Как происходит SSL/TLS Handshake

1️⃣ Как кратко ответить

SSL/TLS Handshake — это процесс установления защищенного соединения между клиентом и сервером. Он включает в себя обмен приветствиями, согласование параметров шифрования, аутентификацию сервера и клиента (опционально), генерацию общего секретного ключа и завершение установки защищенного канала связи.

2️⃣ Подробное объяснение темы

SSL/TLS Handshake — это ключевой процесс, который обеспечивает безопасность передачи данных в интернете. Он используется для установления защищенного соединения между клиентом (например, веб-браузером) и сервером (например, веб-сервером). Этот процесс состоит из нескольких этапов, которые обеспечивают конфиденциальность, целостность и аутентификацию данных.

Этапы SSL/TLS Handshake

1. ClientHello: Клиент инициирует соединение, отправляя сообщение ClientHello серверу. Это сообщение содержит версию протокола SSL/TLS, поддерживаемые алгоритмы шифрования, случайное число и другие параметры, необходимые для установления соединения.

2. ServerHello: Сервер отвечает сообщением ServerHello, в котором указывает выбранную версию протокола, алгоритм шифрования и случайное число. Это сообщение также может содержать сертификат сервера для аутентификации.

3. Сертификат сервера: Сервер отправляет свой цифровой сертификат, который подтверждает его подлинность. Этот сертификат подписан доверенным центром сертификации (CA) и содержит открытый ключ сервера.

4. ServerKeyExchange (опционально): Если выбранный алгоритм шифрования требует дополнительных параметров, сервер отправляет сообщение ServerKeyExchange.

5. CertificateRequest (опционально): Сервер может запросить у клиента его сертификат для аутентификации клиента.

6. ServerHelloDone: Сервер завершает свою часть приветствия, отправляя сообщение ServerHelloDone.

7. ClientKeyExchange: Клиент генерирует предмастер-секрет (pre-master secret), шифрует его с помощью открытого ключа сервера и отправляет серверу. Это сообщение называется ClientKeyExchange.

8. CertificateVerify (опционально): Если сервер запросил сертификат клиента, клиент отправляет сообщение CertificateVerify, чтобы подтвердить свою подлинность.

9. ChangeCipherSpec: Клиент отправляет сообщение ChangeCipherSpec, чтобы уведомить сервер о начале использования согласованных параметров шифрования.

10. Finished: Клиент отправляет сообщение Finished, содержащее хеш всех предыдущих сообщений, зашифрованный с использованием нового секретного ключа. Это подтверждает успешное завершение handshake.

11. Сервер также отправляет ChangeCipherSpec и Finished: Сервер отправляет аналогичные сообщения, чтобы подтвердить успешное завершение handshake с его стороны.

Пример кода: Установка SSL/TLS соединения в Python

import socket
import ssl
​
# Создаем TCP-сокет
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
​
# Оборачиваем сокет в SSL-контекст
context = ssl.create_default_context()
​
# Устанавливаем защищенное соединение с сервером
secure_sock = context.wrap_socket(sock, server_hostname='example.com')
​
# Подключаемся к серверу
secure_sock.connect(('example.com', 443))
​
# Отправляем HTTP-запрос
secure_sock.sendall(b"GET / HTTP/1.1\r\nHost: example.com\r\n\r\n")
​
# Получаем ответ от сервера
response = secure_sock.recv(4096)
​
# Закрываем соединение
secure_sock.close()
​
# Печатаем ответ
print(response.decode('utf-8'))

• socket.socket(socket.AF_INET, socket.SOCK_STREAM): Создает TCP-сокет для сетевого соединения.
• ssl.create_default_context(): Создает контекст SSL, который содержит параметры шифрования и сертификаты.
• context.wrap_socket(sock, server_hostname='example.com'): Оборачивает сокет в SSL-контекст, чтобы использовать защищенное соединение.
• secure_sock.connect(('example.com', 443)): Устанавливает соединение с сервером по защищенному каналу.
• secure_sock.sendall(...): Отправляет HTTP-запрос через защищенное соединение.
• secure_sock.recv(4096): Получает ответ от сервера.
• secure_sock.close(): Закрывает защищенное соединение.
• print(response.decode('utf-8')): Декодирует и выводит ответ сервера.

SSL/TLS Handshake обеспечивает безопасность передачи данных, защищая их от перехвата и подделки, что критически важно для защиты конфиденциальной информации в интернете.