我试图深入了解 TLS 握手期间的步骤。
我已经阅读了这个答案(顺便说一句非常完整),但我仍然有一个关于在TLS 握手MasterSecret框架中使用 , 的问题。ECDHE-RSA-AES-GCM-SHA
在握手结束时,我们使用SHAPRF 来生成 Mastersecret(来自 pre-MS 和随机数)。我们将其扩展为创建key和MAC key. 密钥用于加密消息,MAC 密钥用于计算哈希(如果 GCM 模式,则在加密消息上)。行。
关于 MasterSecret 的扩展,我有 2 个问题:
在第 8:3 节中,他们说我们创建了 2 个 MAC 密钥和 2 个密钥。如果客户端和服务器使用相同的密钥和 MAC 密钥,这还不够安全吗?(假设这些密钥是从不少于 MasterSecret 生成的)。我觉得它似乎有点过度保护..
不,这是出于严重的原因。这使得它实际上更难攻击。有一类攻击,你只是将一方所说的话反映给自己。这称为反射攻击。通过使用方向固定键,您可以使此类攻击成为不可能。
拥有 MasterSecret 后,如何扩展它以创建 MAC 密钥和密钥?我怀疑我们只是将前 N 个字节用于密钥,其余的用于 MAC 密钥
很抱歉让你失望了,但事实就是这样。这里没有太多的魔法。
您有一个长八位字节字符串的密钥块。然后您只需将其切成 6 个较小的部分。
client_write_MAC_key[SecurityParameters.mac_key_length]
server_write_MAC_key[SecurityParameters.mac_key_length]
client_write_key[SecurityParameters.enc_key_length]
server_write_key[SecurityParameters.enc_key_length]
client_write_IV[SecurityParameters.fixed_iv_length]
server_write_IV[SecurityParameters.fixed_iv_length]
所以这是六个部分。并且按照这个确切的顺序。奇数条目 (1, 3, 5) 用于client_write方向。甚至条目 (2, 4, 6) 都用于server_write方向。
这是 OpenSSL 中的切碎位:
p 是关键块。这被分成:
ms, MAC 秘密key, 批量加密密钥iv, 初始化向量if ((which == SSL3_CHANGE_CIPHER_CLIENT_WRITE) ||
(which == SSL3_CHANGE_CIPHER_SERVER_READ)) {
ms = &(p[0]);
n = i + i;
key = &(p[n]);
n += j + j;
iv = &(p[n]);
n += k + k;
exp_label = (unsigned char *)TLS_MD_CLIENT_WRITE_KEY_CONST;
exp_label_len = TLS_MD_CLIENT_WRITE_KEY_CONST_SIZE;
client_write = 1;
} else {
n = i;
ms = &(p[n]);
n += i + j;
key = &(p[n]);
n += j + k;
iv = &(p[n]);
n += k;
exp_label = (unsigned char *)TLS_MD_SERVER_WRITE_KEY_CONST;
exp_label_len = TLS_MD_SERVER_WRITE_KEY_CONST_SIZE;
client_write = 0;
}
我不会说C太好。所以我真的不明白。
p.