近年来,随着网上支付和网上交易的频率越来越高,SSL证书受到网上银行、基金交易平台、电商购物等众多业务场景的青睐。随着各大搜索引擎宣布宁愿收录https站点,许多中小型网站也开始安装和使用SSL证书。SSL证书最大的好处就是保护数据传输的安全。当客户端向服务器发送请求时,它们之间会开始一系列操作,使用非对称加密传递会话密钥并建立连接。密钥对于数据安全至关重要,我们不禁要问,如果服务器的私钥被第三方盗取,是否意味着历史数据、正在传输的数据、即将传输的数据在未来会全部破解吗??首先,我们需要明白一个问题:通信双方的SSL是如何写出加密/解密密钥的?有两种方法:RSAKeyExchange首先,客户端单向验证服务器的真实身份,并信任服务器RSA证书的公开性。钥匙。客户端使用伪随机函数随机生成一个字符串(Pre-MasterKey),用于对通信双方的传输内容进行加解密,因此属于对称加密的一种。然后客户端使用服务器的公钥加密Pre-MasterKey发送给服务器。服务器再用公钥对应的私钥解密,得到客户端发送的Pre-MasterKey。最后,双方使用Hash算法计算出相同的MasterKey,推导出加/解密密钥,以及HMAC算法密钥,用于数据校验。完成以上步骤后,通信双方就知道了密钥,就用这个密钥进行通信。显然,服务器的私钥很关键,一旦泄露,就会发生中间人攻击,可以随意窃听。DHEKeyExchangeDHE是Diffie-HellmanEphemeral的缩写,一种一次性DH密钥交换算法。首先,客户端基于SSL证书验证服务器的真实身份,双方交换各自的公钥。请注意,公钥是动态计算的,不会保存。双方也会交换自己的随机码。得到对方的公钥后,用自己的私钥计算出Pre-MasterKey。然后使用随机码计算出MasterKey。接下来的过程与第一种方法相同。不难看出,服务器私钥的作用只是保证公钥在传输过程中不被中间人篡改。因此,即使服务器私钥被盗,第三方也无法获得Pre-MasterKey和加解密密钥,自然也就无法对加密后的数据进行解密。那么如果第三方想要解密数据怎么办?它只需要有任何一方的私钥。但是,由于这个私钥是临时的、一次性的,通信双方获得Pre-MasterKey后,会被删除,不会在网络上传播,所以第三方根本无法获得私钥。
