很多人都提到了非对称加密速度慢,但这只是一个原因,但不是主要原因,甚至是微不足道的原因。
SSL协议到3.0后就已经到头了,取而代之的是TLS,相较于SSL的“安全套接字层”的命名,TLS的“传输层安全”这种定义更加严谨。毕竟传输安全的范畴要远大于套接字安全这种定义,这种定义偏技术层面,但安全不仅要解决技术层面的问题,也要解决人的问题以及由此带来的信任问题。因为加密只是安全的一部分,解决传输两端的信任,以及让整个算法摆脱人的因素,才是安全的核心。
诈骗电话之所以能让很多人上当,实际上是一种信任欺诈,即使你和骗子间的通信采用了量子加密,安全到连FBI、CIA、克格勃、摩萨德、朝阳大妈都无法破解的地步,这也只能确保你被骗的更加安全、更加保密而已。
腾讯即使能把你和潜在“炮友”的聊天加密到连你老婆都无法破解的地步,但还是无法确保你的聊天对象到底是男的还是女的,是个美女还是丑B,即使是无所不能的“剽窃惯犯”小马哥也做不到,做不到就是做不到,大马哥也做不到。
以下两个问题:
1、如何确保私钥的安全,如果一个公司的后台人员离职并把私钥带走,该怎么办?
私钥无论是配置到Tomcat还是Ngnix都需要后台人员的参与,甚至整个后台开发人员都知道私钥文件在哪,把私钥文件带走是so easy的事,即便这个私钥采用了p12格式进行了加密,但这个密码还是由后台开发人员掌握。当然,如果这个公司的所有事情都是老板亲自亲为,那就是另外一回事。
显然任何公司都不可能因为一个后台人员的离职,并由此产生潜在的私钥泄密风险而去重新申请SSL证书。一是解决不了根本问题; 二是费用的问题,三是总不能频繁发布公钥让吃瓜群众不停的更新。
回到题主的问题,如果客户端(客户端只有公钥)用公钥加密,私钥解密的话,显然受人为的因素,风险太大了。即便这个公司的老板很开明(也可是很糊涂),相信所有人都是可靠的,采用了公钥加密私钥解密,但也只是解决了单向传输的问题。
如果服务器向客户端发送数据,则需要私钥加密,公钥解密。那么真能用私钥加密么?
2、无论是openssl还是微软的CryptoAPI,都没有提供私钥的加密功能,而只是将私钥的加密功能限定在签名上,为什么不提供私钥加密API呢?
显然不是因为openssl做不到,也不是因为微软做不到。让私钥不提供加密接口是出于安全的目的,也就是要保护私钥。如果私钥频繁用于数据加密,公钥在解密的过程中很有可能会破解私钥,从而导致私钥泄漏。如果把私钥加密只是应用到签名上,也就是身份认证,则会大大降低由于私钥加密频繁导致的泄密风险,毕竟签名一次就够了。
当然openssl是开源的,你可以改造一下提供私钥加密的接口。
在SSL(TLS)中,RSA只是用于身份认证,即解决信任问题,确保你访问的网站是淘宝,而不是高仿的“陶宝”,让你在淘宝上买的是康师傅,而不是康帅傅而已。
最后总结一下,稍微说下openssl。
实际上openssl是对传输安全策略的设计,是一种思想,这种思想就是让安全策略尽可能的摆脱对人的信任依赖,在openssl中加密只是安全策略的一部分。基于这种思想来保障安全的数据传输,显然单靠RSA无法解决这个问题,openssl中采用的是组合方式,也就是加密套件,比如如下套件:TLS_RSA_WITH_AES_128_CBC_SHA。
TLS:表示协议;
RSA:表示数据加密秘钥的加密算法(比较拗口)和身份认证的算法;
AES_128_CBC:表示对称加密算法,这个是数据加密的真正算法;
SHA:表示mac校验的算法,也用于PRF产生的算法;
因此,数据加密的秘钥保护是核心,数据秘钥的产生要随机,要能即兴发挥的临时产生。
比如通过随机数产生PreMasterKey,算法可以复杂点,通信双方各自贡献PreMasterKey的参数,最后客户端对PreMasterKey进行RSA加密后传输给服务器,服务器解密后,根据规则产生真正的加密Master Key,这个MasterKey就是对称加密的秘钥。
即便如此,由于RSA参与了数据秘钥的加密过程,因此也会导致因私钥泄漏产生的不安全(正如上面所说,私钥文件要依赖人的安全),也就是说最好连非对称加密的秘钥对也能临时产生并用户动态交换,ECDHE就产生了。比如套件:TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
这里的RSA仅仅是作为身份认证(即证明网站是可信的,确实是淘宝网站),RSA将不再对PreMaterKey进行加密,该值的产生有ECDHE算法负责,这样进一步减少了对人的依赖。因为一旦网站的数据被抓包留存,理论上就存在PreMasterKey被解密的可能,从而导致MasterKey的泄漏,以至于整个通信数据都不安全。
说的太多了,超出问题的范畴,就此打住。。。。。