六. TLS协议给我们的启发 — 现代加密通信协议设计

在看了这么多的分析和案例之后，我们已经可以归纳出加密通信协议设计的普遍问题，和常见设计决策，

设计决策点：

四类基础算法加密/MAC/签名/密钥交换如何选择？

对称加密目前毫无疑问应该直接用aead，最佳选择就是 aes-128-gcm/aes-256-gcm/chacha20-poly1305了

数字签名/验证方案，如果是移动互联网，应该考虑直接放弃 RSA，考虑 P-256 的 ECDSA 公钥证书，或者更进一步的 ed25519 公钥证书。

密钥交换算法，目前最佳选择就是 curve25519，或者 P-256。
对称加密算法+认证算法，如何选择？或者直接用aead？
签名算法如何选择？RSA or ECDSA or Ed25519？
考虑将来的算法调整，要加版本号机制吗？

建议是加上，起码在密钥协商的步骤，要加上版本号。便于将来更新算法。
RSA用作密钥交换是一个好的选择吗？考虑PFS

建议直接放弃RSA，RSA服务器端性能比ECDSA更差，签名更大费流量，而且没有前向安全性，给私钥保管带来更大风险。
自建PKI，是个好的选择吗？crl如何解决？

自建PKI可以做到更安全，比如简单的客户端内置数字签名公钥。可是当需要紧急吊销一个证书的时候，只能通过紧急发布新版客户端来解决。
必须用糟糕的openssl吗？or something better？crypto++,botan, nacl/libsodium, polarssl？libsodium: ed25519+curve2519+chacha20+poly1305
重放攻击如何解决？某种seq？或者nonce如何生成？
握手过程被中间人篡改的问题怎么解决？
性能：私钥运算的cpu消耗可以承受吗？加上某种cache？

要解决私钥运算的高cpu消耗，必然就需要 session ticket/session id 这种cache机制。显然session ticket 更好
延迟：密钥协商需要几个rtt？最少多少？加上cache后？和tcp对比如何
TLS的性能(主要指服务器cpu消耗)还有空间可以压榨吗？我能设计一个性能更牛逼的吗？

七. 附录：密码学基础概念

本文已经很长了，基础概念的内容更多，再展开介绍就太长了，下面就列一下点，贴一下参考资料，就先这样,以后再说吧。

当然，最好的资料是下面列的书。

1. 块加密算法 block cipher

AES 等

《AES后分组密码的研究现状及发展趋势》

http://www.ccf.org.cn/resources/1190201776262/2010/04/15/019026.pdf

aead的介绍（作者是大神）

https://www.imperialviolet.org/2015/05/16/aeads.html

3种组合方式之争

http://www.thoughtcrime.org/blog/the-cryptographic-doom-principle/

CBC模式+MAC-then-encrypt的padding oracle 攻击, tls POODLE 漏洞

http://drops.wooyun.org/papers/3194

https://defuse.ca/blog/recovering-cbc-mode-iv-chosen-ciphertext.html

128 bit 和 256 bit key size之争

https://www.schneier.com/blog/archives/2009/07/another_new_aes.html

nist 对 aes gcm 的技术标准，官方权威文档：

http://csrc.nist.gov/groups/ST/toolkit/BCM/documents/proposedmodes/gcm/gcm-spec.pdf

一个gcm的调用范例

https://github.com/facebook/conceal/blob/master/native/crypto/gcm_util.c

DES

1天之内破解DES（2008年）

http://www.sciengines.com/company/news-a-events/74-des-in-1-day.html

iPhone 5S开始，A7芯片也有了aes硬件指令 (ARMv8 指令集)，有825%的性能提升：

http://www.anandtech.com/show/7335/the-iphone-5s-review/4

2. 流加密算法 stream cipher

RC4，ChaCha20 等

序列密码发展现状

http://www.ccf.org.cn/resources/1190201776262/2010/04/15/019018.pdf

rc4 : http://www.rc4nomore.com/

[RC4加密已不再安全，破解效率极高（含视频）] http://www.freebuf.com/news/72622.html

3. Hash函数 hash funtion

MD5，sha1，sha256，sha512 , ripemd 160，poly1305 等

MD5被碰撞:

http://natmchugh.blogspot.com/2014/10/how-i-created-two-images-with-same-md5.html

http://blog.avira.com/md5-the-broken-algorithm/

4. 消息验证码函数 message authentication code

HMAC-sha256，AEAD 等

为什么要用MAC

http://www.happybearsoftware.com/you-are-dangerously-bad-at-cryptography.html

Flickr的漏洞案例：

http://netifera.com/research/flickr_api_signature_forgery.pdf

http://www.ietf.org/rfc/rfc2104.txt

5. 密钥交换 key exchange

DH，ECDH，RSA，PFS方式的（DHE，ECDHE）等

https://blog.cloudflare.com/a-relatively-easy-to-understand-primer-on-elliptic-curve-cryptography/

关于前向安全性( Perfect Forward Secrecy )

http://vincent.bernat.im/en/blog/2011-ssl-perfect-forward-secrecy.html

http://www.cryptopp.com/wiki/Elliptic_Curve_Cryptography

google对openssl里面的椭圆曲线的优化：

http://static.googleusercontent.com/media/research.google.com/en//pubs/archive/37376.pdf

http://www.math.brown.edu/~jhs/Presentations/WyomingEllipticCurve.pdf

ripple从nistp256k1曲线迁移到ed25519

https://ripple.com/uncategorized/curves-with-a-twist/

openssh 6.5 开始支持 ed25519, curve25519, chacha20-poly1305

http://www.openssh.org/txt/release-6.5

6. 公钥加密 public-key encryption

RSA，rabin-williams 等

RSA入门必读（斯坦福，普渡的课件）：

http://crypto.stanford.edu/~dabo/courses/cs255_winter07/rsa.ppt

https://engineering.purdue.edu/kak/compsec/NewLectures/Lecture12.pdf

PKCS1 标准，应用RSA必读：

https://www.ietf.org/rfc/rfc3447

RSA 的公钥为什么比AES的key长？

http://crypto.stackexchange.com/questions/8687/security-strength-of-rsa-in-relation-with-the-modulus-size

http://cryptofails.blogspot.ca/2013/07/saltstack-rsa-e-d-1.html

使用什么padding？ OAEP，为什么不要用PKCS V1.5

http://stackoverflow.com/questions/2991603/pkcs1-v2-0-encryption-is-usually-called-oaep-encryption-where-can-i-confirm-i

http://crypto.stackexchange.com/questions/12688/can-you-explain-bleichenbachers-cca-attack-on-pkcs1-v1-5

http://en.wikipedia.org/wiki/Adaptive_chosen-ciphertext_attack

PKCS #1 — #15标准协议官方网站：

http://www.emc.com/emc-plus/rsa-labs/standards-initiatives/public-key-cryptography-standards.htm

http://arxiv.org/pdf/1207.5446v1.pdf

blinding 一种实现上的技术，用来解决 timing 侧通道攻击的问题

https://en.wikipedia.org/wiki/Blinding_(cryptography)

http://crypto.stanford.edu/~dabo/papers/ssl-timing.pdf

Twenty Years of Attacks on the RSA Cryptosystem:

http://crypto.stanford.edu/~dabo/papers/RSA-survey.pdf

电子信封(digital envelope)

http://www.emc.com/emc-plus/rsa-labs/standards-initiatives/what-is-a-digital-envelope.htm

在openssl的evp接口中有直接支持：

https://wiki.openssl.org/index.php/EVP_Asymmetric_Encryption_and_Decryption_of_an_Envelope

7. 数字签名算法 signature algorithm

RSA，DSA，ECDSA (secp256r1 , ed25519) 等

三大公钥体制：RSA，DSA，ECDSA

RSA目前是主流，占据绝大多数市场份额

DSA已经被废弃

ECDSA是未来的趋势，例如bitcoin就用ECDSA

https://blog.cloudflare.com/ecdsa-the-digital-signature-algorithm-of-a-better-internet/

https://blog.cloudflare.com/a-relatively-easy-to-understand-primer-on-elliptic-curve-cryptography/

8. 密码衍生函数 key derivation function

TLS-12-PRF(SHA-256) , bcrypto，scrypto，pbkdf2 等

hkdf： http://tools.ietf.org/html/rfc5869

https://cryptography.io/en/latest/hazmat/primitives/key-derivation-functions/

9. 随机数生成器 random number generators

/dev/urandom 等

[现代密码学实践指南[2015年]] https://blog.helong.info/blog/2015/06/05/modern-crypto/

八. 参考文献：

TLS/SSL 相关RFC及标准

[TLS 1.2] 链接 https://tools.ietf.org/html/rfc5246
[TLS 1.3 draft specification] 链接 https://github.com/tlswg/tls13-spec
[AES GCM for TLS] 链接 https://tools.ietf.org/html/rfc5288
[ECC cipher suites for TLS] 链接 https://tools.ietf.org/html/rfc4492
[TLS extensions] 链接 https://tools.ietf.org/html/rfc6066
[Application-Layer Protocol Negotiation Extension] 链接 https://tools.ietf.org/html/rfc7301
[X.509 PKI] 链接 https://tools.ietf.org/html/rfc4210
[X.509 PKI and CRLs] 链接 https://tools.ietf.org/html/rfc5280
[美国国家标准局NIST 的密码学标准] 链接 http://csrc.nist.gov/groups/ST/toolkit/index.html
[NIST SP 800-90A ] 链接 http://csrc.nist.gov/publications/nistpubs/800-90A/SP800-90A.pdf
[nsa 的 SuiteB 密码学标准] 链接 https://www.nsa.gov/ia/programs/suiteb_cryptography/
[TLS on wikipedia] 链接 https://en.wikipedia.org/wiki/Transport_Layer_Security

协议分析文章

http://www.root.org/talks/TLS_Design20071129_2.pdf
[20 Years of SSL/TLS Research An Analysis of the Internet’s Security Foundation] 链接 http://www-brs.ub.ruhr-uni-bochum.de/netahtml/HSS/Diss/MeyerChristopher/diss.pdf
https://www.slideshare.net/yassl/securing-data-in-transit
http://security.stackexchange.com/questions/20803/how-does-ssl-tls-work
[SSL/TLS in Detail] 链接 https://technet.microsoft.com/en-us/library/cc785811(v=ws.10).aspx
[SSL/TLS] 链接 http://www.spiegel.de/media/media-35511.pdf
[The Sorry State Of SSL] 链接 https://hynek.me/talks/tls/
[What’s the matter with TLS?] 链接 http://hyperelliptic.org/internetcrypto/OpenSSLPresentation.pdf
http://blog.csdn.net/CaesarZou/article/details/9331993
)
[X.509 PKI and CRLs] 链接 https://tools.ietf.org/html/rfc5280
[Layman’s Guide to ASN.1] 链接 http://luca.ntop.org/Teaching/Appunti/asn1.html

实际部署调优相关

https://bit.ly/gottls
https://istlsfastyet.com/
https://www.imperialviolet.org/
https://letsencrypt.org/
http://chimera.labs.oreilly.com/books/1230000000545/ch04.to/crypto.html
[RSA Conference 2015 : New Trends In Cryptographic Algorithm Suites Used For TLS Communications] 链接 http://www.rsaconference.com/writable/presentations/file_upload/dsp-f03-new-trends-in-cryptographic-algorithm-suites-used-for-tls-communications.pdf

密码学相关

[Stanford Cryptography open course] 链接 https://www.coursera.org/course/crypto
[crypto101，一本很棒的开源电子书] 链接 http://crypto101.io
[现代密码学理论与实践] 链接 https://book.douban.com/subject/1172109/ – 毛文波
[现代密码学:原理与协议] 链接 http://book.douban.com/subject/5954556/ – Katz and Lindell
[“Modern Crypto: 15 Years of Advancement in Cryptography” — 2015 defcon 大会Steve Weis 演讲] 链接 http://saweis.net/pdfs/weis-modern-crypto-defcon-2015.pdf
强烈建议不要看90年代的书，普遍严重过时，比如《应用密码学：协议、算法与C源程序（原书第2版）》
[DJBs crypto page] 链接 http://cr.yp.to/crypto.html
[DJBs entropy attacks] 链接 http://blog.cr.yp.to/20140205-entropy.html
[Cryptographic Right Answers] 链接 https://gist.github.com/tqbf/be58d2d39690c3b366ad
http://www.slideshare.net/yassl/securing-data-in-transit
[Schneier 关于密码学2010年现状的评述] 链接 <https://www.schneier.com/blog/archives/2013/07/is_cryptography.html
http://security.stackexchange.com/questions/2202/lessons-learned-and-misconceptions-regarding-encryption-and-cryptology
http://chargen.matasano.com/chargen/2009/7/22/if-youre-typing-the-letters-a-e-s-into-your-code-youre-doing.html
http://kodu.ut.ee/~swen/publications/articles/laur-thesis-binded.pdf
https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/study-on-cryptographic-protocols
https://github.com/sweis/crypto-might-not-suck
[Cryptographic Best Practices in the Post-Snowden Era] 链接 http://pages.uoregon.edu/joe/crypto-bcp/crypto-bcp.pdf
[Crypto War] 链接 http://en.wikipedia.org/wiki/Crypto_Wars
[52 Things People Should Know To Do Cryptography] 链接 http://www.cs.bris.ac.uk/Research/CryptographySecurity/knowledge.html
http://bristolcrypto.blogspot.com/
https://www.schneier.com/
https://www.imperialviolet.org/2015/05/16/aeads.html
https://crypto.stanford.edu/~dabo/cryptobook/draft_0_2.pdf
http://saweis.net/pdfs/weis-modern-crypto-defcon-2015.pdf

TLS协议分析 (九) 现代加密通信协议设计

六. TLS协议给我们的启发 — 现代加密通信协议设计

七. 附录：密码学基础概念

1. 块加密算法 block cipher

2. 流加密算法 stream cipher

3. Hash函数 hash funtion

4. 消息验证码函数 message authentication code

5. 密钥交换 key exchange

6. 公钥加密 public-key encryption

7. 数字签名算法 signature algorithm

8. 密码衍生函数 key derivation function

9. 随机数生成器 random number generators

八. 参考文献：

TLS/SSL 相关RFC及标准

协议分析文章

实际部署调优相关

密码学相关

相关开源项目

六. TLS协议给我们的启发 — 现代加密通信协议设计

七. 附录：密码学基础概念

1. 块加密算法 block cipher

2. 流加密算法 stream cipher

3. Hash函数 hash funtion

4. 消息验证码函数 message authentication code

5. 密钥交换 key exchange

6. 公钥加密 public-key encryption

7. 数字签名算法 signature algorithm

8. 密码衍生函数 key derivation function

9. 随机数生成器 random number generators

八. 参考文献：

TLS/SSL 相关RFC及标准

协议分析文章

实际部署调优相关

密码学相关

相关开源项目

你可能也喜欢