基于OpenSSL的SSL/TLS加密套件全解析

news2024/11/20 16:26:15

概述

  • SSL/TLS握手时,客户端与服务端协商加密套件是很重要的一个步骤,协商出加密套件后才能继续完成后续的握手和加密通信。而现在SSL/TLS协议通信的实现,基本都是通过OpenSSL开源库,本文章就主要介绍下加密套件的含义以及如何在OpenSSL中指定加密套件。

加密套件介绍

  • SSL/TLS协议的加密套件是定义了在一次连接中所使用的各种加密算法的组合。它包括以下几个主要部分
    • 密钥交换算法:用于协商会话密钥,如RSA、DH、ECDH等。
    • 对称加密算法:用于实际数据传输的加解密,例如AES、3DES等。
    • 消息认证码(MAC)或伪随机函数(PRF):用于验证数据完整性及防止篡改,如SHA256等。
      在这里插入图片描述

如何指定加密套件

  • 使用OpenSSL或者Nginx实现SSL/TLS协议时,都需要指定加密套件。

  • 一般指定这样指定就可以了,表示指定加密套件为任意算法,但身份认证算法和加密算法不能为空。这样客户端和服务端就会自动协商一个加密套件进行通信。

  •   	ssl_ciphers ALL:!aNULL;  #Nginx配置加密套件
      	SSL_CTX_set_cipher_list(ServerCTX, "ALL:!aNULL");  #openssl接口配置加密套件
    
  • 但如果想自己指定加密套件,就可以使用以下列表中的一种。

    序号加密套件(完整名称)加密套件(openssl接口指定名称)版本密钥协商算法身份验证算法加密算法MAC
    1TLS_AES_256_GCM_SHA384TLS_AES_256_GCM_SHA384TLSv1.3anyanyAESGCM(256)AEAD
    2TLS_CHACHA20_POLY1305_SHA256TLS_CHACHA20_POLY1305_SHA256TLSv1.3anyanyCHACHA20/POLY1305(256)AEAD
    3TLS_AES_128_GCM_SHA256TLS_AES_128_GCM_SHA256TLSv1.3anyanyAESGCM(128)AEAD
    4TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384ECDHE-ECDSA-AES256-GCM-SHA384TLSv1.2ECDHECDSAAESGCM(256)AEAD
    5TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384ECDHE-RSA-AES256-GCM-SHA384TLSv1.2ECDHRSAAESGCM(256)AEAD
    6TLS_DHE_RSA_WITH_AES_256_GCM_SHA384DHE-RSA-AES256-GCM-SHA384TLSv1.2DHRSAAESGCM(256)AEAD
    7TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256ECDHE-ECDSA-CHACHA20-POLY1305TLSv1.2ECDHECDSACHACHA20/POLY1305(256)AEAD
    8TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256ECDHE-RSA-CHACHA20-POLY1305TLSv1.2ECDHRSACHACHA20/POLY1305(256)AEAD
    9TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256DHE-RSA-CHACHA20-POLY1305TLSv1.2DHRSACHACHA20/POLY1305(256)AEAD
    10TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256ECDHE-ECDSA-AES128-GCM-SHA256TLSv1.2ECDHECDSAAESGCM(128)AEAD
    11TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256ECDHE-RSA-AES128-GCM-SHA256TLSv1.2ECDHRSAAESGCM(128)AEAD
    12TLS_DHE_RSA_WITH_AES_128_GCM_SHA256DHE-RSA-AES128-GCM-SHA256TLSv1.2DHRSAAESGCM(128)AEAD
    13TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384ECDHE-ECDSA-AES256-SHA384TLSv1.2ECDHECDSAAES(256)SHA384
    14TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384ECDHE-RSA-AES256-SHA384TLSv1.2ECDHRSAAES(256)SHA384
    15TLS_DHE_RSA_WITH_AES_256_CBC_SHA256DHE-RSA-AES256-SHA256TLSv1.2DHRSAAES(256)SHA256
    16TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256ECDHE-ECDSA-AES128-SHA256TLSv1.2ECDHECDSAAES(128)SHA256
    17TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256ECDHE-RSA-AES128-SHA256TLSv1.2ECDHRSAAES(128)SHA256
    18TLS_DHE_RSA_WITH_AES_128_CBC_SHA256DHE-RSA-AES128-SHA256TLSv1.2DHRSAAES(128)SHA256
    19TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHAECDHE-ECDSA-AES256-SHATLSv1ECDHECDSAAES(256)SHA1
    20TLS_ECDHE_RSA_WITH_AES_256_CBC_SHAECDHE-RSA-AES256-SHATLSv1ECDHRSAAES(256)SHA1
    21TLS_DHE_RSA_WITH_AES_256_CBC_SHADHE-RSA-AES256-SHASSLv3DHRSAAES(256)SHA1
    22TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHAECDHE-ECDSA-AES128-SHATLSv1ECDHECDSAAES(128)SHA1
    23TLS_ECDHE_RSA_WITH_AES_128_CBC_SHAECDHE-RSA-AES128-SHATLSv1ECDHRSAAES(128)SHA1
    24TLS_DHE_RSA_WITH_AES_128_CBC_SHADHE-RSA-AES128-SHASSLv3DHRSAAES(128)SHA1
    25RSA_PSK_WITH_AES_256_GCM_SHA384RSA-PSK-AES256-GCM-SHA384TLSv1.2RSAPSKRSAAESGCM(256)AEAD
    26DHE_PSK_WITH_AES_256_GCM_SHA384DHE-PSK-AES256-GCM-SHA384TLSv1.2DHEPSKPSKAESGCM(256)AEAD
    27TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256RSA-PSK-CHACHA20-POLY1305TLSv1.2RSAPSKRSACHACHA20/POLY1305(256)AEAD
    28TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256DHE-PSK-CHACHA20-POLY1305TLSv1.2DHEPSKPSKCHACHA20/POLY1305(256)AEAD
    29TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256ECDHE-PSK-CHACHA20-POLY1305TLSv1.2ECDHEPSKPSKCHACHA20/POLY1305(256)AEAD
    30TLS_RSA_WITH_AES_256_GCM_SHA384AES256-GCM-SHA384TLSv1.2RSARSAAESGCM(256)AEAD
    31PSK_WITH_AES_256_GCM_SHA384PSK-AES256-GCM-SHA384TLSv1.2PSKPSKAESGCM(256)AEAD
    32TLS_PSK_WITH_CHACHA20_POLY1305_SHA256PSK-CHACHA20-POLY1305TLSv1.2PSKPSKCHACHA20/POLY1305(256)AEAD
    33RSA_PSK_WITH_AES_128_GCM_SHA256RSA-PSK-AES128-GCM-SHA256TLSv1.2RSAPSKRSAAESGCM(128)AEAD
    34DHE_PSK_WITH_AES_128_GCM_SHA256DHE-PSK-AES128-GCM-SHA256TLSv1.2DHEPSKPSKAESGCM(128)AEAD
    35TLS_RSA_WITH_AES_128_GCM_SHA256AES128-GCM-SHA256TLSv1.2RSARSAAESGCM(128)AEAD
    36PSK_WITH_AES_128_GCM_SHA256PSK-AES128-GCM-SHA256TLSv1.2PSKPSKAESGCM(128)AEAD
    37TLS_RSA_WITH_AES_256_CBC_SHA256AES256-SHA256TLSv1.2RSARSAAES(256)SHA256
    38TLS_RSA_WITH_AES_128_CBC_SHA256AES128-SHA256TLSv1.2RSARSAAES(128)SHA256
    39ECDHE_PSK_WITH_AES_256_CBC_SHA384ECDHE-PSK-AES256-CBC-SHA384TLSv1ECDHEPSKPSKAES(256)SHA384
    40ECDHE_PSK_WITH_AES_256_CBC_SHAECDHE-PSK-AES256-CBC-SHATLSv1ECDHEPSKPSKAES(256)SHA1
    41RSA_PSK_WITH_AES_256_CBC_SHA384RSA-PSK-AES256-CBC-SHA384TLSv1RSAPSKRSAAES(256)SHA384
    42DHE_PSK_WITH_AES_256_CBC_SHA384DHE-PSK-AES256-CBC-SHA384TLSv1DHEPSKPSKAES(256)SHA384
    43RSA_PSK_WITH_AES_256_CBC_SHARSA-PSK-AES256-CBC-SHASSLv3RSAPSKRSAAES(256)SHA1
    44DHE_PSK_WITH_AES_256_CBC_SHADHE-PSK-AES256-CBC-SHASSLv3DHEPSKPSKAES(256)SHA1
    45TLS_RSA_WITH_AES_256_CBC_SHAAES256-SHASSLv3RSARSAAES(256)SHA1
    46PSK_WITH_AES_256_CBC_SHA384PSK-AES256-CBC-SHA384TLSv1PSKPSKAES(256)SHA384
    47PSK_WITH_AES_256_CBC_SHAPSK-AES256-CBC-SHASSLv3PSKPSKAES(256)SHA1
    48ECDHE_PSK_WITH_AES_128_CBC_SHA256ECDHE-PSK-AES128-CBC-SHA256TLSv1ECDHEPSKPSKAES(128)SHA256
    49ECDHE_PSK_WITH_AES_128_CBC_SHAECDHE-PSK-AES128-CBC-SHATLSv1ECDHEPSKPSKAES(128)SHA1
    50RSA_PSK_WITH_AES_128_CBC_SHA256RSA-PSK-AES128-CBC-SHA256TLSv1RSAPSKRSAAES(128)SHA256
    51DHE_PSK_WITH_AES_128_CBC_SHA256DHE-PSK-AES128-CBC-SHA256TLSv1DHEPSKPSKAES(128)SHA256
    52RSA_PSK_WITH_AES_128_CBC_SHARSA-PSK-AES128-CBC-SHASSLv3RSAPSKRSAAES(128)SHA1
    53DHE_PSK_WITH_AES_128_CBC_SHADHE-PSK-AES128-CBC-SHASSLv3DHEPSKPSKAES(128)SHA1
    54TLS_RSA_WITH_AES_128_CBC_SHAAES128-SHASSLv3RSARSAAES(128)SHA1
    55PSK_WITH_AES_128_CBC_SHA256PSK-AES128-CBC-SHA256TLSv1PSKPSKAES(128)SHA256
    56PSK_WITH_AES_128_CBC_SHAPSK-AES128-CBC-SHASSLv3PSKPSKAES(128)SHA1
  • 当然也不能任意指定,指定时要看客户端是否支持。比如使用谷歌浏览器访问Nginx服务,抓包可以看到客户端支持的所有加密套件。那么服务端指定加密套件时,就只能从以下支持的加密套件中选择一个。
    在这里插入图片描述

命令行工具

  • OpenSSL提供了命令行工具,可以查看加密套件
  • 1、查看OpenSSL支持的所有加密套件
    • openssl ciphers -v
  • 2、查看OpenSSL支持的所有加密套件,但身份验证和加密算法不能为空
    • openssl ciphers -v ‘ALL:!aNULL’

参考

  • openssl加密套件详解

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1402023.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

机器人制作开源方案 | 全自动导航分拣机器人

作者:孙国峰 董阳 张鑫源 单位:山东科技大学 机械电子工程学院 指导老师:张永超 贝广霞 1. 研究意义 1.1 研究背景 在工业生产中,机器人在解决企业的劳动力不足,提高企业劳动生产率,提高产品质量和降低…

【设计模式】适配器和桥接器模式有什么区别?

今天我探讨一下适配器模式和桥接模式,这两种模式往往容易被混淆,我们希望通过比较他们的区别和联系,能够让大家有更清晰的认识。 适配器模式:连接不兼容接口 当你有一个类的接口不兼容你的系统,而你又不希望修改这个…

【笔记】Blender4.0建模入门-3物体的基本操作

Blender入门 ——邵发 3.1 物体的移动 演示: 1、选中一个物体 2、选中移动工具 3、移动 - 沿坐标轴移动 - 在坐标平面内移动 - 自由移动(不好控制) 选中物体:右上的大纲窗口,点击物体名称,物体的轮…

【Python 元编程】装饰器入门指南

Python装饰器入门指南🚀 在编程世界中,效率和优雅的代码往往是我们所追求的目标。Python 作为一种强大且灵活的编程语言,提供了一个称为“装饰器”的功能,让我们能够以一种简洁和优雅的方式扩展和管理我们的代码。 本文旨在为初…

利用appium自动控制移动设备并提取数据

安装appium-python-client模块并启动已安装好的环境 安装appium-python-client模块 在window的虚拟环境下执行pip install appium-python-client 启动夜神模拟器,进入夜神模拟器所在的安装路径的bin目录下,进入cmd终端,使用adb命令建立adb…

生产环境 OpenFeign 的配置最佳实践

基础使用 OpenFeign 全方位讲解 1. 生产环境 OpenFeign 的配置事项 1.1 如何更改 OpenFeign 默认的负载均衡策略 warehouse-service: #服务提供者的微服务IDribbon:#设置对应的负载均衡类NFLoadBalancerRuleClassName: com.netflix.loadbalancer.RandomRule1.2 开启默认的 O…

C++ //练习 2.14 下面的程序合法吗?如果合法,它将输出什么?

C Primer&#xff08;第5版&#xff09; 练习 2.14 练习 2.14 下面的程序合法吗&#xff1f;如果合法&#xff0c;它将输出什么&#xff1f; int i 100, sum 0; for(int i 0; i ! 10; i)sum i; std::cout<<i<<" "<<sum<<std::endl;环境…

scipy通过快速傅里叶变换实现滤波

文章目录 fft模块简介fft函数示例滤波 fft模块简介 scipy官网宣称&#xff0c;fftpack模块将不再更新&#xff0c;或许不久之后将被废弃&#xff0c;也就是说fft将是唯一的傅里叶变换模块。 Fourier变换极其逆变换在数学上的定义如下 F ( ω ) ∫ − ∞ ∞ f ( t ) e − i ω…

Python图像处理【19】基于霍夫变换的目标检测

基于霍夫变换的目标检测 0. 前言1. 使用圆形霍夫变换统计图像中圆形对象2. 使用渐进概率霍夫变换检测直线2.1 渐进霍夫变换原理2.2 直线检测 3. 使用广义霍夫变换检测任意形状的对象3.1 广义霍夫变换原理3.2 检测自定义形状 小结系列链接 0. 前言 霍夫变换 (Hough Transform,…

2024最新:optee系统开发精讲 - 课程介绍

&#xff08;本课程中如有涉及代码或硬件架构&#xff0c;则对应的版本号&#xff1a;TF-A 2.80&#xff0c;optee 3.20, Linux Kernel 6.3&#xff0c;armv8.79.0的aarch64&#xff09; &#xff08;注意&#xff1a; 该课程没有PPT&#xff0c;该课程是对照代码讲解的&#x…

回归预测 | Matlab基于ABC-SVR人工蜂群算法优化支持向量机的数据多输入单输出回归预测

回归预测 | Matlab基于ABC-SVR人工蜂群算法优化支持向量机的数据多输入单输出回归预测 目录 回归预测 | Matlab基于ABC-SVR人工蜂群算法优化支持向量机的数据多输入单输出回归预测预测效果基本描述程序设计参考资料 预测效果 基本描述 1.Matlab基于ABC-SVR人工蜂群算法优化支持…

矩阵重叠问题判断

创作背景 看到一道题目有感而发想写一篇题解&#xff0c;涉及的是一种逆向思维 桌面窗体重叠 - 洛谷https://www.luogu.com.cn/problem/U399827题目来源于《信息学奥赛课课通》 大致就是给一个长方形的左上顶点坐标&#xff08;x1,y1&#xff09;和右下顶点坐标&#xff08;x…

面试题:SpringBoot项目怎么设计业务操作日志功能?

文章目录 前言需求描述与分析系统日志操作日志 设计思路Spring AOPFilter和HandlerInterceptorSpringAOP、过滤器、拦截器对比 实现方案环境配置依赖配置表结构设计代码实现 测试调试方法验证结果 总结 前言 很久以前都想写这篇文章&#xff0c;一直没有空&#xff0c;但直到现…

【QT+QGIS跨平台编译】之一:【sqlite+Qt跨平台编译】(一套代码、一套框架,跨平台编译)

文章目录 一、sqlite3介绍二、文件下载三、文件分析四、pro文件五、编译实践 一、sqlite3介绍 SQLite是一款轻型的数据库&#xff0c;是遵守ACID的关系型数据库管理系统&#xff0c;它包含在一个相对小的C库中。它是D.RichardHipp建立的公有领域项目。它的设计目标是嵌入式的&…

MSVS C# Matlab的混合编程系列2 - 构建一个复杂(含多个M文件)的动态库:

前言: 本节我们尝试将一个有很多函数和文件的Matlab算法文件集成到C#的项目里面。 本文缩语: MT = Matlab 问题提出: 1 我们有一个比较复杂的Matlab文件: 这个MATLAB的算法,写了很多的算法函数在其他的M文件里面,这样,前面博客的方法就不够用了。会报错: 解决办法如下…

[学习笔记]刘知远团队大模型技术与交叉应用L3-Transformer_and_PLMs

RNN存在信息瓶颈的问题。 注意力机制的核心就是在decoder的每一步&#xff0c;都把encoder的所有向量提供给decoder模型。 具体的例子 先获得encoder隐向量的一个注意力分数。 注意力机制的各种变体 一&#xff1a;直接点积 二&#xff1a;中间乘以一个矩阵 三&#xff1a;…

Opncv模板匹配 单模板匹配 多模板匹配

目录 问题引入 单模板匹配 ①模板匹配函数: ②查找最值和极值的坐标和值: 整体流程原理介绍 实例代码介绍: 多模板匹配 ①定义阈值 ②zip函数 整体流程原理介绍 实例代码: 问题引入 下面有请我们的陶大郎登场 这张图片是我们的陶大郎,我们接下来将利用陶大郎来介绍…

恒悦sunsite博客2023年总结及2024年展望

一、2023年总结 一年如一日的坚持做好一件事并不是容易的事情&#xff0c;但是只要我们坚持下去&#xff0c;乘风破浪会有时&#xff0c;直挂云帆济沧海。   2023年是意义非凡的一年&#xff0c;年初的时候自己定下了两个目标&#xff1a;第一个是完成博客专家认证&#xff1…

HarmonyOS鸿蒙应用开发 (一、环境搭建及第一个Hello World)

万事开头难。难在迈出第一步。心无旁骛&#xff0c;万事可破。没有人一开始就能想清楚&#xff0c;只有做起来&#xff0c;目标才会越来越清晰。--马克.扎克伯格 前言 2024年1月16日&#xff0c;华为目前开启已HarmonyOS NEXT开发者预览版Beta招募&#xff0c;报名周期为1月15…

做好销售人员激励的3个要诀

企业合并是企业发展的重要战略手段之一。许多成长中的企业在经过一段时间的积累后&#xff0c;为了获得快速成长&#xff0c;实现规模效应&#xff0c;通常会采用合并的手段实现目标&#xff0c;同时企业会制定新型政策规范企业管理。但是在制定政策之前&#xff0c;企业通常会…