← Назад ко всем вопросам

Как работает TLS handshake

1️⃣ Как кратко ответить

TLS handshake — это процесс установления защищенного соединения между клиентом и сервером. Он включает в себя аутентификацию сторон, обмен ключами шифрования и согласование параметров шифрования. В результате создается безопасный канал для передачи данных.

2️⃣ Подробное объяснение темы

TLS (Transport Layer Security) handshake — это начальный этап установления защищенного соединения между клиентом и сервером. Он обеспечивает конфиденциальность и целостность данных, передаваемых по сети. Процесс handshake состоит из нескольких шагов, которые позволяют сторонам договориться о параметрах шифрования и обменяться ключами.

Шаги TLS Handshake

  1. ClientHello:

    • Клиент отправляет сообщение ClientHello серверу.
    • В этом сообщении содержится версия протокола TLS, поддерживаемые клиентом шифры (cipher suites), случайное число (random number) и другие параметры, необходимые для установления соединения.

  2. ServerHello:

    • Сервер отвечает сообщением ServerHello.
    • Сервер выбирает версию протокола и шифр из предложенных клиентом, отправляет свое случайное число и другие параметры.

  3. Сертификат сервера:

    • Сервер отправляет свой цифровой сертификат клиенту.
    • Сертификат содержит открытый ключ сервера и информацию, подтверждающую его подлинность, подписанную доверенным центром сертификации (CA).

  4. ServerKeyExchange (опционально):

    • Если выбранный шифр требует дополнительных параметров (например, при использовании шифрования на основе Диффи-Хеллмана), сервер отправляет сообщение ServerKeyExchange.

  5. CertificateRequest (опционально):

    • Сервер может запросить у клиента его сертификат для аутентификации.

  6. ServerHelloDone:

    • Сервер завершает свою часть handshake, отправляя ServerHelloDone.

  7. ClientKeyExchange:

    • Клиент отправляет сообщение ClientKeyExchange, содержащее информацию, необходимую для генерации общего секретного ключа. Например, это может быть зашифрованный открытым ключом сервера предварительный секрет (pre-master secret).

  8. CertificateVerify (если требуется):

    • Если сервер запросил сертификат клиента, клиент отправляет CertificateVerify, чтобы подтвердить владение закрытым ключом.

  9. ChangeCipherSpec:

    • Клиент отправляет сообщение ChangeCipherSpec, указывая, что последующие сообщения будут зашифрованы с использованием согласованных параметров.

  10. Finished:

    • Клиент отправляет сообщение Finished, содержащее хэш всех предыдущих сообщений, зашифрованный с использованием нового ключа. Это подтверждает успешное завершение handshake.

  11. Сервер также отправляет ChangeCipherSpec и Finished:

    • Сервер отправляет свои версии этих сообщений, чтобы подтвердить, что он также готов использовать шифрование.

Пример кода

// Пример создания SSL-сокета в Java
​
import javax.net.ssl.SSLSocket;
import javax.net.ssl.SSLSocketFactory;
​
public class TLSSocketExample {
    public static void main(String[] args) {
        try {
            // Получаем фабрику SSL-сокетов
            SSLSocketFactory factory = (SSLSocketFactory) SSLSocketFactory.getDefault();
​
            // Создаем SSL-сокет, подключаясь к серверу по адресу и порту
            SSLSocket socket = (SSLSocket) factory.createSocket("example.com", 443);
​
            // Инициируем TLS handshake
            socket.startHandshake();
​
            // Если handshake прошел успешно, можно использовать сокет для передачи данных
            System.out.println("TLS handshake успешно завершен");
​
            // Закрываем сокет после использования
            socket.close();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}
  • SSLSocketFactory.getDefault(): Получает фабрику SSL-сокетов, которая используется для создания SSL-сокетов.
  • factory.createSocket("example.com", 443): Создает SSL-сокет, подключаясь к указанному серверу и порту.
  • socket.startHandshake(): Инициирует процесс TLS handshake. Если он завершается успешно, соединение становится защищенным.
  • socket.close(): Закрывает сокет после завершения работы.

Зачем нужен TLS Handshake

TLS handshake необходим для установления защищенного канала связи между клиентом и сервером. Он обеспечивает:

  • Конфиденциальность: Данные шифруются, чтобы предотвратить их перехват и чтение третьими лицами.
  • Аутентификация: Стороны могут подтвердить подлинность друг друга.
  • Целостность: Гарантируется, что данные не были изменены в процессе передачи.

TLS handshake широко используется в веб-приложениях, электронной почте, VPN и других системах, где требуется безопасная передача данных.

Тема: Безопасность
Стадия: Tech

🔒 Подпишись на бусти автора и стань Алигатором, чтобы получить полный доступ к функционалу сайта и отслеживать свой прогресс!

Твои заметки