2008 年 8 月 TLS v1.2 發(fā)布，時隔 10 年，TLS v1.3 于 2018 年 8 月發(fā)布，在性能優(yōu)化和安全性上做了很大改變，同時為了避免新協(xié)議帶來的升級沖突，TLS v1.3 也做了兼容性處理，通過增加擴(kuò)展協(xié)議來支持舊版本的客戶端和服務(wù)器。

安全性

TLS v1.2 支持的加密套件很多，在兼容老版本上做的很全，里面有些加密強(qiáng)度很弱和一些存在安全漏洞的算法很可能會被攻擊者利用，為業(yè)務(wù)帶來潛在的安全隱患。TLS v1.3 移除了這些不安全的加密算法，簡化了加密套件，對于服務(wù)端握手過程中也減少了一些選擇。

• 移除 MD5、SHA1 密碼散列函數(shù)的支持，推薦使用 SHA2(例如，SHA-256)。
• 移除 RSA 及所有靜態(tài)密鑰(密鑰協(xié)商不具有前向安全特性)。
• 溢出 RC4 流密碼、DES 對稱加密算法。
• 密鑰協(xié)商時的橢圓曲線算法增加 https://www.wanweibaike.net/wiki-X25519 支持。
• 支持帶 Poly1305消息驗(yàn)證碼 的 ChaCha20 流加密算法，流加密也是一種對稱加密算法。
• 移除了 CBC 分組模式，TLS v1.3 對稱加密僅支持 AES GCM、AES CCM、ChaCha20**-**Poly1305 三種模式。
• 服務(wù)端 “Server Hello” 之后的消息都會加密傳輸，因此常規(guī)抓包分析就會有疑問為什么看不到證書信息。

性能優(yōu)化

性能優(yōu)化一個顯著的變化是簡化了 TLS 握手階段，由 TLS v1.2 的 2-RTT 縮短為 1-RTT，同時在第一次建立鏈接后 TLS v1.3 還引入了 0-RTT 概念。

來源 https://www.a10networks.com/wp-content/uploads/differences-between-tls-1.2-and-tls-1.3-full-handshake.png

密鑰協(xié)商在 TLS v1.2 中需要客戶端/服務(wù)端雙方交換隨機(jī)數(shù)和服務(wù)器發(fā)送完證書后，雙方各自發(fā)送 “Clent/Server Key Exchange” 消息交換密鑰協(xié)商所需參數(shù)信息。在安全性上，TLS v1.3 移除了很多不安全算法，簡化了密碼套件，現(xiàn)在已移除了 “Clent/Server Key Exchange” 消息，在客戶端發(fā)送 “Client Hello” 消息時在擴(kuò)展協(xié)議里攜帶支持的橢圓曲線名稱、臨時公鑰、簽名信息。服務(wù)器收到消息后，在 “Server Hello” 消息中告訴客戶端選擇的密鑰協(xié)商參數(shù)，由此可少了一次消息往返(1-RTT)。

   Client                                           Server 
 
Key  ^ ClientHello 
Exch | + key_share* 
     | + signature_algorithms* 
     | + psk_key_exchange_modes* 
     v + pre_shared_key*       --------> 
                                                  ServerHello  ^ Key 
                                                 + key_share*  | Exch 
                                            + pre_shared_key*  v 
                                        {EncryptedExtensions}  ^  Server 
                                        {CertificateRequest*}  v  Params 
                                               {Certificate*}  ^ 
                                         {CertificateVerify*}  | Auth 
                                                   {Finished}  v 
                               <--------  [Application Data*] 
     ^ {Certificate*} 
Auth | {CertificateVerify*} 
     v {Finished}              --------> 
       [Application Data]      <------->  [Application Data] 
                                                 
                       The basic full TLS handshake 

當(dāng)訪問之前訪問過的站點(diǎn)時，客戶端可以通過利用先前會話中的 預(yù)共享密鑰 (PSK) 將第一條消息上的數(shù)據(jù)發(fā)送到服務(wù)器，實(shí)現(xiàn) “零往返時間(0-RTT)”。

Client                                               Server 
 
ClientHello 
+ early_data 
+ key_share* 
+ psk_key_exchange_modes 
+ pre_shared_key 
(Application Data*)     --------> 
                                                ServerHello 
                                           + pre_shared_key 
                                               + key_share* 
                                      {EncryptedExtensions} 
                                              + early_data* 
                                                 {Finished} 
                        <--------       [Application Data*] 
(EndOfEarlyData) 
{Finished}              --------> 
[Application Data]      <------->        [Application Data] 
 
              Message Flow for a 0-RTT Handshake 

TLS v1.3 抓包分析

以一次客戶端/服務(wù)端完整的 TLS 握手為例，通過抓包分析看下 TLS v1.3 的握手過程。下圖是抓取的 www.zhihu.com 網(wǎng)站數(shù)據(jù)報(bào)文，且對報(bào)文做了解密處理，否則 “Change Cipher Spec” 報(bào)文后的數(shù)據(jù)都已經(jīng)被加密是分析不了的。抓包請參考 “網(wǎng)絡(luò)協(xié)議那些事兒 - 如何抓包并破解 HTTPS 加密數(shù)據(jù)?”。

image.png

TLS v1.3 握手過程如下圖所示：

tls-1-3-full-handshake.jpg

Client Hello

握手開始客戶端告訴服務(wù)端自己的 Random、Session ID、加密套件等。

除此之外，TLS v1.3 需要關(guān)注下 “擴(kuò)展協(xié)議”，TLS v1.3 通過擴(kuò)展協(xié)議做到了 “向前兼容“，客戶端請求的時候告訴服務(wù)器它支持的協(xié)議、及一些其它擴(kuò)展協(xié)議參數(shù)，如果老版本不識別就忽略。

下面看幾個主要的擴(kuò)展協(xié)議：

• supported_versions：客戶端支持的 TLS 版本，供服務(wù)器收到后選擇。
• supported_groups：支持的橢圓曲線名稱
• key_share：橢圓曲線名稱和對應(yīng)的臨時公鑰信息。
• signature_algorithms：簽名

Transport Layer Security 
    TLSv1.3 Record Layer: Handshake Protocol: Client Hello 
        Version: TLS 1.0 (0x0301) 
        Handshake Protocol: Client Hello 
            Handshake Type: Client Hello (1) 
            Version: TLS 1.2 (0x0303) 
            Random: 77f485a55b836cbaf4328ea270082cdf35fd8132aa7487eae19997c8939a292a 
            Session ID: 8d4609d9f0785880eb9443eff3867a63c23fb2e23fdf80d225c1a5a25a900eee 
            Cipher Suites (16 suites) 
                Cipher Suite: Reserved (GREASE) (0x1a1a) 
                Cipher Suite: TLS_AES_128_GCM_SHA256 (0x1301) 
                Cipher Suite: TLS_AES_256_GCM_SHA384 (0x1302) 
                Cipher Suite: TLS_CHACHA20_POLY1305_SHA256 (0x1303) 
            Extension: signature_algorithms (len=18) 
            Extension: supported_groups (len=10) 
                Supported Groups (4 groups) 
                    Supported Group: Reserved (GREASE) (0xcaca) 
                    Supported Group: x25519 (0x001d) 
                    Supported Group: secp256r1 (0x0017) 
                    Supported Group: secp384r1 (0x0018) 
            Extension: key_share (len=43) 
                Type: key_share (51) 
                Key Share extension 
                    Client Key Share Length: 41 
                    Key Share Entry: Group: Reserved (GREASE), Key Exchange length: 1 
                    Key Share Entry: Group: x25519, Key Exchange length: 32 
                      Group: x25519 (29) 
                      Key Exchange Length: 32 
                      Key Exchange: 51afc57ca38df354f6d4389629e222ca2654d88f2800cc84f8cb74eefd473f4b 
            Extension: supported_versions (len=11) 
                Type: supported_versions (43) 
                Supported Versions length: 10 
                Supported Version: TLS 1.3 (0x0304) 
                Supported Version: TLS 1.2 (0x0303) 

Server Hello

服務(wù)端收到客戶端請求后，返回選定的密碼套件、Server Random、選定的橢圓曲線名稱及對應(yīng)的公鑰(Server Params)、支持的 TLS 版本。

這次的密碼套件看著短了很多 TLS_AES_256_GCM_SHA384，其中用于協(xié)商密鑰的參數(shù)是放在 key_share 這個擴(kuò)展協(xié)議里的。

TLSv1.3 Record Layer: Handshake Protocol: Server Hello 
    Content Type: Handshake (22) 
    Handshake Protocol: Server Hello 
        Handshake Type: Server Hello (2) 
        Version: TLS 1.2 (0x0303) 
        Random: 1f354a11aea2109ba22e26d663a70bddd78a87a79fed85be2d03d5fc9deb59a5 
        Session ID: 8d4609d9f0785880eb9443eff3867a63c23fb2e23fdf80d225c1a5a25a900eee 
        Cipher Suite: TLS_AES_256_GCM_SHA384 (0x1302) 
        Compression Method: null (0) 
        Extensions Length: 46 
        Extension: supported_versions (len=2) 
            Supported Version: TLS 1.3 (0x0304) 
        Extension: key_share (len=36) 
            Type: key_share (51) 
            Key Share extension 
                Key Share Entry: Group: x25519, Key Exchange length: 32 
                    Group: x25519 (29) 
                    Key Exchange: ac1e7f0dd5a4ee40fd088a8c00113178bafb2df59e0d6fc74ce77452732bc44d 

服務(wù)端此時拿到了 Client Random、Client Params、Server Random、Server Params 四個參數(shù)，可優(yōu)先計(jì)算出預(yù)主密鑰。在 TLS v1.2 中是經(jīng)歷完第一次消息往返之后，客戶端優(yōu)先發(fā)起請求。

在計(jì)算出用于對稱加密的會話密鑰后，服務(wù)端發(fā)出 Change Cipher Spec 消息并切換到加密模式，之后的所有消息(證書、證書驗(yàn)證)傳輸都會加密處理，也減少了握手期間的明文傳遞。

Certificate、Certificate Verify、Finished

除了 Certificate 外，TLS v1.3 還多了個 “Certificate Verify” 消息，使用服務(wù)器私鑰對握手信息做了一個簽名，強(qiáng)化了安全措施。

Transport Layer Security 
    TLSv1.3 Record Layer: Handshake Protocol: Certificate 
    TLSv1.3 Record Layer: Handshake Protocol: Certificate Verify 
        Handshake Protocol: Certificate Verify 
            Signature Algorithm: rsa_pss_rsae_sha256 (0x0804) 
                Signature Hash Algorithm Hash: Unknown (8) 
                Signature Hash Algorithm Signature: Unknown (4) 
            Signature length: 256 
            Signature: 03208990ec0d4bde4af8e2356ae7e86a045137afa5262ec7c82d55e95ba23b6eb5876ebb… 
    TLSv1.3 Record Layer: Handshake Protocol: Finished 
        Handshake Protocol: Finished 
            Verify Data 

客戶端切換加密模式

客戶端獲取到 Client Random、Client Params、Server Random、Server Params 四個參數(shù)計(jì)算出最終會話密鑰后，也會發(fā)起 “Certificate Verify”、“Finished” 消息，當(dāng)客戶端和服務(wù)端都發(fā)完 “Finished” 消息后握手也就完成了，接下來就可安全的傳輸數(shù)據(jù)了。

image.png