寫在前面:
TLS(安全傳輸層協議)是HTTPS使用的加密協議,用於在兩個通信應用程序之間提供保密性和數據完整性。TLS協議因其保密性、完整性及認證性,至今仍在互聯網底層架構中佔據重要地位。但隨着網絡技術的快速更新,TLS也已升級到1.3版本。此版本支持0-rtt,砍掉了aead之外的加密方式,安全性大幅增強。
前段時間在某個項目的投標過程中,我們發現有廠商將TLS1.0技術作爲控標參數。虛心請教才知道是將我們半年前已經開源的TLS1.0協議還原而成。哭笑不得之餘,我們花了點時間將TLS1.0的技術原理及旁路解密的技術細節完完整整分享出來。儘管到目前爲止,這類解密方法已經很少有使用場景,但技術總是基於舊版本做新迭代的,希望這個分享可以給大家提供一點技術思路。
需要特別注意的是,TLS 1.0於1999年發行,至今將近有20年。業內都知道該版本易受各種攻擊(如BEAST和POODLE),除此之外,支持較弱加密也是它的弱項,對當今網絡連接的安全已失去應有的保護效力。因此,我們懇切建議仍在使用已淘汰的TLS1.0作爲“核心技術”的廠商,請儘快升級以提高產品安全性。
此外,我們也已將其開源信息上傳至github平臺,後續我們也將在網絡安全這塊進行更多的技術開源,歡迎大家爲我們的開源項目點亮小星星:)
上傳文檔圖片可能有遺漏,需瞭解詳細信息可直達本項目GitHub地址:
https://github.com/qssec/TSL-1.0-protocol-bypass-resolution
正文如下:
