SSL和TLS-SSL Record Protocol
SSL和TLS-SSL Record Protocol
- Key Exchange
- Message Authentication
- Encryption
- SSL Record Header
SSL记录协议用来封装高层协议数据,它把数据分成可管理的片段,叫做fragments,然后单独处理。
每个fragment根据SSL session的压缩算法和加密模式做压缩和加密保护处理。
SSL记录处理过程可分为好几步。前四步是fragmentation、compression、message authentication和encryption。添加SSL记录头是第五步。fragmentation后返回的数据结构叫SSLPlaintext,compression后的叫SSLCompressed,加密保护后的(认证和加密)叫SSLCiphertext,它实际包含在SSL记录的fragment属性内。除了fragment,每个数据结构包含一个8-bit长的type属性,16-bit长的version属性,还有另一个16-bit长的length属性。
- type:SSL高层协议
- 20 (0x14):change cipher spec协议
- 21 (0x15):alert协议
- 22 (0x16):handshake协议
- 23 (0x17):application data协议
- version:使用的SSL协议的版本号。两个字节,表示major版本和minor版本。SSL 3.0就是0x0300。TLS 1.2是0x0303,TLS 1.3是0x0304 (3,4)
- length:高层协议消息的字节长度(同一个类型的多个高层协议消息可以属于同一个SSL记录)。最大值不应该超过16383。
SSL 3.0默认不压缩。如果数据需要压缩和加密,就先压缩,再加密。既压缩又加密是危险的。TLS 1.3不支持压缩。
一个cipher spec是指加密数据的一对算法(一个数据加密算法和一个MAC算法),不包含key交换(key exchange)算法。key交换算法用来建立SSL session和各自的master secret。术语cipher suite包含了cipher spec和key交换算法。cipher suite包含key交换、Cipher和加密使用的Hash函数三个部分。每个cipher suite编码成两个字节。
如果加密保护由消息认证和加密组成,有三种组合方式:
- authenticate-then-encrypt(AtE):消息先认证(附加一个MAC)再加密。此时,包含MAC的encryption附加到消息上做认证
- encrypt-then-authenticate(EtA):消息先加密再认证。此时,encryption不包含MAC
- encrypt-and-authenticate(E&A):消息同时做加密和认证。此时,加密文本和MAC组合起来发给接受者
Key Exchange
SSL协议使用secret key实现消息认证大批量数据加密。在加密前,客户端和服务器之间要建立密钥材料。材料源于master secret,每个master secret包含48个字节。
有三种key交换算法(RSA, Diffie-Hellman和FORTEZZA)可以建立这样的pre_master_secret。不认证实体的key交换叫匿名的。
- RSA:客户端生成pre_master_secret,使用服务器的公钥加密,把加密文本发给服务器。服务器的公钥,反过来,可以是长期的和可检索的证书,也可以是短期的。服务器使用私钥解密pre_master_secret
- Diffie-Hellman:交换Diffie-Hellman key,返回的Diffie-Hellman值代表pre_master_secret。SSL协议支持三个版本的Diffie-Hellman key交换。推荐使用DHE
- fixed Diffie-Hellman(DH):Diffie-Hellman key交换需要的参数是固定的,是各自的公钥证书的一部分。如果需要客户端认证,客户端的Diffie-Hellman参数是固定的,是客户端证书的一部分。如果不需要客户端认证,参数在握手期间生成的(ClientKeyExchange消息)
- ephemeral Diffie-Hellman(DHE):Diffie-Hellman key交换的参数不是固定的,也不是公钥证书的一部分。参数在握手期间生成(ServerKeyExchange和ClientKeyExchange消息)。这样产生一个争议,standard group是否应该被用来DHE
- 一方面,使用任意组(非标准组),容易导致跨协议攻击
- 另一方面,对于很多标准组,通过预先计算,可以破坏DHE
- anonymous Diffie-Hellman(DH anon):和DHE类似,但是缺少认证步骤,使Diffie-Hellman key交换变成了一个认证的key交换。这样,参加者不能确认对方是真实的。实际上,任何人都是合法的。容易受到中间人攻击
- FORTEZZA:SSL 3.0支持,TLS不在支持。
DHE有安全优势。对于TLS1.3尤其如此,它要求任何key交换都是短暂的。
key交换的结果是pre_master_secret,一旦建立了pre_master_secret,可以用来构造master_secret。master_secret表示一个SSL session的状态元素。
它可能是这样构造的:
master_secret =
MD5(pre_master_secret + SHA(’A’ + pre_master_secret
+ ClientHello.random + ServerHello.random)) +
MD5(pre_master_secret + SHA(’BB’ + pre_master_secret
+ ClientHello.random + ServerHello.random)) +
MD5(pre_master_secret + SHA(’CCC’ + pre_master_secret
+ ClientHello.random + ServerHello.random))
其中,SHA指的是SHA-1,’A’、’BB’和’CCC’是0x41、0x4242和0x434343。ClientHello.random和ServerHello.random是客户端和服务器随机选择的一对值,在SSL握手时交换。
有趣的是,不使用MD5或者SHA-1构造,而是组合了这两个加密hash函数。
MD5 hash值16个字节长, 所以,master secret的长度是48个字节。master secret是session状态的一部分,作为熵的来源,生成后面使用的所有加密参数。一旦构造好master secret,就可以删除pre_master_secret。
可以用相同的办法,生成任意长度的key块,叫key_block。master secret是种子,客户端和服务器的随机值是盐值,这样使得密码分析更困难。
- client_write_MAC_secret和server_write_MAC_secret是认证key
- client_write_key和server_write_key是加密key
- client_write_IV和server_write_IV,如果CBC模式使用块加密,就需要这些IV
Message Authentication
SSL的cipher suite是一个加密hash函数,有些附加信息需要实际计算和验证MAC。SSL使用的算法的前任是HMAC。
SSL MAC算法基于HMAC,但是使用字符串级联,而不是XOR运算。
HMAC构造器是这样定义的:
HMACk(m) = h(k ⊕ opad k h(k ⊕ ipad k m))
其中,h是加密hash函数(MD5、SHA-1或者SHA-2),k是key(用于消息认证),m是被认证的消息,ipad(inner pad)是64个0x36,opad(outer pad)是64个0x5C,⊕是按位相加,取模2,k是连接操作。
SSL MAC构造器是这样定义的:
SSL MACk(SSLCompressed) = h(k || opad || h(k || ipad || seq_number || type || length || fragment ))
其中,SSLCompressed是认证的SSL结构(由type、version、length和fragment属性组成),h是加密hash函数,k是MAC write key,ipad和opad跟上面的相同。
Encryption
如果使用stream cipher,不需要padding和IV。
如果使用block cipher:
- 首先需要padding,plaintext的长度应该是密码块长度的整数倍。比如,如果是DES或者3DES加密,plaintext必须是64位(8字节)的整数倍。SSL的padding格式和TLS的不一样。SSL和TLS的padding的最后一个字节是padding的长度。SSL的其他padding字节可以随机选择,而TLS的所有padding字节都是一样的。SSL的padding尽可能短。
- 其次,一些加密模式需要IV。比如,CBC模式,SSL握手协议必须提供一个IV,它代表SSL连接的状态。这个IV接下来用来加密第一条记录。然后,每条记录的最后一个cipher文本块作为加密下一条记录的IV。这叫做IV链。
SSL Record Header
type、version和length是SSL记录的头。SSL记录的fragment属性包含一个加密的,带有MAC的SSLCiphertext结构。
SSLCiphertext结构可能包含padding。无论如何,整个SSL记录在一个TCP segment中被发送给接收方。一个TCP segment可以包含多条记录。