其實,我對https以前只有一個大概的了解,最近工作中遇到一個問題從而將https協(xié)議做了一個徹底的學(xué)習和認知,下邊介紹一下我的個人認識,我不一定按照很官方的語句去表達,本人喜歡用通俗易懂的語言描述問題,目的是讓人理解 那么,首先,https協(xié)議是什么,一句話,https=http+ssl安全傳輸協(xié)議+ca身份認證;https是http的安全版,它不僅涵蓋http協(xié)議,而且加入了ssl安全加密傳輸協(xié)議保證數(shù)據(jù)傳輸?shù)陌踩裕琧a身份認證則驗證服務(wù)器域名是否是真實可靠的
1,下面,用一幅圖展示一下https建立連接的整個過程
①客戶端的瀏覽器向服務(wù)器傳送客戶端SSL 協(xié)議的版本號,加密算法的種類,產(chǎn)生的隨機數(shù),以及其他服務(wù)器和客戶端之間通訊所需要的各種信息。
②服務(wù)器向客戶端傳送SSL 協(xié)議的版本號,加密算法的種類,隨機數(shù)以及其他相關(guān)信息,同時服務(wù)器還將向客戶端傳送自己的證書。
③客戶利用服務(wù)器傳過來的信息驗證服務(wù)器的合法性,服務(wù)器的合法性包括:證書是否過期,發(fā)行服務(wù)器證書的CA 是否可靠,發(fā)行者證書的公鑰能否正確解開服務(wù)器證書的“發(fā)行者的數(shù)字簽名”,服務(wù)器證書上的域名是否和服務(wù)器的實際域名相匹配。如果合法性驗證沒有通過,通訊將斷開;如果合法性驗證通過,將繼續(xù)進行第四步。
④用戶端隨機產(chǎn)生一個用于后面通訊的“對稱密碼”,然后用服務(wù)器的公鑰(服務(wù)器的公鑰從步驟②中的服務(wù)器的證書中獲得)對其加密,然后傳給服務(wù)器。
⑤服務(wù)器用私鑰解密“對稱密碼”(此處的公鑰和私鑰是相互關(guān)聯(lián)的,公鑰加密的數(shù)據(jù)只能用私鑰解密,私鑰只在服務(wù)器端保留。然后用其作為服務(wù)器和客戶端的“通話密碼”加解密通訊。同時在SSL 通訊過程中還要完成數(shù)據(jù)通訊的完整性,防止數(shù)據(jù)通訊中的任何變化。
⑥客戶端向服務(wù)器端發(fā)出信息,指明后面的數(shù)據(jù)通訊將使用的步驟⑤中的主密碼為對稱密鑰,同時通知服務(wù)器客戶端的握手過程結(jié)束。
⑦服務(wù)器向客戶端發(fā)出信息,指明后面的數(shù)據(jù)通訊將使用的步驟⑤中的主密碼為對稱密鑰,同時通知客戶端服務(wù)器端的握手過程結(jié)束。
⑧SSL 的握手部分結(jié)束,SSL 安全通道的數(shù)據(jù)通訊開始,客戶和服務(wù)器開始使用相同的對稱密鑰進行數(shù)據(jù)通訊,同時進行通訊完整性的檢驗。
這里有幾個問題: (1)請注意第2步時,當服務(wù)器給客戶端返回自己的證書時,證書包含三部分內(nèi)容,公鑰、名稱、數(shù)字簽名等信息;注意數(shù)字簽名是加密的,數(shù)字簽名是用頒發(fā)機構(gòu)的私鑰對本證書的公鑰,名稱以及其他信息做hash散列加密而成的,所以客戶端需要解密數(shù)字簽名來驗證該證書是否是合法可靠的,那怎么解密呢,客戶端瀏覽器會找到該證書的根證書頒發(fā)機構(gòu),然后在本機上的證書管理器里尋找 那些受信任的根證書頒發(fā)機構(gòu)列表是否有該證書的根證書頒發(fā)機構(gòu),如果有,則用該根證書的公鑰解密服務(wù)器下發(fā)的證書 a,如果不能正常解密,則服務(wù)器下發(fā)的證書則被認為是偽造的,瀏覽器彈出提示框 b,如果能正常解密,則獲取到公鑰,名稱,數(shù)字簽名信息跟本身的公鑰等其他信息比對一下,確認公鑰沒有被篡改,如果公鑰不一致,則依然被認為是不可信的 因此客戶端驗證服務(wù)器的合法性取決于公鑰,而公鑰的合法性取決于ca證書頒發(fā)機構(gòu)的合法性,這里會形成一個信任鏈,而終點則是CA根證書,根證書是CA機構(gòu)自己辦法給自己的,根證書是一個特殊的數(shù)字證書,公鑰是公開的,而私鑰是被CA機構(gòu)保存在硬件中的,所以證書的安全性取決于你對該CA機構(gòu)的信任,反過來說,加入CA機構(gòu)的密鑰被竊取,那么該CA機構(gòu)頒發(fā)的所有證書將會存在災(zāi)難性安全問題; 就像你驗證身份證是否真實,肯定去公安局驗證,那么誰來保證公安局是合法可靠的呢,沒人能保證,公安局自己生命自己是合法可靠的,就這么簡單 (2)ok,上邊扯了那么多,無為就為了一個目的,客戶端根據(jù)服務(wù)器下發(fā)的證書驗證了服務(wù)器是真實可靠的,然后進入第3步,客戶端生成一個密鑰,就是對稱加密算法的密鑰用于加密后續(xù)的數(shù)據(jù)傳輸
總結(jié)一下,https傳輸在建立連接時使用的是非對稱加密算法,一旦連接建立完成,有后續(xù)的通訊則使用了對稱加密算法,這樣做的好處是有利于數(shù)據(jù)傳輸效率,眾所周知非對稱加密算法的性能很差勁,你懂得。
2,好了,上邊我們介紹了https的通信流程,那么對于https通信是否就真的很安全呢,這種協(xié)議是否有問題呢,例如服務(wù)器證書是否可以被偽造呢,客戶端是否有可能被欺騙呢,答案是肯定的,我們接下來介紹幾種常見的攻擊手段。
1)一個合法有效的SSL證書誤簽發(fā)給了假冒者
這是一種由于證書認證機構(gòu)工作出現(xiàn)疏忽、流程不完善而出現(xiàn)的證書被錯誤簽發(fā)的情形。其主要原因是證書認證機構(gòu)在簽發(fā)SSL服務(wù)器證書前,沒有認真鑒別證書申請者提交的身份信息的真?zhèn)危蛘邲]有通過安全可靠的方式驗證、確認申請者就是他提供的身份材料中所聲稱的那個人。比如,假冒者提供了虛假的營業(yè)執(zhí)照、組織機構(gòu)代碼證書、域名注冊文件等,? ? ? 而證書認證機構(gòu)沒有或沒能夠鑒別出假冒者提供的身份信息的真?zhèn)危岩粋€合法有效的證書簽發(fā)給了假冒者;再比如,假冒者向證書認證機構(gòu)提交了其他網(wǎng)站擁有者的有效身份資料,如營業(yè)執(zhí)照、組織機構(gòu)代碼證、域名注冊文件(這些資料,假冒者有時可通過合法的途徑獲得),而證書認證機構(gòu)沒有通過安全、可靠的途徑驗證、確認證書申請者確實是其聲稱的人? ? ? ? 本人(或聲稱的機構(gòu)本身),把本屬于另一個合法有效的網(wǎng)站的服務(wù)器證書簽發(fā)給了假冒網(wǎng)站。無論何種情形,假冒者都可以利用用戶對服務(wù)器證書的信任進行網(wǎng)絡(luò)欺詐活動。
2)破解SSL證書簽發(fā)CA的私鑰
如果SSL證書簽發(fā)CA的密鑰對的安全強度不夠(密鑰長度太短),或者是一個弱密鑰對,或者其產(chǎn)生方式有規(guī)律可循(不是完全隨機產(chǎn)生的),那么,就可能造成CA私鑰被破解,假冒者就可以用被破解的CA的私鑰生成、簽發(fā)合法、有效的SSL服務(wù)器證書。
但在實際中,只要CA的密鑰對有足夠的長度、按完全隨機的方式產(chǎn)生、且避開弱密鑰對,則CA的私鑰是根本無法破解的,或者破解的成本極高,完全超過了破解可能帶來的好處。
3)SSL證書簽發(fā)CA的私鑰泄露
證書認證機構(gòu)由于管理不善,或者使用了不安全的密碼設(shè)備,導(dǎo)致簽發(fā)SSL證書的CA私鑰被泄露,從而使得假冒者可以利用它簽發(fā)合法有效的SSL證書。
這種情況可以通過加強認證機構(gòu)的安全管理,使用安全可靠的密碼設(shè)備來避免。
4)破解SSL證書的私鑰
目前的SSL證書主要是基于RSA公開密鑰算法,對這個算法的攻擊目前除了蠻力攻擊外,還沒有有效的方法。但是,如果SSL證書密鑰對的安全強度不夠(密鑰長度不夠),或者是一個弱密鑰對,或者其產(chǎn)生方式不是完全隨機的,那么,就可能造成SSL證書的私鑰被破解,假冒者就可以將該SSL證書及其被破解的私鑰安裝在假冒網(wǎng)站上進行欺詐活動(SSL證書本身是公開的,可以很容易地得到)。
在實際應(yīng)用中,只要SSL證書密鑰對有足夠的長度、按完全隨機的方式產(chǎn)生、且避開弱密鑰對,則SSL證書的私鑰是根本無法破解的,或者破解的成本極高,完全超過了破解可能帶來的好處。
在討論、分析SSL證書私鑰破解的風險時,我們需要提到一個人們常常關(guān)心的問題。我們知道,出于管理的規(guī)范性、品牌、知名度等原因,目前國內(nèi) 的SSL證書主要由國外的認證機構(gòu)簽發(fā),對此,人們會有這種疑問和擔心,“如果SSL證書由國外認證機構(gòu)簽發(fā),那么,是否會導(dǎo)致SSL證書的密鑰 對容易被國外敵對機構(gòu)破解、或竊取”?要回答這個問題,我們必須先了解SSL證書的密鑰對是怎樣產(chǎn)生的,以及私鑰是怎樣保存的。
實際上,SSL證書的密鑰對是由網(wǎng)站擁有者通過Web服務(wù)器軟件自己產(chǎn)生并保存在Web服務(wù)器軟件的密鑰庫中,或者在Web服務(wù)器軟件使用的SSL加速卡(加密硬件)中產(chǎn)生并保存在加密硬件中;客戶申請簽發(fā)SSL證書時,證書請求中只包含有公鑰,不包含私鑰,私鑰是不會傳送到證書認證機構(gòu)的。因此,SSL證書的密鑰對是否會被破解完全取決于密鑰對的長度是否足夠長、產(chǎn)生的密鑰對是否是弱密鑰對、以及密鑰對的產(chǎn)生是否有規(guī)律可循(即是否是完全隨機產(chǎn)生的),與SSL證書是由國內(nèi)還是國外認證機構(gòu)簽發(fā)的沒有關(guān)系;私鑰是否會被竊取、泄露,完全取決于SSL證書客戶采取的私鑰保護安全措施。當然,從陰謀論的角度,由于目前的Web服務(wù)器軟件大多來自國外,它們留有后門,從而產(chǎn)生弱密鑰對,或者留有后門,使得密鑰對的產(chǎn)生有規(guī)律可循,這也是可能的,但這與SSL證書是由國內(nèi)還是國外認證機構(gòu)簽發(fā)的沒有關(guān)系。
5)SSL證書的私鑰泄露
SSL證書的私鑰通常是安裝在Web服務(wù)器上的,如果沒有采取足夠的安全措施對私鑰進行安全保護,則有可能導(dǎo)致私鑰被泄露,比如,從Web服務(wù)器中導(dǎo)出。
在實際中,只要通過適當?shù)陌踩芾泶胧┖图夹g(shù)手段,就能有效地防止SSL證書的私鑰被泄露。比如,只允許安全可信的人員訪問Web服務(wù)器并采取雙人(或多人)控制的訪問方式,并禁止SSL證書私鑰導(dǎo)出,或者給SSL證書私鑰加上口令保護且對口令進行分割保存(將口令分割給多個可信人員,每個人僅擁有分割后口令的一部分),又或者將SSL證書私鑰存放在加密硬件中(如SSL硬件加速器),且對私鑰采取安全保護措施(如不允許私鑰導(dǎo)出,或不允許私鑰明文導(dǎo)出)。
6)偽造一個合法有效的SSL證書
即假冒者通過一定的技術(shù)手段,利用證書技術(shù)本身存在漏洞,偽造一個由某個認證機構(gòu)簽發(fā)的、有效的SSL證書。這個偽造SSL證書的格式符合X509規(guī)范,它的簽發(fā)者指向該認證機構(gòu)(的某個CA證書),且該SSL證書的數(shù)字簽名可由該認證機構(gòu)(對應(yīng)CA證書)的公鑰驗證。
雖然,有研究者聲稱可以偽造一個X509數(shù)字證書,但真實的情況是,到目前為止,并沒有人能夠偽造一個實際可用的、有效的數(shù)字證書。
7)認證機構(gòu)主動為假冒網(wǎng)站簽發(fā)合法有效的服務(wù)器證書
這種情況在兩個國家處于敵對狀態(tài)時有可能發(fā)生。假設(shè)A國家的某個認證機構(gòu)簽發(fā)的證書被B國家的用戶信任(由于該認證機構(gòu)的根證書預(yù)埋在B國家用戶使用的操作系統(tǒng)、應(yīng)用軟件中),而這時,A國和B處于敵對、甚至戰(zhàn)爭狀態(tài),A國家政府為了擾亂B國的金融秩序,要求該國的認證機構(gòu)簽發(fā)假冒B國銀行網(wǎng)站的SSL證書,而A國的認證機構(gòu)從國家利益考慮,遵從本國政府的要求,為該國政府建立的假冒網(wǎng)站簽發(fā)“合法、有效的”假冒SSL證書。這里說它“合法、有效”,是因為當B國用戶使用瀏覽器訪問該假冒網(wǎng)站時,瀏覽器對該SSL證書的信任驗證是獲得通過的。
這時,假冒網(wǎng)站的域名有兩種可能情形:第一種是,該網(wǎng)站域名與被假冒網(wǎng)站的域名相似但不同,用戶沒有注意到這些細小的差異,從而訪問了假冒網(wǎng)站。對于這種情況,由于域名不同,因此,細心的用戶有可能識破假冒行為。第二種是,假冒網(wǎng)站的域名同被假冒網(wǎng)站的域名完全相同。在這種情況下,如果A國控制了域名服務(wù)體系的“根”域名服務(wù)器,那么,A國是可以通過修改域名解析記錄,將B國用戶引導(dǎo)到A國建立的假冒網(wǎng)站上的,而且B國用戶絲毫察覺不到這種改變。這種假冒,比第一種情況要難識破、難防范得多。目前全球共13臺根域名服務(wù)器,分布情況是:主根服務(wù)器(A)1個,設(shè)置在美國弗吉尼亞州的杜勒,輔根服務(wù)器(B至M)美國9個,瑞典、荷蘭、日本各1個。考慮到目前的根域名服務(wù)器,都部署在西方國家,且主要在美國,而且“主根”域名服務(wù)器也在美國,因此,這是一個我們需要重視的問題和風險。
需要特別指出的是,出現(xiàn)這種假冒,與B國銀行網(wǎng)站本身安裝的服務(wù)器證書由誰簽發(fā)無關(guān)。因為對SSL服務(wù)器證書的信任是由瀏覽器根據(jù)其信任的根CA證書自動做出判斷的,在這個過程中用戶并不介入;只要瀏覽器驗證該SSL證書的信任路徑鏈接到一個可信任根CA證書,瀏覽器就不提出警告信息,用戶就會認為這個SSL證書是可信的。因此,只要B國用戶的主機操作系統(tǒng)(如Windows)、應(yīng)用程序(如Firefox)中預(yù)置A國認證機構(gòu)的可信根CA證書,那么,即使B國的銀行網(wǎng)站的服務(wù)器證書是由該國自身的認證機構(gòu)簽發(fā),A國仍然可通過A國的認證機構(gòu)簽發(fā)針對B國網(wǎng)站的“合法、有效”的假冒SSL證書,安裝在假冒網(wǎng)站上。當B國用戶訪問假冒網(wǎng)站時,騙過B國用戶的瀏覽器對該SSL證書的可信性、有效性驗證,由于普通用戶通常是不會關(guān)心所訪問網(wǎng)站的SSL證書是由哪個認證機構(gòu)簽發(fā)的(普通用戶不會也不知道 在瀏覽器完成SSL證書驗證后,可查看要訪問網(wǎng)站的SSL證書的詳情),從而騙得B國用戶對假冒網(wǎng)站的信任。
我國目前的主機操作系統(tǒng)、瀏覽器絕大部分是國外的,其中預(yù)埋了大量的根CA證書,且絕大部分是國外認證機構(gòu)的,而且考慮到域名系統(tǒng)的“根”也在國外,因此,這一問題需要引起我們的高度重視。但是,我們也可以看到,要徹底解決這個問題,必須從操作系統(tǒng)、應(yīng)用軟件、域名體系整個一起來考慮、解決,僅靠限定國內(nèi)認證機構(gòu)簽發(fā)SSL證書是無法解決這個問題的。
8)利用可信的SSL服務(wù)器證書進行中間人攻擊
假設(shè)攻擊者通過某種途徑獲得了一個與某網(wǎng)站域名完全相同的SSL證書,且該SSL證書(的根CA證書)被用戶的瀏覽器信任,即從證書驗證的角度它是一個“合法、有效”的證書,則該攻擊者就有可能在位于用戶與網(wǎng)站之間的網(wǎng)絡(luò)通路上,進行中間人攻擊,竊取用戶的私密信息(如圖2所示)。這種攻擊的具體實施方法如下:
(1) 攻擊者通過在網(wǎng)絡(luò)通路上安裝特殊的設(shè)備,或者攻破、控制網(wǎng)絡(luò)通信設(shè)備(如路由器、交換機等),在其上面安裝的特殊的處理代碼;
(2) 然后,攻擊者攔截所有連接到該網(wǎng)站的網(wǎng)絡(luò)連接請求,利用他得到的SSL服務(wù)器證書,假冒網(wǎng)絡(luò)站點與客戶端瀏覽器進行身份鑒別和建立SSL安全通道的操作;
(3) 同時,攻擊者又假冒用戶同安裝了一個SSL服務(wù)器證書的網(wǎng)站建立SSL連接;
(4) 之后,攻擊者作為用戶和網(wǎng)站之間的中間人,攔截、轉(zhuǎn)發(fā)二者之間傳送的數(shù)據(jù),并同時竊取用戶的敏感信息。
由于攻擊者使用的SSL證書是被用戶瀏覽器信任的,因此,用戶不會察覺到這中間人的活動。
圖2利用可信的SSL服務(wù)器證書進行中間人攻擊
這里,攻擊者可通過前面1)至7)所列的方式獲得一個與被竊聽網(wǎng)站域名相同的SSL證書;或者,攻擊者也可以由于8)中所述的國家與國家之間網(wǎng)絡(luò)戰(zhàn)爭的原因,從某個被用戶信任的證書認證機構(gòu)獲得用于中間人攻擊的“合法、有效的”SSL證書。
與8)中所述的情形類似,要進行這樣的攻擊,只需要這個用于中間人攻擊的SSL證書是被用戶瀏覽器信任的即可,不需要該SSL證書與被竊聽的網(wǎng)站本身安裝的SSL證書由同一個認證機構(gòu)簽發(fā)。這意味著,即使我們限定國內(nèi)網(wǎng)站的SSL證書必須由國內(nèi)證書認證機構(gòu)簽發(fā),其他國家仍然可以利用他們自己國家證書認證機構(gòu)簽發(fā)的、用于假冒國內(nèi)網(wǎng)站的SSL證書,對國內(nèi)網(wǎng)站進行中間人攻擊。因為,我國用戶使用的操作系統(tǒng)、瀏覽器都預(yù)埋了大量的國外證書認證機構(gòu)的根CA證書,這些根CA證書被瀏覽器認為是可信的。因此,在它們之下簽發(fā)的SSL證書都被瀏覽器認為是“合法的、有效的、可信的”。
9)在用戶主機中植入偽造的根CA證書(或一個完整的CA證書鏈)
從前面的介紹我們知道,SSL服務(wù)器證書是否可信,是由瀏覽器通過調(diào)用本地的加密服務(wù)接口(如CryptoAPI、PKCS#11),檢驗、確認服務(wù)器證書的信任鏈(證書路徑)是否鏈接到本地證書庫中的一個信任的CA根證書。因此,網(wǎng)站假冒者、中間人攻擊者只要設(shè)法將一個偽造的根CA證書 (或一個完整的、偽造的CA證書鏈)植入到用戶計算機的操作系統(tǒng)、瀏覽器證書庫中,則在這個偽造的根CA證書下,網(wǎng)站假冒者、中間人攻擊者可簽發(fā)任何他想簽發(fā)的、并被瀏覽器信任的假冒SSL證書。而且,假冒者、中間人攻擊者甚至可以將這個偽造的根CA證書以及它的下級CA證書中的CA認證機構(gòu)的名稱,取的與一個合法認證機構(gòu)的名稱相同,這將更有欺騙性,用戶更難識破。
植入偽造的根CA證書(及其下級CA證書)的方式有兩種,一是,通過掛馬、病毒傳播,這是普通的假冒者、攻擊者就可以做到的;二是,在操作系統(tǒng)、應(yīng)用軟件(如瀏覽器)中預(yù)置。第二種方式之所以有可能成立,是因為目前國內(nèi)的操作系統(tǒng)、應(yīng)用軟件絕大多數(shù)來自國外,在特殊情況下,國外的操作系統(tǒng)、應(yīng)用軟件的廠家是有可能根據(jù)本國政府的要求,將偽造其他國家證書認證機構(gòu)的根CA證書預(yù)置到操作系統(tǒng)、應(yīng)用軟件的可信根CA證書庫中的,甚至可以做到,通過通常的人機接口(如IE瀏覽器)無法查看到該偽造的根CA證書,而當應(yīng)用程序(如瀏覽器)通過加密接口(如CryptoAPI、PKCS#11)驗證SSL證書的信任鏈時,該偽造的根CA證書又起作用、被信任。
10)旁路證書可信性的驗證
當操作系統(tǒng)、瀏覽器本身存在后門時,是完全可以做到旁路對某些特定的SSL證書(如某個特定的、偽造的CA簽發(fā)的SSL證書)的可信性檢驗,使得這些SSL證書總是作為可信的證書被瀏覽器接受。這樣,假冒者、中間人攻擊者可以利用這個后們,簽發(fā)假冒的、被客戶端瀏覽器信任的SSL證書,達到竊取用戶信息的目的。
對SSL證書可信性驗證的旁路既可以在操作系統(tǒng)層面(如密碼模塊層)發(fā)生,也可以在瀏覽器層面發(fā)生。這個后門既可能是操作系統(tǒng)、瀏覽器廠家自己故意留下的(比如根據(jù)本國政府的要求),也可能是由于感染了木馬、病毒,使得操作系統(tǒng)、瀏覽器的程序代碼被修改而造成的。
我想到了cnnic的證書風波,被chrome和firefox聲明,將不信任該機構(gòu)頒發(fā)的所有證書,唉,真悲劇,所以我覺得根證書頒發(fā)機構(gòu)應(yīng)該是一個非盈利組織,他不應(yīng)該跟任何盈利性企業(yè)有利益關(guān)系,這種組織才有資格去頒發(fā)證書,否則有利益關(guān)系就容易合作去做壞事,但這個問題怎么說好呢,由于申請一個證書或者一堆證書,往往也需要不少錢,所以國內(nèi)很多公司,例如中國移動,電信,銀行以及支付寶,他會在你安裝軟件的時候,給你系統(tǒng)里安裝他自己頒發(fā)的根證書,這樣他就可以給自己服務(wù)器上按自己辦法給自己的證書,而你的客戶端將信任他,包括很多內(nèi)網(wǎng)的https也都是自己給自己頒發(fā)證書的
