面試官:為什么說HTTPS比HTTP安全? HTTPS是如何保證安全的?
本文轉載自微信公眾號「JS每日一題」,作者灰灰 。轉載本文請聯系JS每日一題公眾號。
一、安全特性
在什么是HTTP這篇文章中,我們了解到HTTP在通信過程中,存在以下問題:
通信使用明文(不加密),內容可能被竊聽
不驗證通信方的身份,因此有可能遭遇偽裝
而HTTPS的出現正是解決這些問題,HTTPS是建立在SSL之上,其安全性由SSL來保證
在采用SSL后,HTTP就擁有了HTTPS的加密、證書和完整性保護這些功能
SSL(Secure Sockets Layer 安全套接字協議),及其繼任者傳輸層安全(Transport Layer Security,TLS)是為網絡通信提供安全及數據完整性的一種安全協議
二、如何做
SSL的實現這些功能主要依賴于三種手段:
- 對稱加密:采用協商的密鑰對數據加密
- 非對稱加密:實現身份認證和密鑰協商
- 摘要算法:驗證信息的完整性
- 數字簽名:身份驗證
對稱加密
對稱加密指的是加密和解密使用的秘鑰都是同一個,是對稱的。只要保證了密鑰的安全,那整個通信過程就可以說具有了機密性
非對稱加密
非對稱加密,存在兩個秘鑰,一個叫公鑰,一個叫私鑰。兩個秘鑰是不同的,公鑰可以公開給任何人使用,私鑰則需要保密
公鑰和私鑰都可以用來加密解密,但公鑰加密后只能用私鑰解 密,反過來,私鑰加密后也只能用公鑰解密
混合加密
在HTTPS通信過程中,采用的是對稱加密+非對稱加密,也就是混合加密
在對稱加密中講到,如果能夠保證了密鑰的安全,那整個通信過程就可以說具有了機密性
而HTTPS采用非對稱加密解決秘鑰交換的問題
具體做法是發送密文的一方使用對方的公鑰進行加密處理“對稱的密鑰”,然后對方用自己的私鑰解密拿到“對稱的密鑰”
這樣可以確保交換的密鑰是安全的前提下,使用對稱加密方式進行通信
舉個例子:
網站秘密保管私鑰,在網上任意分發公鑰,你想要登錄網站只要用公鑰加密就行了,密文只能由私鑰持有者才能解密。而黑客因為沒有私鑰,所以就無法破解密文
上述的方法解決了數據加密,在網絡傳輸過程中,數據有可能被篡改,并且黑客可以偽造身份發布公鑰,如果你獲取到假的公鑰,那么混合加密也并無多大用處,你的數據扔被黑客解決
因此,在上述加密的基礎上仍需加上完整性、身份驗證的特性,來實現真正的安全,實現這一功能則是摘要算法
摘要算法
實現完整性的手段主要是摘要算法,也就是常說的散列函數、哈希函數
可以理解成一種特殊的壓縮算法,它能夠把任意長度的數據“壓縮”成固定長度、而且獨一無二的“摘要”字符串,就好像是給這段數據生成了一個數字“指紋”
摘要算法保證了“數字摘要”和原文是完全等價的。所以,我們只要在原文后附上它的摘要,就能夠保證數據的完整性
比如,你發了條消息:“轉賬 1000 元”,然后再加上一個 SHA-2 的摘要。網站收到后也計算一下消息的摘要,把這兩份“指紋”做個對比,如果一致,就說明消息是完整可信的,沒有被修改
數字簽名
數字簽名能確定消息確實是由發送方簽名并發出來的,因為別人假冒不了發送方的簽名
原理其實很簡單,就是用私鑰加密,公鑰解密
簽名和公鑰一樣完全公開,任何人都可以獲取。但這個簽名只有用私鑰對應的公鑰才能解開,拿到摘要后,再比對原文驗證完整性,就可以像簽署文件一樣證明消息確實是你發的
和消息本身一樣,因為誰都可以發布公鑰,我們還缺少防止黑客偽造公鑰的手段,也就是說,怎么判斷這個公鑰就是你的公鑰
這時候就需要一個第三方,就是證書驗證機構
CA驗證機構
數字證書認證機構處于客戶端與服務器雙方都可信賴的第三方機構的立場
CA 對公鑰的簽名認證要求包括序列號、用途、頒發者、有效時間等等,把這些打成一個包再簽名,完整地證明公鑰關聯的各種信息,形成“數字證書”
流程如下圖:
- 服務器的運營人員向數字證書認證機構提出公開密鑰的申請
- 數字證書認證機構在判明提出申請者的身份之后,會對已申請的公開密鑰做數字簽名
- 然后分配這個已簽名的公開密鑰,并將該公開密鑰放入公鑰證書后綁定在一起
- 服務器會將這份由數字證書認證機構頒發的數字證書發送給客戶端,以進行非對稱加密方式通信
接到證書的客戶端可使用數字證書認證機構的公開密鑰,對那張證書上的數字簽名進行驗證,一旦驗證通過,則證明:
- 認證服務器的公開密鑰的是真實有效的數字證書認證機構
- 服務器的公開密鑰是值得信賴的
三、總結
可以看到,HTTPS與HTTP雖然只差一個SSL,但是通信安全得到了大大的保障,通信的四大特性都以解決,解決方式如下:
- 機密性:混合算法
- 完整性:摘要算法
- 身份認證:數字簽名
- 不可否定:數字簽名
同時引入第三方證書機構,確保公開秘鑰的安全性
參考文獻
https://zhuanlan.zhihu.com/p/100657391
https://juejin.cn/post/6844903830987997197#heading-7
https://cloud.tencent.com/developer/article/1748862
