【腾许Bugly干货分享】“HTTPS”安全在哪里?

背景

最近基于兴趣学学习了下 HTTPS 相关的知识,在此记录下学习心得。

在上网获取信息的过程中,我们接触最多的信息加密传输方式也莫过于 HTTPS 了。每当访问一个站点,浏览器的地址栏中出现绿色图标时,意味着该站点支持 HTTPS 信息传输方式。我们知道 HTTPS 是我们常见的 HTTP 协议与某个加密协议的混合体,也就是 HTTP+S。这个 S 可以是 TLS(安全传输层协议)、也可以是 SSL(安全套接层),不过我更认可另一个抽象概括的说法,HTTP+Security。不过要谈论 HTTPS 为何安全,还得从 HTTP 为何不安全说起。

假设你现在正坐在教室里上课,现在你非常想和走道旁的迷人的 TA 说一些话,一般这个时候你会用“传纸条”的方式来交流。而这个方式和 TCP/IP 协议基本的工作模式十分相像:

  1. 通过小动作引起对方注意;
  2. 对方以多种可能的方式(注视、肢体语言等)回应于你;
  3. 你确认对方感知到你后,将纸条传给对方;
  4. 对方阅读纸条;
  5. 对方给予你阅读后的反应;

    怎么样,这个流程是不是很熟悉?

    如果你要传递纸条的 TA 距离你很远怎么办?HTTP 协议就是指你在纸条上写明你要传给的 TA 是谁,或者 TA 的座位在哪,接着只需要途径的同学拿到纸条后根据纸条上的指示依次将纸条传过去就 OK 了。

    这个时候问题来了:途径的同学完全可以观看并知道你在纸条上写了什么。

    这就是 HTTP 传输所面临的问题之一:中间人攻击,指消息传递的过程中,处在传递路径上的攻击者可以嗅探或者窃听传输数据的内容。

    加密

    HTTPS 针对这个问题,采用了“加密”的方式来解决。最著名原始的加密方法就是对称加密算法了,就是双方约定一个暗号,用什么字母替换什么字母之类的。现在一般采用一种叫 AES(高级加密算法)的对称算法。

    对称加密算法既指加密和解密需要使用的密钥 key 是一样的。

    AES 在数学上保证了,只要你使用的 key 足够长,破解几乎是不可能的(除非光子计算机造出来了)

    我们先假设在没有密钥 key 的情况下,密文是无法被破解的,然后再回到这个教室。你将用 AES 加密后的内容噌噌噌地写在了纸条上,正要传出去的时候你突然想到,TA 没有 key 怎么解密内容呀,或者说,应该怎么把 key 给TA?

    如果把 key 也写在纸条上,那么中间人照样可以破解窃听纸条内容。也许在现实环境中你有其他办法可以把 key 通过某种安全的渠道送到 TA 的手里,但是互联网上的实现难度就比较大了,毕竟不管怎样,数据都要经过那些路由。

    于是聪明的人类发明了另一种加密算法——非对称加密算法。这种加密算法会生成两个密钥(key1 和 key2)。凡是 key1 加密的数据,key1 自身不能解密,需要 key2 才能解密;凡事 key2 加密的数据,key2 自身不能解密,只有 key1 才能解密。

    目前这种算法有很多中,最常用的是 RSA。其基于的数学原理是:

    两个大素数的乘积很容易算,但是用这个乘积去算出是哪两个素数相乘就很复杂了。好在以目前的技术,分解大数的素因确实比较困难,尤其是当这个大数足够大的时候(通常使用2的10次方个二进制位那么大),就算是超级计算机,解密也需要非常长的时间。

    现在就把这种非对称加密的方法应用在我们教室传纸条的场景里。

  • 你在写纸条内容之前先用 RSA 技术生成了一对密钥 k1 和 k2。
  • 你把 k1 用明文传了出去,路经也许有人会截取,但是没有用,k1 加密的数据需要 k2 才可以破解,而 k2 在你自己手中。
  • k1 传到了目的人,目的人会去准备一个接下来准备用于对称加密(AES)的传输密钥 key,然后用收到的 k1 把 key 加密,传给你。
  • 你用手上的 k2 解出 key 后,全教室只有你和你的目的人拥有这个对称加密的 key,你们俩就可以尽情聊天不怕窃听啦~

    这里也许你会有问题,为什么不直接用非对称加密来加密信息,而是加密 AES 的 key 呢?
    因为非对称加密和解密的平均消耗时间比较长,为了节省时间提高效率,我们通常只是用它来交换密钥,而非直接传输数据。

    然而使用非对称加密真的可以防范中间人攻击吗?
    虽然看上去很安全,但是实际上却挡不住可恶的中间人攻击。

    假设你是 A,你的目的地是 B,现在要途径一个恶意同学M。

    中间人的恶意之处在于它会伪装成你的目标。

  • 当你要和 B 完成第一次密钥交换的时候,M 把纸条扣了下来,假装自己是B并伪造了一个 key,然后用你发来的 k1 加密了 key 发还给你。

  • 你以为你和 B 完成了密钥交换,实际上你是和 M 完成了密钥交换。
  • 同事 M 和 B 完成一次密钥交换,让 B 以为和 A 你完成了密钥交换。
  • 现在整体的加密流程变成了A(加密链接1)->M(明文)->B(加密链接2)的情况了,这时候 M 依然可以知道A和B传输的全部消息。

    这个时候就是体现 HTTPS 和传纸条的区别了。在教室里,你是和一位与你身份几乎对等的的对象来通信;而在访问网站时,对方往往是一个比较大(或者知名)的服务者,他们有充沛的资源,或许他们可以向你证明他们的合法性。

    此时我们需要引入一个非常权威的第三方,一个专门用来认证网站合法性的组织,可以叫做 CA(Certificate Authority)。各个网站服务商可以向 CA 申请证书,使得他们在建立安全连接时可以带上 CA 的签名。而 CA 得安全性是由操作系统或者浏览器来认证的。

    你的 Windows、Mac、Linux、Chrome、Safari 等会在安装的时候带上一个他们认为安全的 CA 证书列表,只有和你建立安全连接的网站带有这些CA的签名,操作系统和浏览器才会认为这个链接是安全的,否则就有可能遭到中间人攻击。

    一旦某个 CA 颁发的证书被用于的非法途径,那么这个 CA 之前颁发过的所有证书都将被视为不安全的,这让所有 CA 在颁发证书时都十分小心,所以 CA 证书在通常情况下是值得信任的。

    总结

    使 HTTP 后面增加一个S(Security)的技术,正是 对称加密 + 非对称加密 + CA 认证 这三种技术的混合体。当然这个主要是 HTTPS 的基本原理,真正实际中的 HTTPS 的协议是比以上的描述更为复杂一些的,并且其中任何一步稍有闪失,整个流程都将不再安全。

    这也是为什么 HTTPS 协议从 SSL 1.0升级到 SSL 3.0,再被 TLS 1.0 现在被 TLS 1.3取代,其背后都是一个个细节上的优化,以防有任何闪失。

    TLS 协议相比 SSL 协议增加了传输层的安全保证。

转载于:https://www.cnblogs.com/bugly/p/5543417.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/257099.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

CCNP精粹系列之十八--路由映射实战二,博主推荐文章

路由映射实战二 本篇博文和上一篇是紧密结合的,只是在上个试验的基础上作了改动,达到其他的试验效果。试验二:在R1上增加一个网段,并发布路由。这里采用三种方法。 如下是第一种,是在试验一的基础上直接增加一个网段&a…

HDU 1599 find the mincost route

Floyd可解。求最短。在路上来回。使用Floyd 而在 三同时不 找出最短。然后更新。没有推理启动&#xff01;INF。一堆负面结果溢出。 #include<cstdio> #include<cstring> #include<string> #include<queue> #include<algorithm> #include<map…

学习笔记(09):Python网络编程并发编程-模拟ssh远程执行命令-代码实现

立即学习:https://edu.csdn.net/course/play/24458/296239?utm_sourceblogtoedu 1.服务器端&#xff1a;接收客户端发送的命令,subprocess.POPE()函数可用于产生一个子进程&#xff0c;并且返回子进程的结果 import socket import subprocessphone socket.socket(socket.AF…

C++中两个数交换不引进中间变量的方法

int a8,b2; 二进制的a1000,b0010; aa方法一&#xff1a;使用异或思想&#xff08;最高级方法&#xff09; aa^b; ba^b; aa^b 方法二&#xff1a;使用加法加法&#xff08;高级方法&#xff09; aab; ba-b; aa-b; 方法三&#xff1a;引进中间变量&#xff08;一般方法&#xff0…

【JUC】JDK1.8源码分析之ConcurrentLinkedQueue(五)

一、前言 接着前面的分析&#xff0c;接下来分析ConcurrentLinkedQueue&#xff0c;ConcurerntLinkedQueue一个基于链接节点的无界线程安全队列。此队列按照 FIFO&#xff08;先进先出&#xff09;原则对元素进行排序。队列的头部是队列中时间最长的元素。队列的尾部 是队列中时…

学习笔记(10):Python网络编程并发编程-粘包现象

立即学习:https://edu.csdn.net/course/play/24458/296240?utm_sourceblogtoedu粘包现象&#xff1a;服务器接收到客户端的命令后&#xff0c;进行执行得到结果后&#xff0c;再发送回给客户端&#xff0c;在这个过程中如果服务器返回的结果的字节数会大于客户端所接收最大字节…

某法院HP-P4500存储数据恢复案例

好久没出来写博客了&#xff0c;过年来了一直很忙&#xff0c;尤其是最近&#xff0c;忙着做了好几个大单子。先是一个医院50TB的HP-EVA4400&#xff0c;接着是一个法院12TB的HP-P4500&#xff0c;前几天还有做了一个某游乐城12TB的VMware VMFS虚拟机恢复。虽然忙点&#xff0c…

数组指针与指针数组的区别

1、数组指针 定义&#xff1a;数组指针式一个指向一维数组的指针变量&#xff0c;定义数组指针的格式为&#xff1a; int (*p) [5] 数据类型 &#xff08;*指针名&#xff09; [常量表达式] 数组元素为整形&#xff0c;*p的两侧圆括号不能省略 2、指针数组 定义&#xff1a…

[thinkphp] 是如何输出一个页面的

表面上看&#xff0c;TP输出一个页面很简单&#xff1a;$this->display(); 实际上是怎么回事呢&#xff1f;$this->display(); 这个display()方法是定义在ThinkPHP/Library/Think/Controller.class.php这个文件中的 protected function display($templateFile,$charset,$…

关于反射blog

非常好的Java反射例子 疯狂java 在学习编程的过程中&#xff0c;我觉得不止要获得课本的知识&#xff0c;更多的是通过学习技术知识提高解决问题的能力&#xff0c;这样我们才能走在最前方&#xff0c;更多Java学习&#xff0c;请浏览疯狂java官网。Java反射在我们Java学习的…

学习笔记(11):Python网络编程并发编程-粘包底层原理分析

立即学习:https://edu.csdn.net/course/play/24458/296241?utm_sourceblogtoedu1.send和recv底层分析 1&#xff09;不管是recv还是send都不是直接接收对方数据或者发送给对方数据&#xff0c;而是对自己的操作系统内存进行操作&#xff1b; 2&#xff09;客户端与服务端并不是…

切面编程(4)

这篇介绍的是最为常见的切面编程首先介绍的是通过注解Aspect来配置AOP类Component Aspect public class Acsep {//定义切入点Pointcut("execution(* com.test.*.*(..))")//切面公式public void aspect(){ }//执行方法之前Before("aspect()")public void be…

c++存储类型

1、c中的存储类型一般有静态存储、栈、和自动类型三种&#xff0c;一般默认值是为自动类型auto

多线程编程 (1) -NSThread

多线程编程 (1) -NSThread 每个iOS应用程序都有个专门用来更新显示UI界面、处理用户触摸事件的主线程&#xff0c;因此不能将其他太耗时的操作放在主线程中执行&#xff0c;不然会造成主线程堵塞(出现卡机现象)&#xff0c;带来极坏的用户体验。一般的解决方案就是将那些耗时的…

交叉工具链的搭建方法(测试成功)

之前安装了一个rehat6的linux系统&#xff0c;把交叉编译搭建给忽视了&#xff0c;结果在编译uboot的时候出现问题&#xff0c;显示找不到arm-linux-gcc。于是自己来搭建交 叉编译环境。出现好多错。先是解压时没在后边加 -C/&#xff0c;后是直接自己创建了个目录&#xff0c…

VMware内存回收与分配机质

VMware内存回收与分配机质 整理了下学习过的东西&#xff0c;为了防止以后忘记。^_^VMware内存回收按照内存回收先后顺充&#xff0c;依次为&#xff1a;1.TPS 透明页共享2.Ballooning 气球回收3.Compressiong 内存压缩4.Swapping 内存交换网上对这个的解释也挺多&#xff…

学习笔记(12):Python网络编程并发编程-解决粘包问题-简单版本

立即学习:https://edu.csdn.net/course/play/24458/296243?utm_sourceblogtoedu 粘包现象的解决&#xff1a;简单版 1.思路&#xff1a; 在服务器端计算出执行命令后结果的字节长度&#xff0c;然后再将字节数长度send即通知给客户端&#xff0c;客户端根据这个字节数的长度一…

关于for循环中的变量int i 如果跳出了这个for循环后,i的值是继续保留还是被释放掉了

#include<iostream> using namespace std;int main() {char a[10]; //定义一个一维数组用来存放字符串int i,j; //定义变量cout<<"请输入字符&#xff1a;“;for(i0;i<10;i) //接收用户的输入{ ci…

keil优化等级设置

优化级别说明&#xff08;仅供参考&#xff09;&#xff1a;则其中的 Code Optimization 栏就是用来设置C51的优化级别。共有9个优化级别&#xff08;书上这么写的&#xff09;&#xff0c;高优化级别中包含了前面所有的优化级别。现将各个级别说明如下&#xff1a;0级优化&…

SVN命令使用详解

1、检出svn co http://路径(目录或文件的全路径) [本地目录全路径] --username 用户名 --password 密码svn co svn://路径(目录或文件的全路径) [本地目录全路径] --username 用户名 --password 密码svn checkout http://路径(目录或文件的全路径) [本地目录全路径]…