我想知道 HTTPS 是如何实现的。数据是加密的还是路径是加密的(通过它传递数据)。如果有人向我提供实施细节,我将不胜感激。
【问题讨论】:
标签: https
很简单,HTTPS 使用安全套接字层来加密在客户端和服务器之间传输的数据。 SSL 使用非对称加密技术 RSA 算法https://en.wikipedia.org/wiki/RSA_(cryptosystem)。该算法如何工作的精确细节很复杂,但基本上它利用了这样一个事实,即虽然将两个大素数相乘很容易,但将结果分解回组成素数是非常非常困难的。所有 SSL/RSA 加密的工作原理是:
服务器生成两个大素数,并将它们相乘。这称为“公钥”。任何希望将数据安全地传输到服务器的客户端都可以使用此密钥。客户端使用这个“公钥”来加密它希望发送的数据。现在因为这是一个非对称算法,公钥不能用来解密传输的数据,只能加密它。为了解密,您需要原始质数,并且只有服务器拥有这些(“私钥”)。收到加密数据后,服务器使用其私钥对传输进行解密。
在您浏览网页的情况下,您的浏览器会向服务器提供其公钥。服务器使用此密钥对要发送到浏览器的数据进行加密,然后浏览器使用其私钥进行解密。
所以是的,所有通过 HTTPs 传输到服务器/从服务器传输的数据都是加密的 - 并且加密得很好。典型的 SSL 实施使用 128 或 256 位数字作为其密钥。要打破这一点,您需要真正大量的计算资源。
据我所知,对服务器资产的请求未加密 - 使用 httpfox https://addons.mozilla.org/en-US/firefox/addon/6647/ 或 Wireshark http://www.wireshark.org/ 或其他方式进行确认。
【讨论】:
client public key 加密,而到服务器的数据由server public key 加密。这里的见解是第三方可以拦截公钥和消息,但没有私钥他们无法获取纯文本。
有两种方式。
确保您和网站之间传输的所有信息都经过加密。它通过使用 RSA 的密钥交换过程来实现这一点(交换“会话密钥”,用于实际加密)。
通过(试图)证明对您访问的网站的信任。证书是提供给域的,其想法是在您的机器上,您只信任来自各种知名来源的证书。然后,您可以(理论上)确信,当弹出“Your Bank”的证书时,它确实是“Your Bank”网站,而不是其他网站。在实践中,很少有人关心/注意到 SSL 的这一方面。
这是传输层的安全性。它不是应用程序级别。您仍然需要遵循安全编码实践和各种其他技术来确保您的网站是安全的。
【讨论】:
我认为这是一个非常简洁易读的解释: http://robertheaton.com/2014/03/27/how-does-https-actually-work/
这是我的总结版本:
概念:
握手:
【讨论】:
您可以阅读 TLSv1 RFC-2246 中的所有详细信息。
安全分析,具体如下:
F.安全分析
TLS 协议旨在建立安全连接 客户端和服务器通过不安全的通道进行通信。这个 文件做了几个传统的假设,包括 攻击者拥有大量计算资源,无法获取 来自协议之外来源的秘密信息。攻击者是 假定具有捕获、修改、删除、重放和 否则篡改通过通信通道发送的消息。 本附录概述了 TLS 如何被设计来抵抗各种 攻击次数。
截取更多内容
【讨论】:
服务器和客户端无法控制用于传输数据的路径。使用的路径是网络层(Internet 协议 - IP)的问题,而不是传输层安全性 (TLS) 的问题
数据本身是加密的,也有检查服务器真实性的方法,正如 Noon Silk 所说。
【讨论】: