对称加密:
发送方和接受方用同样的规则来为数据进行加密,也可以说用同样的密钥来解开密文。
问题是:如何有第三方知道加密和解密规则后就很容易破解。
非对称加密:
- 用两个密钥来进行加密和解密,公开密钥是所有人都知道的密钥,私有密钥是持有方才有的密钥。一般来说私钥放在服务器里,数据经过公钥加密就只能被私钥解密,数据经过私钥加密就只能被公钥解密。
- 服务端拥有成对的私钥和公钥,然后公布自己的公钥让客户端知道,客户端用公钥将自己的数据加密,但是加密后使用公钥无法解密这段数据,必须使用服务端的私钥才行。这样的非对称加密也叫公钥加密。
证书:
- 现在虽然可以对数据加密但是我们现在不知道沟通的对象是否是自己想要沟通的对象,比如有不法分子伪装相识域名(你输错域名的时候)。
- 服务端需要申请
SSL证书来解决这个问题,需要使用SSL证书来证明这个是真网站。SSL证书就是保存在源服务器的数据文件。- 要使
SSL证书生效就需要向CA(证书授权中心)申请,证书中包扩了特定的公钥和私钥。
TLS(1.2)握手过程:
- 三次握手是不变的。三次握手以后,客户端发送了一个
Client Hello给服务端,客户端就会告诉服务端支持TLS 1.2版本和支持的加密套件。- 这里
16个加密套件可以理解为不同的加密算法组合,然后生成一个随机数发给服务端。- 接下来就是服务端发送
Server Hello给客户端,在响应报文中会告诉客户端服务端确认支持的TLS版本以及选择的加密套件,服务端也生成一个随机数发送给客户端。- 接下来服务器会再发一个响应来出示服务器自己的证书,这样浏览器就可以对照自己的证书列表来确认这个服务器是否可信。
- 服务器将公钥发送给客户端,如果服务器想要客户端的证书也会在这里发出请求。
- 服务器告诉客户端发送完成。
- 客户端会生成第三个随机数(预主密钥),这个随机数会用刚刚收到的公钥进行加密,并且将加密后的随机数发送给服务器。
- 客户端告诉服务器往后的数据就用商议好的算法和密钥来加密。
- 表示客户端这边的
TLS协商已经没有问题了,加密开始。- 表示服务器端这边的
TLS协商已经没有问题了,TLS握手已经成功。
总结:
- 服务器收到加密后的预主密钥以后会用自己的私钥进行解密,这样服务器就知道预主密钥了。只有客户端和服务端知道预主密钥。
- 客户端和服务端都使用第一随机数加第二随机数加预主密钥生成会话密钥(相同的),使用非对称加密。
- 会话加密后就使用对称加密了,也就是双方都使用同一个私钥。使用对称加密是因为非对称加密消耗资源比较大。会话密钥只会应用在当前会话。
- 会话加密后就使用对称加密了,也就是双方都使用同一个私钥。使用对称加密是因为非对称加密消耗资源比较大。会话密钥只会应用在当前会话。
