用故事说透HTTPS

故事中的主演&＃xff1a;

小华今年上大一&＃xff0c;这是她第一次离开父母&＃xff0c;独自一人到北京上学。今天妈妈的生日&＃xff0c;想了想要给妈妈一个祝福&＃xff0c;便给妈妈发了条消息&＃xff1a;

妈妈收到这条消息非常开心&＃xff0c;女儿这么忙还能记得自己的生日&＃xff0c;两个人便开始聊了起来。妈妈知道女儿一直省吃俭用&＃xff0c;决定给女儿打点钱过去。

小黑是个黑客&＃xff0c;专搞一些“偷鸡摸狗”的事情&＃xff0c;他已经监听了这对母女的对话。一直看着她们唠家常&＃xff0c;都快睡着了。

直到看到母女提到钱的事情&＃xff0c;立马打起精神&＃xff0c;决定搞一笔。然后他截获了小华的消息&＃xff0c;替换成自己精心准备的内容给小华的妈妈发过去了。

小华的妈妈随后就把钱打给了小华&＃xff0c;未曾想到母女二人的聊天内容尽在小黑的掌控之中。小黑拿到钱后就逃之夭夭了。

「公众号素燕注&＃xff1a;HTTP 协议是建立在 TCP 之上的&＃xff0c;TCP 是否安全决定了 HTTP 是否安全。HTTP的报文内容并未加密&＃xff0c;容易被监听和篡改。小黑就监听了母女二人的聊天内容&＃xff0c;并对内容进行了篡改&＃xff0c;伪装成女儿进行聊天。所以 HTTP 有以下 3 个问题&＃xff1a;

1.内容未加密&＃xff0c;容易被监听&＃xff0c;都是明文传输&＃xff1b;

2.无法验证内容的完整性&＃xff0c;容易被篡改&＃xff0c;也就是说不知道消息是不是被修改过&＃xff1b;

3.无法验证对方的身份&＃xff0c;我现在聊天的人是谁&＃xff0c;可靠吗&＃xff1f;」

小华被骗后&＃xff0c;心里很难过&＃xff0c;把这件事告诉了她的计算机老师王大强。王老师听到被骗的经历&＃xff0c;感到非常惊讶&＃xff0c;消息为什么会被篡改呢&＃xff01;立马查看了她们使用的聊天软件&＃xff0c;原来这个软件直接使用的是 TCP 协议&＃xff0c;没有做安全措施。

研究完软件后&＃xff0c;大强对小华说&＃xff1a;“这款软件有问题&＃xff0c;以后别用了&＃xff0c;要用具有安全措施的软件&＃xff0c;比如使用 TSL/SSL 协议的软件”。

小华说&＃xff1a;“什么是 TSL/SSL 呢&＃xff1f;”。大强看到小华诚恳的表情&＃xff0c;决定把 HTTPS 的原理告诉她&＃xff0c;但是想到她可能理解不了&＃xff0c;然后决定剖析一下她和妈妈被骗的场景。

既然小华和她妈妈的聊天内容是明文传输的&＃xff0c;那直接把内容加密不就完事了吗。小华和她妈妈就约定了一个密码&＃xff0c;所有的内容都通过这个密码进行加密和解密。

「公众号素燕注&＃xff1a;这种加密方式称为对称加密&＃xff0c;加密解密都是通过同一个密码来操作&＃xff0c;所以需要保证密码的安全&＃xff0c;一旦泄露&＃xff0c;后果很严重」

小华立马觉察到事情的不妙&＃xff0c;密码如何才能传给她妈妈呢。只能双方见面后来约定一个密码。但是她想到远在美国的爸爸&＃xff0c;如果向他要钱的话&＃xff0c;需要飞往美国把密码告诉他。这太麻烦了。

王大强老师说&＃xff1a;“别急&＃xff0c;还有更好的方法”。那就使用两个密钥&＃xff0c;一个用来加密&＃xff08;称为私钥&＃xff09;&＃xff0c;另一个用来解密&＃xff08;称为公钥&＃xff09;&＃xff0c;使用私钥加密过的内容&＃xff0c;只能通过公钥进行解密。私钥只有自己有&＃xff0c;公钥可以丢给别人。

小华和妈妈&＃xff0c;只把公钥交给对方就行。小华给妈妈发消息的时候&＃xff0c;用妈妈的公钥进行加密&＃xff0c;私钥只有妈妈有&＃xff0c;也就是说只有妈妈能解密。

「公众号素燕注&＃xff1a;这种加密方式称为非对称加密&＃xff0c;会有二个钥匙&＃xff0c;一个钥匙加密过的内容只能通过另一个钥匙进行解密。至于为啥要说公钥加密私钥解密&＃xff0c;虽然两个钥匙都可以进行加密解密&＃xff0c;但是公钥加密私钥解密这种说法不是更好理解吗&＃xff1f;公钥被人都知道&＃xff0c;私钥只有自己知道」。

小华想了想觉得还是有点不安全&＃xff0c;假如她和妈妈进行交换公钥的时候&＃xff0c;被小黑监听了。

小华把自己的公钥 xiaohua_pub 发给妈妈&＃xff0c;中途被小黑掉包了&＃xff0c;小黑把自己的公钥 xiaohei_pub 发给了小华的妈妈。这样小华妈妈发消息的时候就使用了小黑的公钥进行了加密&＃xff0c;小黑获取到消息表可以用自己的私钥进行解密。

妈妈发送自己的公钥给小华的时候也被小黑掉包了&＃xff0c;这时小黑就有了双方的公钥。

小黑监听到小华要求妈妈打钱的消息&＃xff0c;对消息进行了篡改。

王大强老师听完小华的疑虑&＃xff0c;竖起了大拇指&＃xff0c;说道&＃xff1a;“别急&＃xff0c;听我慢慢解释”。

现在的问题是出在交换公钥的时候被小黑调包了&＃xff0c;那接下来就需要解决这个问题。如何才能把公钥安全地送到对方手上。

这似乎是永远解不了的问题&＃xff0c;毕竟公钥始终是要经过传输的。这似乎是一个鸡生蛋蛋生鸡的问题。后来小华想了想他平时网上购物的时候&＃xff0c;以前总是担心怕付款了&＃xff0c;商家跑路不给发货&＃xff0c;自从有了淘宝这个第三方机构&＃xff0c;毕竟阿里家大业大&＃xff0c;值得信赖&＃xff0c;即使商家跑路了可以找淘宝。

后来就出现了关于公钥的认证机构&＃xff0c;这些认证机构很少&＃xff0c;但非常权威&＃xff0c;它会和电脑、浏览器等厂商达成信任关系&＃xff0c;提前把认证机构的公钥安装到系统中&＃xff0c;这样就不会涉及到传输的问题了。

在聊天的过程中&＃xff0c;小华发现消息发送和接收的时候很慢&＃xff0c;后来发现因为是加密算法耗费比较长的时间。小华想了想&＃xff0c;使用对称加密的时候&＃xff0c;唯一的缺点是交换秘钥比较麻烦&＃xff0c;但是速度非常快。那么可以通过非对称加密来传输对称加密的密钥&＃xff0c;密钥传输成功后&＃xff0c;使用对称加密来加密消息。

到此&＃xff0c;你理解如何保证通信安全了吗&＃xff1f;

「公众号素燕注&＃xff1a;HTTP 属于应用层协议&＃xff0c;HTTPS 并不是一个新的协议&＃xff0c;它只是比 HTTP 协议多了一层&＃xff08;TSL/SSL&＃xff09;来保证数据传输安全。TSL/SSL也属于协议&＃xff0c;它的主要作用是保证数据传输安全。大多数使用的是 OpenSSL 来实现&＃xff0c;比如 Node 中的 TSL 就是基于 OpenSSL 实现的」。

总结

本文以故事的形式介绍了 HTTP 的不安全&＃xff0c;保证 HTTPS 安全性的背后支持&＃xff0c;包含数字证书、数字签名、对称加密、非对称加密的概念&＃xff0c;当然光有理论还不行&＃xff0c;需要实践才能更好地理解。大家加油。

推荐阅读&＃xff1a;

第 13 天&＃xff1a;从 HTTP 到 HTTPS&＃xff0c;取得阶段性胜利

第 11 天&＃xff1a;我找到了学习 socket 的正确姿势

我总结了学习前端的路线