPS握手时间统计： 透明化展现握手阶段的时间消耗，同时增长对该耗时的监控，握手时间超过阈值时能快速感知并处理，最大程度保障用户体验；
• HTTPS握手复用率统计：复用表示客户端可直接复用上次与服务端协商获得的密钥。复用率高则表示HTTPS的握手阶段消耗低；当复用率处于较低的水平时，则须要及时调整复用策略；
• 协议分布（主要指SSL/TLS的协议版本）：经过大数据分析获得协议分布状况。大量客户端使用低版本协议发起请求可能意味着异常状况。为提供更好的HTTPS服务，还需关注更加细致的状态参数：
• 加密算法分布：HTTPS服务质量必定程度上取决于加密算法的性能，经过对加密算法统计分析，可有效指导算法优化。例如：90%以上的HTTPS握手会使用RSA算法，白山针对该算法开发多素数RSA功能，并提交到OpenSSL社区，提升了RSA算法效率；
• 客户端分布：不一样客户端可能针对不一样算法有相应的优化，例如ChaCha20在不支持AES硬件加速的Android平台中有比较好的性能，可根据客户端分布状况预判该算法优化效果。另外当产生新的安全漏洞，须要升级或废弃SSL/TLS的某些特性时，须要综合该信息判断影响范围。例如：某些特性的停用会致使部分旧版本客户端没法访问，就能够经过分析这类客户端占比来决定如何处理。

如下是可视化运营平台截图：