真正“搞”懂HTTPS協議17之TLS握手

　　經過前兩章的學習，我們知道了通訊安全的定義以及TLS對其的實現~有了這些知識作為基礎，我們現在可以正式的開始研究HTTPS和TLS協議了。嗯……現在才真正開始。

　　我記得之前大概聊過，當你在瀏覽器的位址列輸入一個URL地址會發生什麼，大致是瀏覽器從URI中獲取協議名和域名，獲取預設埠號，再用DNS解析出IP地址，然後就可以三次握手與網站建立TCP連線了，然後就會立即進行報文的傳遞。

　　但是在HTTPS中，三次握手後，還不能立即傳送報文，它還需要再用另外一個握手過程，在TCP上建立安全連線，之後才是收發HTTP報文。

　　這個握手過程與TCP類似，是HTTPS和TLS協議裡最重要、最核心的部分，搞懂了TLS握手，你就掌握了HTTPS。

一、TLS協議的組成

　　在講TLS握手之前，我們先來了解下TLS協議的組成。

　　TLS 包含幾個子協議，你也可以理解為它是由幾個不同職責的模組組成，比較常用的有記錄協議、警報協議、握手協議、變更密碼規範協議等。

　　記錄協議（Record Protocol）規定了 TLS 收發資料的基本單位：記錄（record）。它有點像是 TCP 裡的 segment，所有的其他子協議都需要透過記錄協議發出。但多個記錄資料可以在一個 TCP 包裡一次性發出，也並不需要像 TCP 那樣返回 ACK。

　　警報協議（Alert Protocol）的職責是向對方發出警報資訊，有點像是 HTTP 協議裡的狀態碼。比如，protocol_version 就是不支援舊版本，bad_certificate 就是證書有問題，收到警報後另一方可以選擇繼續，也可以立即終止連線。

　　握手協議（Handshake Protocol）是 TLS 裡最複雜的子協議，要比 TCP 的 SYN/ACK 複雜的多，瀏覽器和伺服器會在握手過程中協商 TLS 版本號、隨機數、密碼套件等資訊，然後交換證書和金鑰引數，最終雙方協商得到會話金鑰，用於後續的混合加密系統。

　　最後一個是變更密碼規範協議（Change Cipher Spec Protocol），它非常簡單，就是一個“通知”，告訴對方，後續的資料都將使用加密保護。那麼反過來，在它之前，資料都是明文的。

　　其中握手協議是最最重要的，也是本章的重點。我們先來看張簡要圖：

 　　我們來分析下上圖，我們可以粗略的看到三種顏色，嗯……沒錯，我們還可以看到兩次資料的往返。嗯……也沒錯。

　　首先，圖中的每一個圓角框，就是一個record，就是一個記錄。多個記錄可以組合成一個TCP包傳送。所以最多兩次往返，4個訊息，就可以完成握手，然後底下的紫色部分，就是加密後的資訊了。

　　其次，在TLS握手完成之前，也就是出現ChangeCipherSpec之前，所有的訊息都是明文傳輸的。欸？明文傳輸，那不會洩露交換的資料麼？這個問題我就不回答了，回憶一下我們前兩章講的東西。

　　最後，我們簡要的看詞說話一下，首先客戶端會發起一個訊息，攜帶了TLS的版本號，客戶端隨機數，還有一個Cipher Suites，Cipher Suites是啥呢？就是密碼套件。還記得我們之前說過，客戶端會把它支援的密碼套件傳送給伺服器，讓伺服器來選擇一個。然後呢，伺服器會把一大堆東西傳給客戶端，其中包括TLS版本、伺服器的隨機數、和Cipher Suite、然後還有其它的訊息，比如伺服器證書Certificate，比如PubKey，就是伺服器的公鑰，再有就是傳一個Server完事的資料。下一波呢，客戶端會傳一個PubKey給伺服器，還有ChangeCipherSpec以及結束標記傳送給伺服器。伺服器也返回結束。接下來就開始加密傳輸了。

　　當然，這是簡單的過程，大家先消化一下，接下來我們再看看詳細的流程：

　　嗯……這張圖確實有點大。不用怕啦，我們一點一點來分析，其實這張圖就是我們本章要講的重點了，都在這張圖裡了。

　　第一部分，很好理解，我相信大家都很熟悉了，就是TCP的三次握手嘛~不說了。

　　TCP握手完成之後，就是第二部分，也就是第一個來回。我就不截圖了，大家看上面的就好了。瀏覽器會首先發一個“Client Hello”訊息，也就是跟伺服器“打招呼”。裡面有客戶端的版本號、支援的密碼套件，還有一個隨機數（Client Random），用於後續生成會話金鑰。

Handshake Protocol: Client Hello
    Version: TLS 1.2 (0x0303)
    Random: 1cbf803321fd2623408dfe…
    Cipher Suites (17 suites)
        Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)
        Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)

　　伺服器在收到”Client Hello“後，會返回一個”Server Hello“訊息。把版本號對一下，也給出一個隨機數（Server Random），然後從客戶端的列表裡選一個作為本次通訊使用的密碼套件，比如下面的程式碼選擇了“TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384”。

Handshake Protocol: Server Hello
    Version: TLS 1.2 (0x0303)
    Random: 0e6320f21bae50842e96…
    Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)

　　然後，伺服器為了證明自己的身份，就把證書也發給了客戶端（Server Certificate）。

　　接下來是一個關鍵的操作，因為伺服器選擇了 ECDHE 演算法，所以它會在證書後傳送“Server Key Exchange”訊息，裡面是橢圓曲線的公鑰（Server Params），用來實現金鑰交換演算法，再加上自己的私鑰簽名認證。

Handshake Protocol: Server Key Exchange
    EC Diffie-Hellman Server Params
        Curve Type: named_curve (0x03)
        Named Curve: x25519 (0x001d)
        Pubkey: 3b39deaf00217894e...
        Signature Algorithm: rsa_pkcs1_sha512 (0x0601)
        Signature: 37141adac38ea4...

　　然後就是”Server Hello Done“訊息，伺服器的資訊就傳遞完了。

　　這樣，第一部分訊息往返就結束了，消耗了兩個TCP包，結果是客戶端和伺服器透過明文共享了三個資訊：Client Random、Server Random、Server Params。

　　此刻，客戶端拿到了伺服器給的證書證明伺服器它是它，但是客戶端怎麼知道這個證書是真的呢？嗯，就是我們之前講的信任鏈的追溯了，確認證書的真實性後，再用證書公鑰驗證簽名，就確認了伺服器的身份。

　　然後，我們看第三部分，客戶端按照密碼套件的要求，也生產一個橢圓曲線的公鑰（Client Params），用“Client Key Exchange”訊息發給伺服器。

Handshake Protocol: Client Key Exchange
    EC Diffie-Hellman Client Params
        Pubkey: 8c674d0e08dc27b5eaa…

　　現在客戶端和伺服器手裡都拿到了金鑰交換演算法的兩個引數（Client Params、Server Params），就用 ECDHE 演算法一陣算，算出了一個新的東西，叫“Pre-Master”，其實也是一個隨機數。計算過程很複雜~~特別複雜，略。

　　現在客戶端和伺服器手裡有了三個隨機數：Client Random、Server Random 和 Pre-Master。用這三個作為原始材料，就可以生成用於加密會話的主金鑰，叫“Master Secret”。而駭客因為拿不到“Pre-Master”，所以也就得不到主金鑰。那，為啥要三個隨機數來生成Master Secret呢？其實就是為了提高破解的複雜度。

　　那~~再多說兩句，Master-Secret怎麼計算出來的呢？

master_secret = PRF(pre_master_secret, "master secret",
                    ClientHello.random + ServerHello.random)

　　這是RFC中的計算公式。

　　這裡的“PRF”就是偽隨機數函式，它基於密碼套件裡的最後一個引數，比如這次的 SHA384，透過摘要演算法來再一次強化“Master Secret”的隨機性。主金鑰有 48 位元組，但它也不是最終用於通訊的會話金鑰，還會再用 PRF 擴充套件出更多的金鑰，比如客戶端傳送用的會話金鑰（client_write_key）、伺服器傳送用的會話金鑰（server_write_key）等等，避免只用一個金鑰帶來的安全隱患。

　　有了主金鑰和派生的會話金鑰，握手就快結束了。客戶端發一個“Change Cipher Spec”，然後再發一個“Finished”訊息，把之前所有傳送的資料做個摘要，再加密一下，讓伺服器做個驗證。

　　伺服器也是同樣的操作，發“Change Cipher Spec”和“Finished”訊息，雙方都驗證加密解密 OK，握手正式結束，後面就收發被加密的 HTTP 請求和響應了。

　　最後，我們來看最後一部分，怎麼有點奇怪呢？客戶端怎麼在伺服器返回握手結束的訊息之前就傳送HTTP加密資料了呢？

　　首先，我們上圖中的握手過程，其實是TLS主流握手過程，這與傳統的握手過程有兩點不同。

　　第一，是使用ECDHE實現金鑰交換，而不是RSA，所以會在伺服器端傳送”Server Key Exchange“訊息。

　　第二，因為使用了 ECDHE，客戶端可以不用等到伺服器發回“Finished”確認握手完畢，立即就發出 HTTP 報文，省去了一個訊息往返的時間浪費。這個叫“TLS False Start”，意思就是“搶跑”，和“TCP Fast Open”有點像，都是不等連線完全建立就提前發應用資料，提高傳輸的效率。

　　所以你看，關鍵就在於用了ECDHE來作為核心引數生成Master Secret。

二、雙向認證

　　其實到這裡TLS握手的核心就基本完事了。只不過大家發現一個問題沒有，上圖中，只有伺服器傳了Certificate，讓客戶端驗證伺服器的身份。而伺服器並沒有驗證客戶端的身份。這是因為通常單向認證透過後已經建立了安全通訊，用賬號、密碼等簡單的手段就能夠確認使用者的真實身份。

　　但為了防止賬號、密碼被盜，有的時候（比如網上銀行）還會使用 U 盾給使用者頒發客戶端證書，實現“雙向認證”，這樣會更加安全。

　　熟悉不？現在知道為啥你之前去銀行的時候，銀行會給你個U盾，在網站上操作轉賬啥的時候，都必須插上U盾才行，現在知道這個U盾是用來幹啥的了吧？就是給你本地的電腦安裝證書。當然，現在好像基本上不用U盾了，直接從可信的網站上下載證書就可以了。

　　雙向認證的流程也沒有太多變化，只是在“Server Hello Done”之後，“Client Key Exchange”之前，客戶端要傳送“Client Certificate”訊息，伺服器收到後也把證書鏈走一遍，驗證客戶端的身份。大家可以參照本章的圖，自己理解一下噢~

三、小結

　　本篇，很重要，還有點複雜。大家要熟悉一下本章的兩張握手圖，理解TLS的握手過程。這個總結好像有點糊弄~~哈哈哈

　　哦對，大家還可以在Chrome瀏覽器裡的Security中檢視HTTPS的相關資訊。