SSL/TLS握手协议细节与密钥交换

1. 基础概念回顾与扩展
   SSL/TLS握手协议是建立安全通信通道的核心过程，但仅了解基本步骤不够。本词条聚焦于握手协议中密钥交换的具体实现方式及其安全性演进。密钥交换的目标是让客户端和服务器在不安全的网络中协商出一个只有双方知道的会话密钥，用于后续通信的对称加密。

2. 密钥交换的核心方法：从RSA到DH

   • RSA密钥交换（传统方式）：
     客户端生成一个随机数（预主密钥），用服务器公钥加密后发送给服务器。服务器用私钥解密得到预主密钥。双方基于此生成相同的会话密钥。
     弱点：不支持前向保密。若服务器私钥泄露，过往所有通信可能被解密。
   • Diffie-Hellman（DH）密钥交换：
     双方通过交换公开参数（如大素数、生成元），各自生成临时公私钥对，计算出一个共享密钥，即使中途流量被截获也无法推算密钥。
     演进：
     • 静态DH：服务器公钥固定，仍缺乏前向保密。
     • 临时DH（DHE）：每次握手使用临时密钥，实现前向保密。
     • 椭圆曲线DH（ECDHE）：基于椭圆曲线密码学，计算量更小、安全性更高，是现代TLS的主流选择。

3. 握手协议中密钥交换的实际流程
   以TLS 1.3为例，简化步骤：

   • 客户端发送“ClientHello”，包含支持的密码套件（如TLS_AES_128_GCM_SHA256）及临时公钥（如ECDHE公钥）。
   • 服务器回复“ServerHello”，选定密码套件并发送自己的临时公钥。
   • 双方通过ECDHE交换计算出预主密钥，结合握手随机数生成主密钥，再派生出会话密钥。
     关键点：TLS 1.3已完全废弃RSA密钥交换，强制使用前向保密方案（如ECDHE）。

4. 密钥交换的安全性依赖条件

   • 随机数生成质量：伪随机数漏洞可能导致密钥被破解。
   • 参数强度：DH的大素数需足够长（如2048位），椭圆曲线需选择安全曲线（如P-256）。
   • 身份验证：密钥交换需与数字证书绑定，防止中间人攻击（例如，服务器用证书私钥签名临时公钥）。

5. 现实中的风险与配置

   • 弱密码套件：若服务器支持不安全的交换方式（如静态DH），可能被降级攻击。
   • 密钥复用：会话密钥不应长期使用，TLS支持会话票据和会话恢复时需确保密钥刷新。
   • 监控与配置建议：使用工具（如SSL Labs测试）检查密钥交换配置，禁用旧协议，优先启用ECDHE。

通过理解密钥交换的机制与演进，可深入把握TLS握手如何平衡效率与安全，并为实际部署提供硬化依据。