无密钥SSL如何工作?什么是会话密钥?

10-23 17:48 SSL证书安装

无密钥SSL是为使用云供应商进行SSL加密的公司提供的服务。通常,这意味着云供应商必须知道公司的私钥,但是无密钥SSL是规避这一点的一种方法。出于监管原因,许多组织无法共享其私钥。借助无密钥SSL,这些组织仍能够使用TLS并利用云,同时保持密钥的安全性。

 无密钥

SSL(更准确地称为TLS)是用于对网络上的通信进行身份验证和加密的协议。SSL / TLS要求使用所谓的公钥和私钥,如果公司使用该协议来保护往返其网站的流量,则私钥通常保留在公司的财产中。但是,当公司迁移到云中并且供应商提供TLS加密时,供应商将改为使用私钥。

 

通过将握手过程中涉及私钥的部分移出供应商的服务器,私钥可以安全地保留在公司的财产中。云供应商不是直接使用私钥来生成会话密钥,而是通过安全通道从公司获取会话密钥,并使用这些密钥来维护加密。因此,仍然使用私钥,但不会与公司外部的任何人共享。

 

无密钥SSL如何工作?

无密钥SSL基于以下事实:在TLS握手期间,只有一次使用私钥,这种情况发生在TLS通信会话的开始时。无密钥SSL通过拆分TLS握手的步骤来工作。提供无密钥SSL的云供应商将流程的私钥部分移至另一台服务器,通常是客户保留在本地的服务器。

 

当握手期间需要使用私钥来解密或加密数据时,供应商的服务器会将必要的数据转发到客户的私钥服务器。私钥对客户服务器上的数据进行加密或解密,然后将数据发送回供应商的服务器,并且TLS握手像往常一样继续进行。

 

从云供应商的角度来看,无密钥SSL只是“无密钥”:他们从未看到客户的私钥,但客户仍然拥有并使用它。同时,公用密钥仍像往常一样在客户端使用。

 

什么是会话密钥?

会话密钥是在TLS握手完成后由TLS进行安全通信的双方使用的对称密钥。一旦双方商定了一组会话密钥,就不再需要使用公共密钥和私有密钥。TLS为每个唯一的会话生成不同的会话密钥。

 

什么是前向保密?什么是完美的前向保密?

前向保密性确保即使公开了私钥,加密的数据仍保持加密状态。这也称为“完全前向保密”。如果每个通信会话都使用唯一的会话密钥,并且会话密钥是与私钥分开生成的,则前向保密性是可能的。如果单个会话密钥遭到破坏,则攻击者只能解密该会话;所有其他会话将保持加密状态。

 会话密钥

在为前向保密设置的协议中,私钥在初始握手过程中用于身份验证,否则,不用于加密。短暂的Diffie-Hellman握手与私钥分开生成会话密钥,因此具有前向保密性。


您可能也喜欢

cache
Processed in 0.005583 Second.