调兵山网站,聊城网站营销信息,阳江12345网络问政平台,wordpress注册页面主题下图为握手协议的流程图#xff0c;具体的解释参考博客#xff1a;
【下】安全HTTPS-全面详解对称加密#xff0c;非对称加密#xff0c;数字签名#xff0c;数字证书和HTTPS_tenfyguo的博客-CSDN博客 下面梳理一下SSL协议中的一些细节。首先是相关名词#xff1a;证书、… 下图为握手协议的流程图具体的解释参考博客
【下】安全HTTPS-全面详解对称加密非对称加密数字签名数字证书和HTTPS_tenfyguo的博客-CSDN博客 下面梳理一下SSL协议中的一些细节。首先是相关名词证书、签名、非对称加密、预主秘钥。
签名和非对称加密
非对称加密是一类加密算法使用两个不同的秘钥公开的称之为公钥不对外公开的叫私钥公钥-私钥是成对的公钥加密的数据可以用私钥解密私钥加密的数据可以用公钥解密但是公钥加密的不能用公钥解密。非对称加密的RSA算法可以参考我之前写的一篇博客算法非常简单。
SSL-RSA加密算法实践_腾昵猫的博客-CSDN博客
证书
证书包含3种根证书、中间证书、服务器证书。
根证书是顶层的证书这个证书就是一个私钥和一个公钥。公钥发布安装给各个客户端和浏览器也就是客户端的根证书。
中间证书是CA生成的服务器提交CSR文件这个接下来介绍以后服务器会针对这个服务器生成一对非对称加密的秘钥然后将公钥写到中间证书中并用根证书的私钥对中间证书进行签名客户端根证书有相关CA的公钥通过公钥可以解开中间证书上根证书的签名使得中间证书可信。接着通过中间证书的私钥对服务器证书进行签名用户在SSL握手时会得到中间证书其中包含中间证书公钥用户可以通过该公钥解开服务器证书上的签名使得服务器证书可信。也就是形成一个“根证书-中间证书-服务器证书”的信任链。
服务器证书是服务器生成的一个证书里面包含了一些标明身份的信息。并且这个服务器证书使用了服务器自己的私钥进行了签名这个服务器证书在SSL握手过程中也会发给用户里面包含公钥通过公钥可以验证签名保证服务器证书不被篡改。
证书的生命过程包括申请和使用。
在申请证书时服务器会生成一个CSR文件其中包含了服务器的公钥和相关信息。服务器将这个CSR文件发送给CA以请求签发证书。CSR文件的具体生成过程如下 生成密钥对服务器首先会生成一对密钥包括公钥和私钥。通常使用非对称加密算法如RSA或ECDSA生成密钥对。 生成CSR文件服务器使用生成的密钥对以及服务器的相关信息生成CSR文件。具体的生成步骤如下 主题信息CSR文件中包含了服务器的主题信息包括组织名称、通用名称域名、国家/地区、州/省、城市等。 公钥CSR文件中也包含了服务器的公钥信息。 数字签名CSR文件会使用服务器的私钥对上述主题信息进行数字签名以确保CSR的完整性和真实性。 提交CSR文件生成CSR文件后服务器会将该文件提交给证书颁发机构CA以请求签发数字证书。 SSL协议并不是所有阶段都使用非对称加密的而是只在握手阶段进行非对称加密而在接下来使用的都是对称加密。对称加密就得协商怎么生成一个秘钥其中会用到一种秘钥协商算法是Diffie-Hellman算法如下 Diffie-Hellman密钥协商算法是一种用于在不安全的通信渠道上协商共享密钥的方法它的基本原理如下 密钥协商参数生成 选择一个大素数p和一个原根g将它们作为公开的全局参数。 发送者通常是客户端选择一个私密的随机数a并计算发送者的公钥A g^a mod p。 接收者通常是服务器选择一个私密的随机数b并计算接收者的公钥B g^b mod p。 发送者和接收者分别将自己的公钥发送给对方。 密钥协商过程 发送者收到接收者的公钥B后计算共享密钥K B^a mod p。 接收者收到发送者的公钥A后计算共享密钥K A^b mod p。 发送者和接收者计算得到的共享密钥K是相同的可以作为后续通信的对称密钥。 Diffie-Hellman密钥协商算法的关键在于即使在不安全的通信渠道上攻击者可以截获公开的参数和公钥但由于无法轻易计算出私密的随机数a和b无法直接推导出共享密钥K。因此Diffie-Hellman算法具有前向安全性。 为了增加安全性通常还会对生成的共享密钥K进行进一步的处理如通过密钥派生函数生成会话密钥用于后续的加密和解密操作。 需要注意的是Diffie-Hellman密钥协商算法本身并不提供身份验证和数据完整性保护通常需要与其他安全机制如数字签名和消息认证码结合使用以确保通信的安全性。
