检测到弱密码:并非所有密码套件均支持完全前向保密(弱密码套件 - ROBOT 攻击:服务器支持易受攻击的密码套件)图片背景介绍HTTP 协议自身没有加密机制,但可以通过和 TLS (Transport 图片漏洞分析漏洞前提:此问题在HTTPS环境下出现弱密码套件 - ROBOT 攻击:服务器支持易受攻击的密码套件原因:使用了过期的TLS/SSL协议,部分TLS/SSL协议由于过于老旧,已经被各类操作系统及浏览器弃用 (SSL所有版本、TLSv1.0、TLSv1.1)图片并非所有密码套件均支持完全前向保密原因:使用了不支持前向加密的密码套件'ssl_ciphers',目前支持前向加密的密码套件第二部分必须为DHE、ECDHE 位,分组模式是 GCM; 摘要算法使用 SHA384;图片 所谓前向加密是指:每一次通信过程的私钥都是临时的,即使某一次通信过程的私钥被破解或者泄露、 其他通信过程的私钥仍然是安全的,因为每个通信过程的私钥都是没有任何关系的 ,都是独立的,这样 就保证了「前向安全」。
在配置TLSv1.2和TLSv1.3时,选择最安全的加密套件需综合考虑现代加密标准、国密算法(如SM2/SM3/SM4)以及前向保密(PFS)特性,同时兼容HTTP/2和HTTP/3(QUIC)。 以下是推荐的配置方案及关键要点:一、加密套件配置原则优先支持TLS1.3TLS1.3默认移除不安全的算法(如RSA密钥交换、CBC模式),强制使用前向保密,且握手效率更高。 国密TLS握手优化在Nginx中启用国密套件:ssl_ciphers'ECDHE-SM2-SM4-GCM-SM3:ECDHE-ECDSA-AES256-GCM-SHA384';三、PQC(后量子密码)算法支持目前 四、HTTP/2与HTTP/3(QUIC)配置HTTP/2需启用TLS1.2+,并确保加密套件支持前向保密:listen443sslhttp2;HTTP/3(QUIC)依赖TLS1.3和QUIC协议,需编译 [9](@ref)[11](@ref)。
您应该主要依靠提供强身份验证和密钥交换,前向保密和至少 128 位加密的 AEAD 套件。还有一些其他较弱的套房可能仍然得到支持,只要它们只能与不支持任何更好的老客户进行协商。 2.5 使用 FS 前向保密(有时也称为完全前向保密)是一种协议功能,可实现不依赖服务器私钥的安全对话。 对于不提前向保密的密码套件,可以恢复服务器的私钥的人就可以解密所有较早记录的加密对话(也就是可以先大量记录密文,再解密,比如您的证书到期后没有正确销毁,它的私钥就能用来解密非PFS的密文)。 您需要支持并喜欢 ECDHE 套件,以便通过现代网络浏览器实现前向保密。为了支持更广泛的客户,您还应该使用 DHE 套件作为 ECDHE 后备。避免 RSA 密钥交换,除非绝对必要。 我在2.3节中提出的默认配置只包含提供前向保密的套件。
第二次握手 1 Say Hello 当服务端收到客户端的「Client Hello」消息后,会确认 TLS 版本号是否支持,和从密码套件列表中选择一个密码套件,以及生成随机数(Server Random RSA密钥交互的缺陷 使用 RSA 密钥协商算法的最大问题是不支持前向保密。因为客户端传递随机数(用于生成对称加密密钥的条件之一)给服务端时使用的是公钥加密的,服务端收到到后,会用私钥解密得到随机数。 图3.2.1 ECDHE流程图 DH 密钥交换过程中,即使第三方截获了 TLS 握手阶段传递的公钥,在不知道的私钥的情况下,也是无法计算出密钥的,而且每一次对称加密密钥都是实时生成的,实现前向保密。 四、RSA协议和ECDHE协议对比分析 4.1RSA 和 ECDHE 握手过程的区别 RSA 密钥协商算法「不支持」前向保密,ECDHE 密钥协商算法「支持」前向保密; 使用了 RSA 密钥协商算法,TLS 因此也称此为不具有前向安全性,只要服务端不换证书,那么所有证书范围内的会话都可以进行解密。对于旁路监听流量,拥有全量数据包的情况下,是可以全部解密的 4.3为什么ECDHE模式不可以解密流量包?
(3) 【支持的密码套件】支持的加密方法,比如RSA公钥加密。 (4) 支持的压缩方法。 11 客户端回应(Client Finish) (1) 客户端握手结束通知,表示客户端的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供服务器校验。 5、完全前向加密PFS,保护用户数据,预防私钥泄漏 非对称加密算法 RSA,包含了公钥、私钥,其中私钥是保密不对外公开的,由于此算法既可以用于加密也可以用于签名,所以用途甚广,但是还是会遇到一些问题 那就需要PFS(perfect forward secrecy)完全前向保密功能,此功能用于客户端与服务器交换对称密钥,起到前向保密的作用,也即就算私钥被泄漏,黑客也无法破解先前已加密的数据。 ID,下次连接客户端发ID过来就可以直接用之前的私钥交流了 4、OSCP Stapling:服务器将带有 CA 机构签名的 OCSP 响应在握手时发给客户端,省的客户端再去CA查询 5、完全前向加密PFS
l 使用支持域名的证书。 l 在证书中使用完全限定名称,注意不要用localhost或类似192.168.1.1私有地址的证书 l 不要使用通配符证书:比如“*”。 临时密码交换是基于Diffie-Hellman(DH)的算法,在初始化SSL/TLS握手期间完成,保证了前项保密性(PFS) l 仅支持密码学强加密。关于密码学强加密如下。 Ø 使用最新安全建议。 Ø 服务器端激活并设置密码算法顺序,比如SSLHonorCipherOrderOn。 Ø 前项保密密码的密码为最高优先级,如DHE、ECDHE。 Ø 禁用不提供加密的密码套件。 Ø 禁用不提供认证的密码套件,包括匿名密码套件。 Ø 禁用DES。 Ø 禁用密钥长度小于128的密钥。 Ø 禁用MD5、SHA-1散列算法。 l 通过手机重置密码,是否每次向手机发送验证码或激活连接前都验证手机是否为当前用户注册信息? l 通过电子邮件重置密码,是否每次向电子邮件发送验证码或激活连接前都验证电子邮件是否为当前用户注册信息?
启用完美前向保密(PFS)") print("4. # 传统DH密码套件 "TLS_DHE_RSA_WITH_AES_256_GCM_SHA384", # 临时DH(完美前向保密) "TLS_DHE_RSA_WITH_AES 椭圆曲线DH密码套件 "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", # 临时ECDHE(完美前向保密) "TLS_ECDHE_RSA_WITH_AES 优先使用ECDHE密码套件,它们提供更好的性能和安全性") print("2. 确保启用完美前向保密(PFS)") print("3. (): """演示完美前向保密(PFS)""" print("\n完美前向保密(PFS)演示") # 解释PFS概念 print("完美前向保密定义:即使长期私钥泄露
SSL是Netscape于1994年开发的,后来成为了世界上最著名的web安全机制,所有主要的浏览器都支持SSL协议 目前有三个版本:2、3、3.1,最常用的是第3版,是1995年发布的。 (4)一个客户端可以支持的密码套件列表。 密码套件格式:每个套件都以“SSL”开头,紧跟着的是密钥交换算法。 (客户端一个、服务端一个) (3)会话ID (4)从客户端的密码套件列表中选择的一个密码套件 (5)从客户端的压缩方法的列表中选择的压缩方法 这个阶段之后,客户端服务端知道了下列内容: (1)SSL版本 可以参考Behrouz A.Forouzan著的《密码学与网络安全》。 1.3 客户机鉴别与密钥交换: 客户机启动SSL握手第3阶段,是本阶段所有消息的唯一发送方,服务器是所有消息的唯一接收方。 生成过程如下: 2、记录协议 记录协议在客户机和服务器握手成功后使用,即客户机和服务器鉴别对方和确定安全信息交换使用的算法后,进入SSL记录协议,记录协议向SSL连接提供两个服务: (1)保密性
比如,就拿前两篇文章讲的代理服务。 如果通信时另外一方是一个假冒网站,那么数据再保密再完整也没用,黑客完全可以使用冒充的身份套出各种信息,加密不加密,完整不完整,没啥意义,因为你最终的接收人就是不可靠的。 浏览器和服务器在使用 TLS 建立连接时需要选择一组恰当的加密算法来实现安全通信,这些算法的组合被称为“密码套件”(cipher suite,也叫加密套件)。 其实 TLS 的密码套件命名非常规范,格式很固定。 四、还要说一下OpenSSL 聊完了TLS,我们就不得不谈一下OpenSSL,它是一个著名的开源密码学程序库和工具包,几乎支持所有公开的加密算法和协议,已经成为了事实上的标准,许多应用软件都会使用它作为底层库来实现
与之相对,在一些DH密钥交换方式中,某些参数是静态的,并被嵌入到服务器和客户端的证书中,这样的话密钥交换的结果是一直不变的共享密钥,就无法具备前向保密的能力。 临时椭圆曲线Diffie-Hellman密钥交换,和DHE类似,使用临时的参数,具有前向保密的能力。 PFS PFS(perfect forward secrecy)正向保密 ,在密码学中也可以被称为FS(forward secrecy),是安全通信协议的特性,要求一个密钥只能访问由它所保护的数据,用来产生密钥的元素一次一换 这种攻击会影响支持 DHE_EXPORT 密码的所有服务器。 SRP TLS-SRP( Secure Remote Password)密码套件有两类:第一类密码套件仅使用SRP认证。第二类使用SRP认证和公共密钥证书来增加安全性。
其中,RSA 是比较传统的密钥交换算法,它不具备前向安全的性质,因此现在很少服务器使用的。而 ECDHE 算法具有前向安全,所以被广泛使用。 TLS 第一次握手 客户端首先会发一个「Client Hello」消息,消息里面有客户端使用的 TLS 版本号、支持的密码套件列表,以及生成的随机数(Client Random)。 ? 第二次握手 服务端收到客户端的「打招呼」,同样也要回礼,会返回「Server Hello」消息,消息面有服务器确认的 TLS 版本号,也给出了一个随机数(Server Random),然后从客户端的密码套件列表选择了一个合适的密码套件 image.png 不过,这次选择的密码套件就和 RSA 不一样了,我们来分析一下这次的密码套件的意思。 ---- 总结 RSA 和 ECDHE 握手过程的区别: RSA 密钥协商算法「不支持」前向保密,ECDHE 密钥协商算法「支持」前向保密; 使用了 RSA 密钥协商算法,TLS 完成四次握手后,才能进行应用数据传输
(4)一个客户端可以支持的密码套件列表。 (5)一个客户端可以支持的压缩算法列表。 补充 密码套件格式:每个套件都以“SSL”开头,紧跟着的是密钥交换算法。 (客户端一个、服务端一个) (3)会话ID (4)从客户端的密码套件列表中选择的一个密码套件 (5)从客户端的压缩方法的列表中选择的压缩方法 这个阶段之后,客户端服务端知道了下列内容: (1)SSL版本 该阶段分为4步,前2个消息来自客户机,后2个消息来自服务器。 密钥生成的过程 这样握手协议完成,下面看下什么是预备主密钥,主密钥是怎么生成的。 生成过程如下: 记录协议 记录协议在客户机和服务器握手成功后使用,即客户机和服务器鉴别对方和确定安全信息交换使用的算法后,进入SSL记录协议,记录协议向SSL连接提供两个服务: (1)保密性 session ID是目前所有浏览器都支持的方法,但是它的缺点在于session ID往往只保留在一台服务器上。所以,如果客户端的请求发到另一台服务器,就无法恢复对话。
与之相对,在一些DH密钥交换方式中,某些参数是静态的,并被嵌入到服务器和客户端的证书中,这样的话密钥交换的结果是一直不变的共享密钥,就无法具备前向保密的能力。 临时椭圆曲线Diffie-Hellman密钥交换,和DHE类似,使用临时的参数,具有前向保密的能力。 RC4 : 是一种流加密算法,对称加密,密钥长度可变。 这种攻击会影响支持 DHE_EXPORT 密码的所有服务器。 2.5) 建议使用FS前向保密, FS有时也称为完全前向保密是一种协议功能,可实现不依赖服务器私钥的安全对话, 对于不提前向保密的密码套件,如果有可以恢复服务器的私钥的人就可以解密所有较早记录的加密对话 2.6) 建议使用强的密钥交换算法,前面我们说不建议选择经典的短暂的 Diffie-Hellman密钥交换(DHE)以及RSA 密钥交换(不提供FS前向保密),通常推荐其椭圆曲线变体 ECDHE 密钥交换
线上 TLS 握手耗时过高、证书校验失败、弱加密套件漏洞等问题,都需要深入协议底层才能根治。 其中 ECDHE 具备前向保密性——每次握手生成临时密钥,即使服务器私钥泄露,历史流量也无法解密,是生产环境首选。 TLS 1.3:完整握手压缩至 1RTT,会话复用支持 0-RTT;移除所有弱加密算法与 RSA 密钥交换,默认强制前向保密,握手消息全程加密,安全与性能同步提升。 certs/fullchain.pem; ssl_certificate_key /etc/ssl/private/server.key; # 安全基线:仅启用TLS 1.2/1.3,优先前向保密套件 总结HTTPS 不是简单的证书配置,而是密码学、网络协议与工程实践的结合体。理解握手原理能快速定位线上异常,掌握证书校验逻辑可根治内网自签证书问题,而性能优化是高并发场景的必备能力。
RSA 不支持前向保密 下图是 Diffie-Hellman 密钥交换示意图: 证书 证书是包含公钥、订阅人信息、证书颁发者数字签名的数字文件,是存储、传递、使用公钥的容器。 SSL 1.0, 2.0 1994-11月 SSL 3.0 1995 年底 TLS 1.0 1999-1 TLS 1.1 2006-4 TLS 1.2 2008-8 TLS 1.3 2018-8 1)握手更快 客户端需要提供自己 TLS 版本、随机数、加密套件、压缩方法、扩展信息给服务端,让服务端进行选择。 因为客户端发送的密码套件、服务器最终选择的密码套件未必需要身份认证,同时不是所有身份认证都需要证书,所以,这个消息是可选的。 这个消息中很重要的一个字段是 verify_data, 其值是用协商得到的主密钥结合协商确定的 MAC 算法对所有按序排列的握手消息进行计算得到的散列值。
其次,该工具必须支持加密套件、扩展和流行实现中存在的特性,例如,如果一个工具模仿Chrome发送但实际上不支持CHACHA20密码套件,服务器可能会为连接选择该密码套件,导致该工具终止连接,这不仅会导致兼容性问题 其次,如果服务器由工具维护者控制,这个问题可以得到部分缓解,因为服务端可以只选择工具所支持的密码套件和扩展,但是无法控制两个端点的工具中并非如此,例如域前置、折射网络和生成到其他服务器流量的工具。 一方面,由于Server Hello消息的内容较少,它只指定了一个密码套件和压缩方法,而不是服务器支持的完整列表。 然而,分析服务端选择的唯一密码套件,发现只选择了70个密码套件,前10个占所有连接的93%以上,有趣的是,在所有Client Hello中最流行的密码套件(TLS_ECDHE_RSA_WITH_AES_ 支持非标准特性的共性表明,检测人员可能很难完全了解或使用白名单覆盖所有常用的指纹。
招标文件第18页3.1条:“广州市教育信息中心主要应用系统运行维护具体工作内容”,明确列举招标项目涉及的所有系统运维及开发工作内容,即原告在投标前知道且应当知道涉案项目包含少部分开发内容,原告的投标文件第 2019年11月2日,原告工作人员刘某向原告法定代表人胡某某发送《项目过程说明》,内容提及因纪委要检查科研系统,被告临时紧急插入科研系统开发任务,并要求须在10月7日前完成开发,原告提出因临时插入科研开发打乱正常学籍和统计系统开发时间 2019年11月5日,原告人员刘某向监理单位人员邓某某发微信表示申请重新对系统进行需求梳理、确认,并承诺在需求得到完全确认后,在1个月内完成学籍系统和统计系统的需求开发工作。 ,否则就是违反《信息安全与保密协议》,此外,该聊天记录发生在11月13日至14日期间,但原告首次下载源码的行为发生在11月11日,证明原告并非由于紧急解决系统问题而下载。 被告提交的证据不能证明原告违反《信息安全与保密协议》中保密义务,原告因运维服务需要进行的操作,不违反保密义务。被告主张原告《信息安全与保密协议》约定的违约金及律师费,法院不予支持。
“这些域名往往注册于攻击发起前48小时内,使用隐私保护服务,并申请免费SSL证书(如Let’s Encrypt)。” 据 Group-IB 分析,该套件已在地下论坛以“即服务”(Phishing-as-a-Service)形式出售,支持一键部署、Telegram 通知、CAPTCHA 绕过及支付信息抓取。 同时集成 Google reCAPTCHA 模拟器——并非真正验证,而是展示一个“正在验证…”动画,欺骗用户以为流程正规。<! 后端:Telegram 作为“神经中枢”所有窃取的数据(用户名、密码、信用卡号、CVV、OTP)均通过 Telegram Bot API 实时推送至攻击者控制的私密频道。 账单操作必须“闭环于平台内”所有服务商(包括 Aruba、阿里云、腾讯云等)均明确表示:账单支付、账户验证等敏感操作,仅可通过官方控制台完成,绝不会通过邮件链接引导。
事实与理由: 其原系寻梦公司员工,未违反双方的竞业限制约定,故请求法院支持其诉讼请求。 郑某某为证明其陈述的事实,向法院提供了如下证据材料: 1、裁决书,证明本案经过仲裁前置程序。 7、拼多多-监控中心经理岗位职责、安识-高级安全解决方案专家,证明郑某某在寻梦公司的岗位为内部系统故障应急管理岗;在安识期间的岗位为产品对外售前技术支持岗,主要针对企业的产品协同支持销售队伍;因此两个岗位工作内容完全不同 10、阿里云官网,证明任何人和企业都可以注册阿里云成为用户,阿里云仅为一个产品工具,并非能体现商业合作关系。 寻梦公司对证据1三性认可;对证据2-10真实性认可,证明目的不认可。 寻梦公司为证明其陈述的事实,向法院提供了如下证据材料: 1、劳动合同、《保密、不竞争和知识产权归属协议》、邮件及招聘网站截图,证明原、寻梦公司之间的劳动关系以及双方对于竞业限制的约定等内容。 该公司与寻梦公司的经营范围均包括计算机网络科技、计算机软硬件领域内的技术开发、技术服务、技术咨询、技术转让及计算机软硬件的销售。
Enterprise模式下提供更高强度的加密 增强的开放网络保护:为开放网络提供基本的加密通信 前向保密:确保过去的通信即使在密钥泄露后仍然安全 改进的握手协议:防止重放攻击和密钥重装攻击 受保护的管理帧 (PAKE)协议 无服务器认证:客户端和AP可以直接进行认证,无需中央服务器 抵抗离线字典攻击:即使捕获到认证过程中的所有数据包,也无法进行离线字典攻击 前向保密:每个会话生成独立的密钥,过去的会话在密钥泄露后仍然安全 前向保密 前向保密(Forward Secrecy)是WPA3的重要安全特性: 会话密钥独立性:每个会话使用独立生成的密钥,不同会话之间互不影响 长期密钥泄露保护:即使长期密钥泄露,过去的会话仍然安全 动态密钥生成:密钥在认证过程中动态生成,不直接传输 完美前向保密(PFS):在SAE中实现了完美前向保密,提供最高级别的前向保密保护 4.3.3 防止KRACK类攻击 WPA3针对KRACK等密钥重装攻击进行了专门的防护设计 ,修复已知漏洞 - **启用PMF**:在所有支持的设备上启用受保护的管理帧 - **使用强密码**:尽管WPA3增强了对弱密码的保护,仍然应使用强密码 - **禁用WPS**:WPS可能引入额外的安全风险