圖解https演變以及各種加密解密過程
HTTP->HTTPS原因
HHTP 訪問
HTTPS 訪問
· 直接原因,如上圖,使用http和https訪問網站,最明顯的差別就是 使用http進行訪問的,瀏覽器直接標志為“不安全”網站,平時上網遇到這樣的網站心里都會發毛,涉及到要支付錢的應該沒人敢隨意支付吧。
· 主要原因,瀏覽器也不是吃飽了沒事做逼著大家改協議,主要是因為http是明文傳輸,那就相當于在網絡環境里面裸奔啊,這是相當危險的,試想一下你要支付,銀行卡密碼什么的被別人劫持了,你可不就gg了。因此瀏覽器提醒的行為是對用戶負責,還不改變的網站要么是沒錢,要么是懶,要么這個網站是大爺客戶愛上不上~
試想一下,http這么不安全,讓你設計一個安全的,大家肯定第一反應就是數據加密嘛,那么怎么加密,來看看演變過程。
對稱加密
諜戰劇里面兩個電臺進行通信,發的電報都是些毫無規律的密碼文,雙方就靠著密碼本來進行破譯情報,密碼本都靠著地下工作的間諜特工們進行傳遞,這個過程對應到網絡傳遞消息就如下圖:
WechatIMG74
采用單鑰密碼系統的加密方法,同一個密鑰可以同時用作信息的加密和解密,這種加密方法稱為對稱加密,也稱為單密鑰加密。我這里只講思路模型,具體加密解密算法過程不做解釋。對應到網絡應用大家可以看圖參照,這是理想情況下,你好我好大家好,但是會出現兩個問題:
· 第一步的密碼本傳遞過程,如果特工里面出現了叛徒,叛徒得到了密碼本照抄一份給他的組織,然后不動神色的繼續傳遞密碼本,那么接下來電臺之間的密文傳遞在敵軍組織眼里就跟明文沒什么區別了,對應到網絡中秘鑰被黑客截取的過程。
· 密碼本管理問題,電臺每天要負責那么多的信息傳遞,為了安全又不可能所有地方發來的電報都用一把密碼本破譯,那樣一旦密碼本泄漏整個被一鍋端了,因此對應到網絡應用中,就是服務器端需要為每個用戶單獨生成一個秘鑰并且管理,互聯網中客戶如此多,秘鑰的管理代價就會很大,web服務場景肯定是行不通的。
常見的對稱加密算法有DES、3DES、Blowfish、IDEA、RC4、RC5、RC6和AES,感興趣的可以自行百度。
非對稱加密
玩歸玩鬧歸鬧,別拿安全開玩笑,有一說一,“野狼disco”是首不錯的歌
過程說明: 非對稱加密主要解決安全問題,客戶端和服務器各自生成一對秘鑰對,私鑰自己保管,公鑰暴露給對方,然后傳輸加密用對方給的公鑰進行加密,對方有自己公鑰的鑰匙,以此達到解密數據的目的。各自保管一份私鑰,不需要傳輸,就不會出現密碼本泄漏的情況.
公鑰與私鑰是一對,如果用公鑰對數據進行加密,只有用對應的私鑰才能解密。因為加密和解密使用的是兩個不同的密鑰,所以這種算法叫作非對稱加密算法。
這種方式,服務器只需要保存自己的秘鑰就可以,管理秘鑰問題得到解決,加密數據的目的也達到了,但是還會有問題:
· 最大的問題出現在了第一步公鑰傳遞上面,我怎么信任你這把公鑰呢?要知道這個地方還是在裸奔啊,如果出現了“中間dog”故意使壞,破解不了你但是要搞殘你,將雙方發送給對方的公鑰篡改,冒充成隨便一個公鑰,那么雙方用這個假公鑰加密對方永遠都解密不出來數據。
· 第二是加密和解密花費時間長、速度慢,只適合對少量數據進行加密。
https全過程 = 對稱加密 + 非對稱加密 + 數字證書
現實世界中,解決信任問題一般是“權威機構”或者權威人物背書,https就是這樣,操作系統里面一開始就內置了各大數字認證權威機構(Certificate Authority,縮寫為CA)的數字證書,作為系統根證書,macOS可以通過【鑰匙串->系統根證書】查看,如圖:
· 服務器發送的證書里(chrome瀏覽器點擊地址欄最左邊,能看到證書的詳細內容),數字證書主要包含了以下幾個內容:
- 證書發布機構,即哪家CA
- 證書的有效期
- 證書的所有者,以及相關的證書的域名、公司名等等
- 公鑰
- 證書簽名
· 客戶端校驗證書的可信性,可以簡單分為下面幾步:
- 校驗證書聲明的CA在操作系統的根證書里面
- 校驗證書在有效期內
- 校驗證書的簽名,這一步能夠證明此證書確實是由CA機構頒發的。
· 其中校驗證書簽名是關鍵,證書簽名是網站申請證書時,CA機構對一個hash值使用CA私鑰對稱加密后的字符串。 可以用表達式表達為:
sign = encrypt(hash("證書機構" + "證書有效期" + "證書所有者" + "公鑰"))
· 校驗簽名的步驟:
- 客戶端從系統根證書中取出對應CA的公鑰,然后對簽名解密獲取到hash值。
- 客戶端使用相同的方式拼接證書信息,使用相同算法得到hash值。
- 比較解密出來的hash值和客戶端拼接的hash值是否相同,相同則通過。
這個過程其實完成了這么一件事情,客戶端看了一眼證書提供的信息,然后通過CA公鑰解密,證明了證書提供的信息是被擁有CA私鑰的機構確認過的(證書的簽名),便相信了證書提供的信息。
就像現實生活中的票據,相信票據中的信息,因為有一個獨一無二的機構簽章(雖然可以偽造,但是非對稱機密的簽章是不可偽造的)
· https的流程圖如下:
解決的問題:
非對稱加密只用來傳輸密碼本,實際數據傳輸用的對稱加密,解決了非對稱加密解密速度慢的問題
CA機構數字證書驗證公鑰,解決公鑰傳輸的信任問題
一步一步的,所有的問題都解決了,是不是特別的nice!!!
需要指出的是,HTTPS盡管可以保護數據在傳輸環節的安全,但HTTPS不是萬能的,不能解決所有的安全問題。HTTPS無法解決跨站腳本XSS攻擊、跨站資源冒用CSRF、跨站腳本跟蹤XST、SQL注入攻擊、病毒攻擊,HTTPS依然無法解決。解決這些安全問題,需要在通信的終端采取措施來保證用戶數據安全。
?
??
