SDCC2015-乌云-从SSL协议谈起.pdf

从SSL协议谈起 开篇 • 加密是安全的基石 明文传输风险 • 信息明文传输的风险 – 窃听风险：第三方可以获知通信内容 – 篡改风险：第三方可以修改通信内容 – 冒充风险：第三方可以冒充他人身份参与通信 潜在攻击方式 • 网络攻击方式 – Arp欺骗 – 路由器 – DNS – BGP – 。。。 SSL • 目标 – 如何在不可信的网络环境中传输数据 • 解决明文传输的风险 – 所有信息都是加密传播，第三方无法窃听 – 具有校验机制，一旦被篡改，通信双方会立刻发现 – 配备身份证书，防止身份被冒充 • 历史 • 最新版本 SSL3.3/TLS1.2 SSL应用范围 • 针对传输层的加密 • 可以应用到的应用层协议 – http – ftp – smtp – 。。。 SSL应用范围 • 网络层级 SSL实现 • SSL协议分为握手阶段和应用阶段 – 握手阶段也称协商阶段，在这一阶段，客户端和服务器端会认证对方身份(依赖于 PKI体系，利用数字证书进行身份认证) ，并协商通信中使用的安全参数、密码套件 以及MasterSecret。后续通信使用的所有密钥都是通过MasterSecret生成 – 在握手阶段完成后，进入应用阶段。在应用阶段通信双方使用握手阶段协商好的 密钥进行安全通信 对称加密 • 对称加密 对称加密 • 起源 – Xor • DES • AES 非对称加密 • 非对称加密 • 解决了密钥保存和交换的难题 非对称加密算法 • RSA – 给定两个质数p、q 很容易相乘得到n ，对n进行因式分解却相对困难 • ECC-椭圆曲线 – K=kG 给定K和G ，很难求k 算法选择 • 破解ECC和RSA所需的计算量对比 – / RSA vs ECC Comparison for Embedded Systems SSL握手流程 • 图解 SSL握手流程 • 图解 密钥生成 • 会话密钥源于三个随机数 – ClientHello – ServerHello – Pre-master key SSL • 完成了对SSL的了解 • 对于智能设备从中可以得到哪些启示 • 非对称加密 • 密钥的选择 非对称加密 • 使用场景 – 通信 – 固件校验 密钥的选择 • 非固定 • 非可预测 • /tips/10450 网络拓扑 用户概念 • 和其他在线服务的对比 – 用户对象数量可控 加密 • 开启通信协议提供的加密方式 – Wi-Fi – 蓝牙