HTTPS连接的前几毫秒发生了什么

　　2.证书信息(11)：

　　这段巨大的信息共有2464字节，其证书允许客户端在Amazon服务器上进行认证。这个证书其实并没有什么奇特之处，你能通过浏览器浏览它的大部分内容。

　　3.服务器问候结束信息(14)：

　　这是一个零字节信息，用于告诉客户端整个“问候”过程已经结束，并且表明服务器不会再向客户端询问证书。

　　校验证书

　　此时，浏览器已经知道是否应该信任Amazon.com。在这个例子中，浏览器通过证书确认网站是否受信，它会检查 Amazon.com 的证书，并且确认当前的时间是在“最早时间”2008年8月26日之后，在“最晚时间”2009年8月27日之前。浏览器还会确认证书所携带的公共密钥已被授权用于交换密钥。

　　为什么我们要信任这个证书?

　　证书中所包含的签名是一串非常长的大端格式的数字：

　　任何人都可以向我们发送这些字节，但我们为什么要信任这个签名?为了解释这个问题，我们首先要回顾一些重要的数学知识：

　　RSA加密算法的基础介绍

　　人人常常会问，编程和数学之间有什么联系?证书就为数学在编程领域的应用提供了一个实际的例子。Amazon的服务器告诉我们需要使用RSA算法来校验证书签名。什么又是RSA算法呢?RSA算法是由麻省理工(MIT)的Ron Rivest、Adi Shamirh和Len Adleman(RSA命名各取了三人名字中的首字母)三人于上世纪70年代创建的。三位天才的学者结合了2000多年数学史上的精华，发明了这种简洁高效的算法：

　　选取两个较大的初值p和q，相乘得n;n = p*q 接下来选取一个较小的数作为加密指数e，d作为解密指数是e的倒数。在加密的过程中，n和e是公开信息，解密密钥d则是最高机密。至于p和q，你可以将他们公开，也可以作为机密保管。但是一定要记住，e和d是互为倒数的两个数。

　　假设你现在有一段信息M(转换成数字)，将其加密只需要进行运算：C ≡ Me (mod n)

　　这个公式表示M的e次幂，mod n表示除以n取余数。当这段密文的接受者知道解密指数d的时候就可以将密文进行还原：Cd ≡ (Me)d ≡ Me*d ≡ M1 ≡ M (mod n)

　　有趣的是，解密指数d的持有者还可以将信息M进行用解密指数d进行加密：Md ≡ S (mod n)

　　加密者将S、M、e、n公开之后，任何人都可以获得这段信息的原文：Se ≡ (Md)e ≡ Md*e ≡ Me*d ≡ M1 ≡ M (mod n)

　　如同RSA的公共密钥加密算法经常被称之为非对称算法，因为加密密钥(在我们的例子中为e)和解密密钥(在我们的例子中是d)并不对称。取余运算的过程也不像我们平常接触的运算(诸如对数运算)那样简单。RSA加密算法的神奇之处在于你可以非常快速的进行数据的加密运算，即 ，但是如果没有解密密码d，你将很难破jie出密码，即运算 将不可能实现。正如我们所看到的，通过对n进行因式分解而得到p和q，再推断出解密密钥d的过程难于上青天。

　　签名验证

　　在使用RSA加密算法的时候，最重要的一条就是要确保任何涉及到的数字都要足够复杂才能保证不被现有的计算方法所破jie。这些数字要多复杂呢?Amazon.com的服务器是利用“VeriSign Class 3 Secure Server CA”来对证书进行签名的。从证书中，我们可以看到这个VeriSign(电子签名校验器，也称威瑞信公司)的系数n有2048位二进制数构成，换算成十进制足足有617位数字：

　　1890572922 9464742433 9498401781 6528521078 8629616064 3051642608 4317020197 7241822595 6075980039 8371048211 4887504542 4200635317 0422636532 2091550579 0341204005 1169453804 7325464426 0479594122 4167270607 6731441028 3698615569 9947933786 3789783838 5829991518 1037601365 0218058341 7944190228 0926880299 3425241541 4300090021 1055372661 2125414429 9349272172 5333752665 6605550620 5558450610 3253786958 8361121949 2417723618 5199653627 5260212221 0847786057 9342235500 9443918198 9038906234 1550747726 8041766919 1500918876 1961879460 3091993360 6376719337 6644159792 1249204891 7079005527 7689341573 9395596650 5484628101 0469658502 1566385762 0175231997 6268718746 7514321

　　(如果你想要对这一大串数字进行分解因式获得p和q，那就祝你好运!顺便一提，如果你真的计算出了p和q，那你就破jie了Amazon.com数字签名证书了!)

　　这个VeriSign的加密密钥e是 。当然，他们将解密密钥d保管得十分严密，通常是在拥有视网膜扫描和荷枪实弹的警卫守护的机房当中。在签名之前，VeriSign会根据相关约定的技术文档，对Amazon.com证书上所提供的信息进行校验。一旦证书信息符合相关要求，VeriSign会利用SHA-1哈希算法获取证书的哈希值(hash)，并对其进行声明。在Wireshark中，完整的证书信息会显示在“signedCertificate”(已签名证书)中：

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17]  下一页

Tag:电脑安全教程，电脑安全教程大全，电脑教程 - 电脑安全教程