关于密码学的进一步答疑:SSL和TLS的区别、CA和CT的关系

news2024/11/15 8:09:10

《密码学:一文读懂常用加密技术原理及其逻辑与应用方法》一文一经发布后,后台收到了许多私信,承蒙喜爱,这篇文章将主要对后台收到的高频问题予以统一回应。


问题一: 在讨论加密解密的过程中,常常在同一语境下同时出现SSL、TLS,请问两者的差异是什么?

答:在HTTPS协议中,网站与服务器通过非对称加密的方式实现Security,这一过程是一套独立于http协议的流程,被称为安全套接字层,也即Secure Socket Layer,即SSL。如下:
在这里插入图片描述
从示意图中不难发现,这个密钥协商的过程如同tcp一样,经历了三次握手,被称为SSL握手。

而从1994年到1996年,SSL分别经历了1.0,2.0和3.0的版本升级。在3.0级基础上,互联网工程事务组(IETF)决定将其标准化,最终于1999年以TLS为称呼发布。日常生活中,我们可以见到SSL和TLS间的混用,因为TLS1.0可以被视作SSL的3.1版本。
在这里插入图片描述
此后,TLS也经历了1.0、1.1、1.2和1.3的版本升级,对安全细节予以了改善。例如在TLS1.2版本中,淘汰了两种哈希函数(MD5/SHA-1)而用SHA-256取而代之。
在这里插入图片描述


问题二: 如何防止第三方机构CA机构不作恶?CT是什么?

答:CA(Certificate Authority)机构颁发证书,以实现对数字签名所发布的公钥进行权威的认证。因此,证书颁发机构(CA)必须是可信的。

在如何防止第三方机构CA机构不作恶问题上,《密码学:一文读懂常用加密技术原理及其逻辑与应用方法》一文中提到,对于认证机构的公钥,一般由其它的认证机构施加数字签名,从而对认证机构的公钥进行验证,即生成一张认证机构的公钥证书,这样的关系可以迭代好几层,以杜绝中间人假冒认证机构CA。最高一层的认证机构被称为根CA,RCA会对自己的公钥进行数字签名,即自签名,也会在RCA间互相签名。

在此基础上,我们进一步观察,还能发现,成为CA机构的门槛较高,例如Google、Microsoft、中国互联网信息中心、中国金融认证中心、Symantec、digicert、GlobalSign等等。这些机构原则上没有颁发非法或错误证书的动机。

实际上,除去思考CA机构能否作恶意外,我们还需要关注的问题有很多,例如CA机构有没有可能被黑客入侵呢?CA机构的办事员有没有可能犯错/作恶呢?

显然,CA机构的可信信问题面临巨大挑战。在棱镜门事件后,证书透明(Cetificate Transparence,CT)方案被提出。其核心逻辑是:

在加入CT的安全体系下,要求CA机构每次颁发证书时,要向日志服务器提交证书详情,日志服务器负责记录并向CA返回SCT数据,CA将SCT加入到证书扩展中,一并颁发给站点服务器。在TLS握手时,浏览器检测证书是否有SCT信息,并向日志服务器核验(日志服务器有自己的公私密钥,SCT中包含其私钥签名的数据,浏览器使用日志服务器的公钥,对SCT信息中的签名进行验签来确定真实性)。

换言之,证书透明(Cetificate Transparence,CT)方案通过加入一层监管者,以确保CA证书的透明性。

从2018年开始,由Crome和Safari浏览器牵头,各家浏览器强制执行证书中的CT检查,换言之,不携带SCT信息的证书将被标注为不安全,如此,所有的CA机构便被强制加入了监管体系。

那么如何保障日志服务器不作恶呢?实际上,日志服务器利用《密码学:一文读懂常用加密技术原理及其逻辑与应用方法》一文中提到的哈希函数的碰撞抗碰撞性(Collision Resistance)特性,通过默克尔树(Merkle Tree)来防止篡改——换言之,日志服务器成为了一个只能添加信息的“账本”系统。monitor/监管者(域名拥有者、CA机构)通过周期性查询可以检测是否存在可疑的证书颁发记录。


至此,本文也就进入尾声了。希望本文能够起到抛砖引玉之效,也欢迎大家的批评交流。


如果您有任何疑问或者好的建议,期待你的留言、评论与关注!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/479991.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

设计模式之原型模式(深拷贝浅拷贝)

目录 1、什么是原型模式 2、前置知识(深拷贝&浅拷贝) 2.1 浅拷贝 2.2 深拷贝 3、代码实现 3.1 通过Object中的clone方法实现浅拷贝 3.2 通过对象流来实现深拷贝 4、原型模式总结 4.1 优缺点 4.2 使用场景 4.3 对比直接new对象有何不同 1、…

如何使用递归函数实现Excel列号转换列标

在Excel中,列标与列号转换是VBA开发过程中经常用到的功能,下面这篇博客为大家解释了多种方法。 【Excel列标与列号转换】 那么这篇博文的核心是“递归过程”,实现这个功能并不是必须使用递归过程,但是这也不失为一种实现方法&am…

【Android入门到项目实战-- 8.2】—— 使用HTTP协议访问网络

目录 一、使用HttpURLConnection 1、使用Android的HttpURLConnection步骤 1)获取HttpURLConnection实例 2)设置HTTP请求使用的方法 3)定制HTTP请求,如连接超时、读取超时的毫秒数 4)调用getInputStream()方法获取返回的输入流 5)关闭HTTP连接 2、…

NXP - LPC1769与LPC1768的区别

文章目录 NXP - LPC1769与LPC1768的区别概述笔记General description验证结论END NXP - LPC1769与LPC1768的区别 概述 openpnp设备用到了冰沙主板. 冰沙主板的主控MCU用到了LPC1769, 想着研究一下. 订了OM13085UL, 遥遥无期… 买了LPC MCU的书, 里面提到了书的作者的网店, 居…

python+vue精品课程建设制作django服务网站系统

功能介绍通篇文章的撰写基础是实际的应用需要,然后在架构系统之前全面复习大学所修习的相关知识以及网络提供的技术应用教程,以视频建设制作服务的实际应用需要出发,架构系统来改善现视频建设制作服务工作流程繁琐等问题。不仅如此以操作者的…

kotlin在鸿蒙开发中的实践

先说一说kotlin 我们知道: kotlin目前是安卓首选的编程语言。 安卓逐渐抛弃java,拥抱kotlin这是大的趋势。 kotlin的最大优点就是与java的互操作性。 kotlin编译的产物和java一样是bytecode(不抬杠,本文只说面向jvm的kotlin)。 kotlin是一…

Cadence基础操作:Schematic编辑

本文转载自B站up主:_WithB,原文链接如下:https://www.bilibili.com/read/cv20414466 鼠标 左键单击 –> 选中或确定操作 按住左键 –> 选中区域内所有组件 左键双击,可以选择以特定操作模式和窗口类型进入对应组件的下一层一般我是ed…

Winform从入门到精通(36)—ColorDialog(史上最全)更新中

前言 当我们需要设置某个控件的颜色时,并且需要弹出一个可以选择颜色的对话框时,这时候就需要使用ColorDialog 一、属性 1、AllowFullOpen 该属性用于启用或者禁用“自定义颜色按钮”,该属性为true时,可以自定义颜色 2、AnyColor 实际测试该属性没什么作用 3、Colo…

请求与相应

从容器到Servlet 前面我们介绍了JSP的内置对象和Servlet的相关知识, 以及如何部署和开发一个Servlet。但是, 并没有详细介绍如何将Servlet与JSP结合起来使用。Web容器是JSP唯一可以识别的HTTP服务器, 所以必须了解Web容器如何生成请求和响应…

来上海一个月的记录、思考和感悟

作者 | gongyouliu 编辑 | gongyouliu 从4月3号早上来上海,到今天差不多整整一个月了,也是自己正式从杭州离职创业(我更愿意称之为自由职业者,毕竟我没有招聘全职员工,有两个朋友业余时间在帮我)的第一个月…

SAP UI5 之Bootstrap(引导)笔记二

文章目录 Setting up Visual Studio Code for UI5 development1.0 官网 Walkthrough学习-Bootstrap 引导加载1.0.1 在 index.html中新增script标签1.0.2 在webapp 下面新增index.js文件1.0.3启动UI5的服务 Setting up Visual Studio Code for UI5 development 学习链接 Setti…

如何正确部署Redisearch和Rejson(附*.so文件免费下载)

1 缘起 项目需要。 最近的一个项目需要做文本搜索,技术选型:Redis的两个组件Redisearch和ReJSON。 Redisearch和ReJSON是Redis的两个组件: RediSearch为Redis提供查询、二次索引和全文搜索。使用RediSearch,首先要在Redis数据上声明索引。然后使用RediSearch查询语言来查…

【电子通识】颜色的困惑:什么是国际通用Panone(潘通)

Pantone 是世界知名的色彩权威机构,也是色彩系统的供应商,为许多行业提供专业色彩选择。在 Pantone 之前,每个印刷公司都有自己的色彩指南。比如都是“黄色”,但由于印刷方式有所不同(具体取决于每个油墨公司如何解释该…

学习之-Mysql Sql 优化之 Explain

在开发中,往往遇到一些慢查询语句, 我们需要对慢查询进行优化。Explain工具就是用来分析某个慢查询执行情况的工具。通过在select 语句前加上explain 关键字,然后执行就会得到某个sql 执行计划信息,通过分析执行计划,我…

vue相关知识导学

学习资料 Vue 相关源码地址: vue2.0 GitHub - vuejs/vue: This is the repo for Vue 2. For Vue 3, go to https://github.com/vuejs/coreVue3.0 GitHub - vuejs/core: 🖖 Vue.js is a progressive, incrementally-adoptable JavaScri…

【从0到1了解Libarchive】Libarchive的用途意义以及成功入门Libarchive

目录 0 如果你还不知道Libarchive是什么请一定要先看一下 1 简介 1.1 为什么实现Libarchive 1.2 到底都有谁在用呢? 1.3 Libarchive都有哪些功能 1.4 我们可以通过这些获取更多信息 1.5 如何贡献 2 Libarchive归档与压缩 3 Libarchive编译 4 Libarchive简…

maven gpg报错:no default secret key: No secret key signing failed: No secret key

一、问题描述 我这边情况是这样的,原本在A电脑上,通过maven打包安装都是好的,最近新弄了台电脑,然后把A电脑的gpg秘钥通过Kleopatra的方式直接导出来 然后在B电脑上通过Kleopatra导入,整了很久,在IDEA中执…

FreeRTOS 事件标志组

文章目录 一、事件标志组简介二、创建事件标志组1. 函数 xEventGroupCreate()2. 函数 xEventGroupCreateStatic() 三、设置事件位1. 函数 xEventGroupClearBits()2. 函数 xEventGroupClearBitsFromISR()3. 函数 xEventGroupSetBits()4. 函数 xEventGroupSetBitsFromISR() 四、获…

Linux pthread线程操作 和 线程同步与互斥操作

在Linux系统中玩线程,使用pthread,这篇博客记录如何创建线程和使用线程和线程的同步与互斥。 还有一份nginx线程池的代码供大家阅读学习! 目录 一、简介 什么是线程 线程的优点、缺点 线程的应用场合 二、线程的使用 1. 创建线程 - p…

如何评价聚类结果的好坏?

聚类有效性的评价可分为内部指标和外部指标,内部指标是一种无监督的评价方法,它对聚类结果的评价不需要借助样本集的真实标签,仅利用样本集自身 结构信息对聚类结果进行评价;而外部指标是一种有监督的评价方法,它通过对…