详解TLS1.3的握手过程

最近学习了一下TLS几个版本的协议，今天来着重说明下TLS1.3的握手过程，通过对握手过程的说明你就可以清晰的明白为什么TLS1.3要比TLS1.2快那么多了，话不多说，先上TLS1.3的握手流程图：                 

                  

                             

图中的ClientHello具体内容说明如下：

（1）客户端支持的ssl的最高版本号

（2）客户端支持的加密套件列表

（3）确定的会话ID

（4）客户端所支持的压缩算法列表

图中ServerHello的具体内容如下：

（1）服务端选择的ssl的版本（选择方式为选择客户端和服务端最高版本中的较低的那一个）

（2）服务端选择的密码套件

（3）会话ID

（4）客户端选择的压缩算法

那么TLS1.3比TLS1.2到底快在哪呢？我们再来看看TLS1.2的握手流程

             

TLS1.2的ClientHello和ServerHello和TLS1.3中的稍有不同，我们来看一下TLS1.2中的ClientHello和ServerHello的内容：

ClientHello的内容如下：

（1）客户端支持的ssl的最高版本号

（2）客户端支持的加密套件列表

（3）确定的会话ID

（4）客户端所支持的压缩算法列表

（5）一个用于生成主秘钥的32位随机数

ServerHello的内容如下：

（1）服务端选择的ssl的版本（选择方式为选择客户端和服务端最高版本中的较低的那一个）

（2）服务端选择的密码套件

（3）会话ID

（4）客户端选择的压缩算法

（5）一个用于生成主秘钥的32位随机数

我们可以看到，TLS1.2比TLS1.3在握手过程中多了一次握手，为啥会多这一次握手嘞？首先我们要理解握手的本质是为了什么，握手是为了协商出一个client和server端都认可的一个对称秘钥，典型的秘钥协商算法有两种，RSA和ECDH，简明介绍下这两种算法会让你对这个过程更加清晰。

首先是RSA的秘钥协商过程，RSA有一个很棒的特性：RSA算法给予server端一个公钥和私钥，一段消息既可以用公钥加密，然后用私钥解密，也可以用私钥加密，用公钥解密。公钥是什么呢？你可以理解成服务器从CA那得到的证书。好，我们来看下TLS1.2的秘钥协商过程，首先client发一个client_hello，然后server端收到这个消息后，回传一个server_hello（client_hello和server_hello中的内容就在上面讲了），一个证书（关键点），client收到证书后，用公钥（也就是证书）加密一段随机数发回给server,server收到后用私钥解密得到这段随机数，这段随机数就作为对称加密的秘钥了，至此握手就完成。

然后我们来看下ECDH的秘钥协商过程，首先EC的意思是椭圆曲线，这个EC提供了一个很厉害的性质，你在曲线上找一个点P，给定一个整数K，求解Q=KP很容易，给定一个点P,Q，知道Q =KP，求K却是个难题。在这个背景下，给定一个大家都知道的大数G，client在每次需要和server协商秘钥时，生成一段随机数a，然后发送A=a*G给server，server收到这段消息（a*G）后，生成一段随机数b，然后发送B=b*G给client，然后server端计算(a*G)*b作为对称秘钥，client端收到后b*G后计算a*(G*b)，因为(a*G)*b = a*(G*b)，所以对称秘钥就是a*G*b啦，攻击者只能截获A=a*G和B=b*G，由于椭圆曲线难题，知道A和G是很难计算a和b的，也就无法计算a*G*b了（当然，实际上的计算过程和原理证明不是这么简单的，中间还有一个取模的过程，以及取模过程的交换律和结合律证明，但是本质思想和这个是差不多的）。反应在TLS1.2中，client发送client_hello，server收到后发送server_hello和ECC证书（B =b*G），client收到后就生成随机数a，然后发送a*G给server,并记录秘钥，server收到a*G后计算对称秘钥，握手就结束了。而为什么在TLS1.3会有区别呢，留意下TLS1.3图中的key_share，这段的功能就是直接记录了a*G，然后包含在client_hello中。然后server收到后在server_hello的key_share段中记录b*G。所以TLS1.3一个RTT就搞定握手了。

至此，你应该已经对于为什么TLS1.3要快一个RTT有一定概念了吧，TLS1.3舍弃了RSA的协商过程，然后基于ECDH的算法优化了整个过程。（这里提下ECDHE，多的这个E是extemporaneous，临时的意思，临时的是ECC证书中的随机数，每次都会重新生成，也是是b*G中的b）。

当然，TLS1.3不仅仅只做了这么一点优化，还有典型的连接回复过程，TLS1.3做到了0-RTT的过程，TLS1.2重建会话过程如下：

                      

（1）client发送ClientHello，并携带session id，这个session id就是用于回复会话，server端会存储关于session id的对应的通信秘钥

（2）server回复ServerHello，ChangeCipherSpec和Finished

而TLS1.3呢

                         

可以看出，TLS1.3是对TLS1.2过程的优化，也就是直接加密数据然后发送。

当然了，TLS1.3还有很多其他的特性，这里稍微提一下，TLS1.3采用少即是多的思想，TLS1.2中原有的大量特性都被删除了，这些特性包括：

• RSA密钥传输——不支持前向安全性
• CBC模式密码——易受BEAST和Lucky 13攻击
• RC4流密码——在HTTPS中使用并不安全
• SHA-1哈希函数——建议以SHA-2取而代之
• 任意Diffie-Hellman组——CVE-2016-0701漏洞
• 输出密码——易受FREAK和LogJam攻击

TLS 1.3版本是对规范的重大修改，一些工作方式也非常不同：

• 有一些新的密码套件仅在TLS 1.3下工作。一些旧的密码套件无法用于TLS 1.3连接。
• 新的密码套件定义方式不同，且并未详细规定证书类型(如RSA、DSA、ECDSA)或密钥交换机制(如DHE或ECHDE)。这对密码套件的配置有暗示作用。
• 客户端在客户问候消息(ClientHello)中提供一个“key_share”。这会对“组”配置产生影响。
• 直到主握手完成以后，会话才会建立。在握手结束和会话建立之间可能会有一个间隙(理论上，会话可能根本不会建立)，并可能对会话恢复代码产生影响。
• 在TLS 1.3版本中，重新磋商是不可能的。
• 现在大部分握手都会被加密。
• 更多类型的消息现在可以有扩展(这对定制扩展API和证书透明系统有影响)。
• 在TLS 1.3连接中不再允许使用DSA证书。