博学笃行·盛德日新

Https加密协议详解(三):PKI体系


技术 https ssl

一、RSA身份验证的隐患

身份验证和密钥协商是TLS的基础功能,要求的前提是合法的服务器掌握着对应的私钥。但RSA算法无法确保服务器身份的合法性,因为公钥并不包含服务器的信息,存在至少存在两类安全问题:中间人攻击和信息抵赖

中间人攻击

客户端C和服务器S进行通信,中间节点M截获了二者的通信;
节点M自己计算产生一对公钥pub_M和私钥pri_M;
C向S请求公钥时,M把自己的公钥pub_M发给了C;
C使用公钥 pub_M加密的数据能够被M解密,因为M掌握对应的私钥pri_M,而C无法根据公钥信息判断服务器的身份,从而C和M之间建立了»可信»加密连接;
中间节点M和服务器S之间再建立合法的连接,因此C和S之间通信被M完全掌握,M可以进行信息的窃听、篡改等操作。

信息抵赖

服务器也可以对自己的发出的信息进行否认,不承认相关信息是自己发出。因为作为客户端,只有公钥信息,但是公钥信息里不包括服务端的信息。比如当C同时拥有A_S和B_S的公钥时,此时,A_S说:“我是A_S,C是大傻瓜!”。此时C就去问A_S:“你为什么骂我?”。A_S说:“不是我说的”。 A_S为什么可以抵赖?因为C同时拥有A_S和B_S的公钥,可以对信息进行解密,这个信息也完全是有可能是B_S说的,也就是上面的中间人攻击类似。

c-1

二、身份验证CA和证书

解决上述身份验证问题的关键是确保获取的公钥途径是合法的,能够验证服务器的身份信息,为此需要引入权威的第三方机构CA(如Globalsign,DigiCert等)。CA负责核实公钥的拥有者的信息,并颁发认证»证书»,同时能够为使用者提供证书验证服务,即PKI体系(Public Key Infrastructure,简称PKI)。

PKI采用证书进行公钥管理,通过第三方的可信任机构(认证中心,即CA),把用户的公钥和用户的其他标识信息捆绑在一起,其中包括用户名和电子邮件地址等信息,以在Internet网上验证用户的身份。PKI把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的安全传输。

基本的原理为,CA负责审核信息,然后对关键信息利用私钥进行»签名»,公开对应的公钥,客户端可以利用公钥验证签名。CA也可以吊销已经签发的证书,基本的方式包括两类CRL文件和OCSP。CA使用具体的流程如下:

c-2

  1. 服务方S向第三方机构CA提交公钥、组织信息、个人信息(域名)等信息并申请认证;
  2. CA通过线上、线下等多种手段验证申请者提供信息的真实性,如组织是否存在、企业是否合法,是否拥有域名的所有权等;
  3. 如信息审核通过,CA会向申请者签发认证文件-证书。

    证书包含以下信息:申请者公钥、申请者的组织信息和个人信息、签发机构 CA的信息、有效时间、证书序列号等信息的明文,同时包含一个签名; 签名的产生算法:首先,使用散列函数计算公开的明文信息的信息摘要,然后,采用 CA的私钥对信息摘要进行加密,密文即签名;

  4. 客户端C向服务器S发出请求时,S返回证书文件;

  5. 客户端C读取证书中的相关的明文信息,采用相同的散列函数计算得到信息摘要,然后,利用对应CA的公钥解密签名数据,对比证书的信息摘要,如果一致,则可以确认证书的合法性,即公钥合法;

  6. 客户端然后验证证书相关的域名信息、有效时间等信息;

  7. 客户端会内置信任CA的证书信息(包含公钥),如果CA不被信任,则找不到对应CA的证书,证书也会被判定非法。

在这个过程注意几点:

  1. 申请证书不需要提供私钥,确保私钥永远只能服务器掌握;
  2. 证书的合法性仍然依赖于非对称加密算法,证书主要是增加了服务器信息以及签名;
  3. 内置CA对应的证书称为根证书
  4. 证书=公钥+申请者与颁发者信息+签名;

三、证书链

如CA根证书和服务器证书中间增加一级证书机构,即中间证书,证书的产生和验证原理不变,只是增加一层验证,只要最后能够被任何信任的CA根证书验证合法即可。 1. 服务器证书 server.pem 的签发者为中间证书机构inter,inter根据证书inter.pem验证server.pem确实为自己签发的有效证书; 1. 中间证书inter.pem的签发CA为root,root根据证书root.pem验证inter.pem为自己签发的合法证书; 1. 客户端内置信任CA的root.pem证书,因此服务器证书server.pem的被信任。

c-3

服务器证书、中间证书与根证书在一起组合成一条合法的证书链,证书链的验证是自下而上的信任传递的过程。

中间证书的签发机构可能是根证书机构也可能是另一个中间证书机构,所以证书链层级不一定相同。

证书链有以下特点:

  1. 同一本服务器证书可能存在多条合法的证书链。

    因为证书的生成和验证基础是公钥和私钥对,如果采用相同的公钥和私钥生成不同的中间证书,针对被签发者而言,该签发机构都是合法的 CA,不同的是中间证书的签发机构不同;

  2. 不同证书链的层级不一定相同,可能二级、三级或四级证书链。

  3. 也就是说,同一个域名或服务器,可以有多个CA机构颁发的证书,只要证书没有到期或者被吊销,都是有效的证书。

证书吊销

CA 机构能够签发证书,同样也存在机制宣布以往签发的证书无效。证书使用者不合法,CA 需要废弃该证书;或者私钥丢失,使用者申请让证书无效。主要存在两类机制:CRL 与 OCSP。

CRL

证书吊销列表 (Certificate Revocation List ,简称: CRL) 是 PKI 系统中的一个结构化数据文件,该文件包含了证书颁发机构 (CA) 已经吊销的证书的序列号及其吊销日期。 CRL文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间,以及采用的签名算法等。证书吊销列表最短的有效期为一个小时,一般为 1 天,甚至一个月不等,由各个证书颁发机构在设置其证书颁发系统时设置。

该文件包含了CA已经吊销的证书序列号(唯一)与吊销日期,同时该文件包含生效日期并通知下次更新该文件的时间,当然该文件必然包含CA私钥的签名以验证文件的合法性。

证书中一般会包含一个URL地址 CRL Distribution Point,通知使用者去哪里下载对应的 CRL 以校验证书是否吊销。该吊销方式的优点是不需要频繁更新,但是不能及时吊销证书,因为CRL更新时间一般是几天,这期间可能已经造成了极大损失。

OCSP

Online Certificate Status Protocol, 证书状态在线查询协议,一个实时查询证书是否吊销的方式。请求者发送证书的信息并请求查询,服务器返回正常、吊销或未知中的任何一个状态。证书中一般也会包含一个OCSP的URL地址,要求查询服务器具有良好的性能。部分CA或大部分的自签CA(根证书)都是未提供 CRL 或 OCSP 地址的,对于吊销证书会是一件非常麻烦的事情。

参考

评论