https会话过程中密钥的计算

在上篇中提到了两个明文传输的随机数 random_C 和 random_S 与通过加密在服务器和用户端之间交换的 Pre-master，三个参数作为密钥协商的基础。这篇来说明密钥协商的基本计算过程以及通信过程中的密钥使用。

• 计算 Key

涉及参数 random client 和 random server, Pre-master, Master secret, key material, 计算密钥时，服务器和用户端都具备这些基本信息，交换方式在上篇中有说明，计算流程如下：

用户端采用 RSA 或者 Diffie-Hellman 等加密算法生成 Pre-master;

Pre-master 结合 random client 和 random server 两个随机数通过 PseudoRandomFunction(PRF)计算得到 Master secret;

Master secret 结合 random client 和 random server 两个随机数通过迭代计算得到 Key material;

以下为少量重要的记录，可以处理部分爱深入研究朋友的疑惑，copy的材料，分享给大家：

(a) PreMaster secret 前两个字节是 TLS 的版本号，这是一个比较重要的用来核查握手数据的版本号，由于在 Client Hello 阶段，用户端会发送一份加密套件列表和当前支持的 SSL/TLS 的版本号给服务端，而且是使用明文传送的，假如握手的数据包被破解之后，攻击者很有可能串改数据包，选择一个安全性较低的加密套件和版本给服务端，从而对数据进行破解。所以，服务端需要对密文中解密出来对的 PreMaster 版本号跟之前 Client Hello 阶段的版本号进行比照，假如版本号变低，则说明被串改，则立即中止发送任何消息。(copy)

(b) 不论是用户端还是服务器，都需要随机数，这样生成的密钥才不会每次都一样。因为 SSL 协议中证书是静态的，因而十分有必要引入一种随机因从来保证协商出来的密钥的随机性。

对于 RSA 密钥交换算法来说，pre-master-key 本身就是一个随机数，再加上 hello 消息中的随机，三个随机数通过一个密钥导出器最终导出一个对称密钥。

pre master 的存在在于 SSL 协议不信任每个主机都能产生完全随机的随机数，假如随机数不随机，那么 pre master secret 就有可能被猜出来，那么仅适用 pre master secret 作为密钥就不合适了，因而必需引入新的随机因素，那么用户端和服务器加上 pre master secret 三个随机数一同生成的密钥就不容易被猜出了，一个伪随机可能完全不随机，可是三个伪随机就十分接近随机了，每添加一个自由度，随机性添加的可不是一。

• 密钥使用

Key 经过12轮迭代计算会获取到12个 hash 值，分组成为6个元素，列表如下：

mac key、encryption key 和 IV 是一组加密元素，分别被用户端和服务器使用，但是这两组元素都被两边同时获取;

用户端使用 client 组元素加密数据，服务器使用 client 元素解密;服务器使用 server 元素加密，client 使用 server 元素解密;

双向通信的不同方向使用的密钥不同，破解通信至少需要破解两次;

encryption key 用于对称加密数据;

IV 作为很多加密算法的初始化向量使用，具体可以研究对称加密算法;

Mac key 用于数据的完整性校验;

• 数据加密通信过程

对应用层数据进行分片成合适的 block;

为分片数据编号，防止重放攻击;

使用协商的压缩算法压缩数据;

计算 MAC 值和压缩数据组成传输数据;

使用 client encryption key 加密数据，发送给服务器 server;

server 收到数据之后使用 client encrytion key 解密，校验数据，解压缩数据，重新组装。

注：MAC值的计算包括两个 Hash 值：client Mac key 和 Hash (编号、包类型、长度、压缩数据)。

下面说下对抓包的少量了解

(1).抓包 HTTP 通信，能够清晰的看到通信的头部和信息的明文，但是 HTTPS 是加密通信，无法看到 HTTP 协议的相关头部和数据的明文信息，

(2).抓包 HTTPS 通信主要包括三个过程：TCP 建立连接、TLS 握手、TLS 加密通信，主要分析 HTTPS 通信的握手建立和状态等信息。

(3).client_hello

根据 version 信息能够知道用户端支持的最高的协议版本号，假如是 SSL 3.0 或者 TLS 1.0 等低版本协议，非常注意可能由于版本低引起少量握手失败的情况;

根据 extension 字段中的 server_name 字段判断能否支持SNI，存在则支持，否则不支持，对于定位握手失败或者证书返回错误非常有用;

会话标识 session ID 是标准协议部分，假如没有建立过连接则对应值为空，不为空则说明之前建立过对应的连接并缓存;

会话记录 session ticke t是扩展协议部分，存在该字段说明协议支持 sesssion ticket，否则不支持，存在且值为空，说明之前未建立并缓存连接，存在且值不为空，说明有缓存连接。

(4).server_hello

根据 TLS version 字段能够推测出服务器支持的协议的最高版本，版本不同可能造成握手失败;

基于 cipher_suite 信息判断出服务器优先支持的加密协议;

(5).ceritficate

服务器配置并返回的证书链，根据证书信息并于服务器配置文件比照，判断请求与期望能否一致，假如不一致，能否返回的默认证书。

(6).alert

告警信息 alert 会说明建立连接失败的起因即告警类型，对于定位问题非常重要。