https 在交换加密方法和密钥之后就使用 http 传输数据了?

2014-10-31 13:57:36 +08:00
 pythonee
http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html

这篇文章,阮老师讲解了整个https的握手过程,包括怎么交换密钥和加密方法,但是他说:

"至此,整个握手阶段全部结束。接下来,客户端与服务器进入加密通信,就完全是使用普通的HTTP协议,只不过用"会话密钥"加密内容"

那后续的传输内容岂不是仍然可能遭拦截,破解?!这段话有点毁三观,不过我觉得每次传输都要进行耗时的握手也不是事
5595 次点击
所在节点    问与答
24 条回复
billlee
2014-10-31 14:00:26 +08:00
HTTPS == HTTP over TLS
TLS 保证安全,HTTP 的通信封装在 TLS 里面。
choury
2014-10-31 14:00:58 +08:00
后面用这个密钥来进行对称加密
tabris17
2014-10-31 14:02:08 +08:00
后续传输都加密了,每次连接能包含多个HTTP请求
azuginnen
2014-10-31 14:05:36 +08:00
本来每次寄明信片,后来每次寄的是保险箱
azuginnen
2014-10-31 14:06:02 +08:00
中间人相当于是邮差
pythonee
2014-10-31 15:30:12 +08:00
@azuginnen 关键这个保险箱如果是很容易打开的呢
pimin
2014-10-31 15:36:07 +08:00
@pythonee 那你就又发现了一个协议级别漏洞,
mornlight
2014-10-31 15:43:51 +08:00
还是https啊,传输的加密密钥是之前握手时确定的嘛。握手一次后,可以用很久的...
palytoxin
2014-10-31 15:47:35 +08:00
tls能保证不安全状况下的加密协议协商。只要保证一次加密不被窃听,剩下的可以用对称加密算法
tls这种不对称的加密算法 消耗资源比较大
wy315700
2014-10-31 15:49:59 +08:00
交换完密钥以后就进入加密传输阶段了啊

只不过加密信道里传输的是HTTP内容
pythonee
2014-10-31 17:24:06 +08:00
@mornlight 密钥是安全的,但是"后面的传输是对称加密方法"这个说法引起我的好奇
pythonee
2014-10-31 17:24:48 +08:00
@mornlight 而且这个对称加密算法也没有说是什么样的对称加密,是AES吗
julyclyde
2014-10-31 17:46:35 +08:00
@pythonee 很多算法可选。不过后面确实都是对称的
lightening
2014-10-31 18:04:45 +08:00
你这是语文没学好……
lightening
2014-10-31 18:07:04 +08:00
@pythonee 保险箱的钥匙在握手时建立,别人怎么打得开?
Smartype
2014-10-31 20:37:43 +08:00
开始的那一步是密钥协商流程,也就是把保险箱的钥匙交换一下,至于怎么保证钥匙不被别人看到呢?用数学来保证的。具体算法就是RSA或者Diffie–Hellman–Merkle。
完成了这一不后面就是送保险箱了,当然随时可以协商换保险箱钥匙的。这样保证对称加密的安全性。
Smartype
2014-10-31 20:40:01 +08:00
TLS这么设计是为了兼顾安全性和效率。后面的一般使用的AES对称加密很多平台都是用硬件来做的。
20150517
2014-10-31 20:43:26 +08:00
所有基于rsa的不对称加密,后继都是用对称加密,我记得书上是说rsa加密的时候好像效率太低,面对大量的数据还是要用对称算法
20150517
2014-10-31 20:44:14 +08:00
而且现在对称加密动不动就是1024或2048位的,你怎么破解法?
Quaintjade
2014-10-31 21:28:29 +08:00
除了https,还有pop3s、smtps、ftps、VPN over SSL等等。协议还是原来的,只不过通过SSL/TLS运载。
从OSI层级上说,http,ftp之类都是应用层,tls层级更低。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/142909

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX