用故事說透 HTTPS
故事中的主演:
小華今年上大一,這是她第一次離開父母,獨自一人到北京上學。今天媽媽的生日,想了想要給媽媽一個祝福,便給媽媽發了條消息:
媽媽收到這條消息非常開心,女兒這么忙還能記得自己的生日,兩個人便開始聊了起來。媽媽知道女兒一直省吃儉用,決定給女兒打點錢過去。
小黑是個黑客,專搞一些“偷雞摸狗”的事情,他已經監聽了這對母女的對話。一直看著她們嘮家常,都快睡著了。
直到看到母女提到錢的事情,立馬打起精神,決定搞一筆。然后他截獲了小華的消息,替換成自己精心準備的內容給小華的媽媽發過去了。
小華的媽媽隨后就把錢打給了小華,未曾想到母女二人的聊天內容盡在小黑的掌控之中。小黑拿到錢后就逃之夭夭了。
「注:HTTP 協議是建立在 TCP 之上的,TCP 是否安全決定了 HTTP 是否安全。HTTP的報文內容并未加密,容易被監聽和篡改。小黑就監聽了母女二人的聊天內容,并對內容進行了篡改,偽裝成女兒進行聊天。所以 HTTP 有以下 3 個問題:
- 內容未加密,容易被監聽,都是明文傳輸;
- 無法驗證內容的完整性,容易被篡改,也就是說不知道消息是不是被修改過;
- 無法驗證對方的身份,我現在聊天的人是誰,可靠嗎?」
小華被騙后,心里很難過,把這件事告訴了她的計算機老師王大強。王老師聽到被騙的經歷,感到非常驚訝,消息為什么會被篡改呢!立馬查看了她們使用的聊天軟件,原來這個軟件直接使用的是 TCP 協議,沒有做安全措施。
研究完軟件后,大強對小華說:“這款軟件有問題,以后別用了,要用具有安全措施的軟件,比如使用 TSL/SSL 協議的軟件”。
小華說:“什么是 TSL/SSL 呢?”。大強看到小華誠懇的表情,決定把 HTTPS 的原理告訴她,但是想到她可能理解不了,然后決定剖析一下她和媽媽被騙的場景。
既然小華和她媽媽的聊天內容是明文傳輸的,那直接把內容加密不就完事了嗎。小華和她媽媽就約定了一個密碼,所有的內容都通過這個密碼進行加密和解密。
「注:這種加密方式稱為對稱加密,加密解密都是通過同一個密碼來操作,所以需要保證密碼的安全,一旦泄露,后果很嚴重」
小華立馬覺察到事情的不妙,密碼如何才能傳給她媽媽呢。只能雙方見面后來約定一個密碼。但是她想到遠在美國的爸爸,如果向他要錢的話,需要飛往美國把密碼告訴他。這太麻煩了。
王大強老師說:“別急,還有更好的方法”。那就使用兩個密鑰,一個用來加密(稱為私鑰),另一個用來解密(稱為公鑰),使用私鑰加密過的內容,只能通過公鑰進行解密。私鑰只有自己有,公鑰可以丟給別人。
小華和媽媽,只把公鑰交給對方就行。小華給媽媽發消息的時候,用媽媽的公鑰進行加密,私鑰只有媽媽有,也就是說只有媽媽能解密。
「注:這種加密方式稱為非對稱加密,會有二個鑰匙,一個鑰匙加密過的內容只能通過另一個鑰匙進行解密。至于為啥要說公鑰加密私鑰解密,雖然兩個鑰匙都可以進行加密解密,但是公鑰加密私鑰解密這種說法不是更好理解嗎?公鑰被人都知道,私鑰只有自己知道」。
小華想了想覺得還是有點不安全,假如她和媽媽進行交換公鑰的時候,被小黑監聽了。
小華把自己的公鑰 xiaohua_pub 發給媽媽,中途被小黑掉包了,小黑把自己的公鑰 xiaohei_pub 發給了小華的媽媽。這樣小華媽媽發消息的時候就使用了小黑的公鑰進行了加密,小黑獲取到消息表可以用自己的私鑰進行解密。
媽媽發送自己的公鑰給小華的時候也被小黑掉包了,這時小黑就有了雙方的公鑰。
小黑監聽到小華要求媽媽打錢的消息,對消息進行了篡改。
王大強老師聽完小華的疑慮,豎起了大拇指,說道:“別急,聽我慢慢解釋”。
現在的問題是出在交換公鑰的時候被小黑調包了,那接下來就需要解決這個問題。如何才能把公鑰安全地送到對方手上。
這似乎是永遠解不了的問題,畢竟公鑰始終是要經過傳輸的。這似乎是一個雞生蛋蛋生雞的問題。后來小華想了想他平時網上購物的時候,以前總是擔心怕付款了,商家跑路不給發貨,自從有了淘寶這個第三方機構,畢竟阿里家大業大,值得信賴,即使商家跑路了可以找淘寶。
后來就出現了關于公鑰的認證機構,這些認證機構很少,但非常權威,它會和電腦、瀏覽器等廠商達成信任關系,提前把認證機構的公鑰安裝到系統中,這樣就不會涉及到傳輸的問題了。
在聊天的過程中,小華發現消息發送和接收的時候很慢,后來發現因為是加密算法耗費比較長的時間。小華想了想,使用對稱加密的時候,唯一的缺點是交換秘鑰比較麻煩,但是速度非常快。那么可以通過非對稱加密來傳輸對稱加密的密鑰,密鑰傳輸成功后,使用對稱加密來加密消息。
到此,你理解如何保證通信安全了嗎?
「注:HTTP 屬于應用層協議,HTTPS 并不是一個新的協議,它只是比 HTTP 協議多了一層(TSL/SSL)來保證數據傳輸安全。TSL/SSL也屬于協議,它的主要作用是保證數據傳輸安全。大多數使用的是 OpenSSL 來實現,比如 Node 中的 TSL 就是基于 OpenSSL 實現的」。
總結
本文以故事的形式介紹了 HTTP 的不安全,保證 HTTPS 安全性的背后支持,包含數字證書、數字簽名、對稱加密、非對稱加密的概念,當然光有理論還不行,需要實踐才能更好地理解。大家加油。
