1. TLS 协议概述
车内各 ECU 间基于 CAN 的安全通讯--SecOC,想必现目前多数通信工程师们都已经搞的差不多了(不要再问 FvM 了);但在车云通信时则常用 TLS 来保证数据的信息,所以,来看看 TLS 吧。
TLS(Transport Layer Security)前身叫做 SSL(Secure Sockets Layer),位于 TCP 之上,但仍旧属于传输层,作用很明确,就是为了保证车云通信时数据的 CIA,因为该协议里所有通信数据均会加密,握手期间具备校验机制,更为重要的是配备了身份证书,可以有效证明其身份。
目前,TLS 协议版本已经来到了 1.3,具体可以搜版本号 RFC 8446,在标准中详细描述了握手协议,如下图:
RFC 5246 : TLS v1.2;RFC 4346 : TLS v1.1 ;RFC 2246 TLS v1.0
那么就从最基础的通信双方如何建立连接开始,入门 TLS。
2. 为什么要握手
握手这个词很形象,就像相亲双方之前互不认识,但因为家里要求见面,那首先肯定是先握手,握手成功,双方来电,接下来对话才有戏;握手失败,闲聊两句,就各回各家。
握手期间的对话就很讲究了,对话如能找到共同话题,那相亲双方就可以围绕这个话题继续进行加密通信,这也就是 TLS 要先握手的本质:协商出一个密钥(共同话题),让双方基于这个密钥进行加密通信。
这个协议中定义握手消息名字也很有意思,“Hello”,包括了 Client Hello 和 Server Hello 等。
我们以 TLS1.2 流程为例(因为抓包只抓到 TLSV1.2),总结流程如下:
我用 Wireshark 抓了一个和 https 网页沟通的包,过程和上图很像有么有?
以这个为例来具体分析分析:
2.1 Hello
第一条消息,Client(我)向 Server(知乎某专栏)发送 Hello 请求,得到数据包如下:
该消息体现了当前 TLS 版本协议、会话 ID、随机数 1(很重要记住它)、能够使用的密码套件、压缩算法还有很多扩展内容,特别是有个 server_name,就像相亲两人见面第一句一定是,你就是 xxx 吧?
Client 打了招呼,那 Server 应该要进行回复,不然就没得聊了,它话很多,打一声招呼 Server Hello,紧接着陆陆续续发送了自己的证书、密钥交换参数,最终以 Hello Done 结尾,
Server Hello
格式如下:
Server 首先会进行响应,并且从 Client 能够使用的密码套件中选择一种,在这里,它选择了 0xc02f,满足第一条消息中提供的密码套件,这条消息确认了 TLS 版本 1.2,选择了套件,并且承诺不会压缩后续对话,注意,这里 Server 还传递了一个随机数 2。
密码套件名字很长:TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,但其实得拆开来看:
ECDHE 指的是密钥交换算法 Elliptic Curve Diffie-Hellman Ephemeral,签名就使用 RSA 算法;
AES_128_GCM 是指后续加密通信使用 AES128-GCM,既定义了密钥长度,也定义了密码工作模式;SHA256 就很简单了,做 Hash 都用它。
Server Certificate
还是以相亲为例,两人见面后的第二句话一定是:我是某某阿姨(中间人)介绍的 xxx。
这句话很关键,因为相亲双方都是基于中间人的介绍,ta 的介绍就像是一个证书,是相亲双方能够继续往下聊的一个前提。
但这个中间人只是双方认可的,如果需要再进一步确认信息,身份证就是最好的证明,这是最权威的机构颁发的证书。
因此,Server Certificate 提供证书的目的也很明确,就是证明自己的合法身份,这条消息格式如下:
证书主要包含了如下信息:
证书里包含了一个非常关键的内容:Server 的公钥,其他关于证书的问题我们后面单独再谈。
有兴趣的可以搜一搜中国电子银行网的《六问六答》。
Server Key Exchange
前面我们已经知道了,双方要写上一个密钥,使用算法为 ECDHE,这个算法要求双方首先交换公钥,因此需要这条消息 Key Exchange,格式如下:
这里面包括了握手类型、算法所选曲线采用 x25519、用于协商密钥的公钥,以及用上述证书中公钥对应的私钥进行的签名,算法为 RSA-PSS-SHA256(这些算法填充格式之前已经聊过了)。
Server Hello Done
Hello Done 的信息量很少,如下:
就是 Server 告诉 Client,自我介绍完毕,看你怎么回应。
事实上,通过 Wireshark 抓包,我们可以看到,Server 回应的消息实际是在一个包内,如下图所示:
2.2 协商
在第一步里,Client 收到了 Server 发来的证书、密钥交换的参数等等,就需要对一步一步来验证 Server 的身份和数据完整性,并向 Server 发送密钥协商的参数,同样一包中可以封装了不同的消息,如下图:
Client Key Exchange
首先 Client 使用 CA 的公钥对证书进行验签(过程暂不讲),通过后取出 Server 的公钥备用。
这时候 Client 就拥有了四个参数:自己的协商公钥、Server 的协商公钥、随机数 1、随机数 2。
那么神奇的就来了,预协商密钥 = c_priv * s_pub = c_priv * (s_priv * G);
G 是椭圆曲线的基点 G,是公开的,唯有私钥是各自保护,所以 Client 也要把协商公钥发给 Server,
Server 拿到后,计算预协商密钥 = s_priv * c_pub = s_priv * (c_priv * G)。
这不就妥了吗?两边预协商密钥都一样了,这个密钥一般叫预主密钥。
还记得之前两个随机数吗,Client 和 Server 会使用相同算法对这三个参数进行操作,得到最终会话密钥 = Algo(随机数 1 + 随机数 2 + 预主密钥)
Change Cipher Spec
这个消息就是告诉 Server,咱们密钥都已经协商好了,那就用它开始进行对话吧,截图如下:
Encrypted Handshake Message
这个时候就使用了协商好的对称密钥对握手消息进行加密传输,如下:
之后就是加密后的应用数据了。
2.3 同意
当 Client 发送经过对称加密的消息后,Server 当然也需要进行确认,因此会回复三个消息:
New Session Ticket
该消息主要是为了快速恢复会话,防止重复握手
Change Cipher Spec
表示 Server 接收到了使用协商好的共享密钥,并且确认后续都使用该密钥进行加密通话。
Encrypted Handshake Message
3.总共握了几次手?
最后总结一下, TLS 建立连接时总共进行了几次握手?
第一次:Client 向 Server 发送 Client Hello,包括协议的版本信息、密码套件、随机数(Client Random)等;
第二次:Server 向 Client 发送 Server Hello,包括所选密码套件、协议版本、数字证书、随机数(Server Random);
第三次:Client 向 Server 发送协商密钥的参数、更新加密协议、发送密文等;
第四次:Server 向 Client 发送新建会话 Tickets、发送密文以验证对称加解密通道;
这就是 TLS 的四次握手成功。
END
作者:快乐的肌肉
文章来源:汽车MCU软件设计
推荐阅读
更多物联网安全,PSA 等技术干货请关注平台安全架构(PSA)专栏。欢迎添加极术小姐姐微信(id:aijishu20)加入PSA 技术交流群,请备注研究方向。