https为啥是安全的

背景

在搭建ldap服务时了解到TSL加密认证，想起以前的https,只知道开启https 无法被破解，但是对于https为何无法被破解一点也不知道。

https发展历史

1.裸奔的http

为什么说是裸奔那？ 因为在网络中能够被抓包，特别是公共wifi的，使用http协议去请求，那银行卡号，密码等关键信息都能够被窃听到。

比如这里的抓包

2、加密的https

2.1、加密协议的发展历史

1994年，NetScape公司设计了SSL协议（Secure Sockets Layer）的1.0版，但是未发布。

1995年，NetScape公司发布SSL 2.0版，很快发现有严重漏洞。

1996年，SSL 3.0版问世，得到大规模应用。

1999年，互联网标准化组织ISOC接替NetScape公司，发布了SSL的升级版TLS 1.0版。

2006年和2008年，TLS进行了两次升级，分别为TLS 1.1版和TLS 1.2版。最新的变动是2011年TLS 1.2的

3、加密过程

协议是一个规范，所有的实现都必须按照这个规范来实现。与java的接口类似。

3.1、对称加密

在对称加密是指加密与解密过程都使用同一个密钥。存在

image.png

这个过程存在一个问题，如何将密钥安全的送达

3.2、非对称加密

非对称加密主要特点是：

• 1、通过公钥加密，私钥解密；私钥加密，公钥解密
• 2、发送公钥过程完全暴露
• 3、加密效率低

因为需要通过公钥加密，第三方截获到没有私钥无法解密，所以密文对第三方是无用信息。但是数字非对称加密存在效率问题，为解决效率问题引入数字签名。

3.3、数字签名

因为非对称加密存在效率问题，对称加密容易被串改问题。从而引出数字签名

• 1.对明文hash算法得到数字摘要
• 2.用自己私钥加密数字摘要
• 3.对称加密加密明文（如果明文较短可以使用非对称，如果很长使用对称密钥）
• 4.对方公钥加密明文的密钥，hash算法的密钥，自己的公钥生成数字签名；
• 5.将密文，数字签名打包发送给对方
• 5.对方收到后用私有解密

如果接受方私钥泄露就可随意修改内容，但是对方不知道hash算法就算有密钥也无法串改内容。但是无法避免第三方信任问题

3.4、数字证书

为了解决第三方信任问题，引入是数字证书

数字证书主要组成：

• 申请证书组织信息
• 申请证书组织公钥
• 数字签名
  上述加密过程都采用颁发证书组织的私钥进行加密，由根证书的公钥一层层的解密出需要证书的公钥，这样保证证书的可信任问题。这样获取到了目标服务器的公钥；

3.5、ssl/Tsl协议

ssl/Tsl协议协议是一个规范，是访问https时都需要实现这个逻辑。

主要解决两个问题：

• 1.加密效率问题
• 2.对称密钥传输问题

访问过程：

• 1.在访问https，浏览器去获取服务端数字证书，得到可信赖的服务端公钥
• 2.用公钥加密公钥
• 3.用client公钥加密对称密钥
• 4.用对称密钥加密信息交互

image.png

我们一直说https 是安全的、上述流程解释了为啥https是安全的

附：参考文章

https://juejin.cn/post/6844903764399243278

问题：数字证书加密连是用颁发私钥还是公钥？

我理解是用根证书私钥加密，只有用私钥加密才能保证证书一层一层的拿到公钥

数字签名 -- 阮一峰

问题：鲍勃给苏珊回信时为什么要用数字签名这样的方法？

知乎问题，有大佬回答，认为是因为非对称加密的效率问题导致要引入数字签名。比较赞同这一答案