Compartilhar via

Protocolo de handshake TLS

  • Artigo

O Protocolo de Handshakede Segurança da Camada de Transporte(TLS) é responsável pela autenticação e troca de chaves necessária para estabelecer ou retomar sessões seguras. Ao estabelecer uma sessão de segura, o Protocolo handshake gerencia o seguinte:

  • Negociação do conjunto de criptografias
  • Autenticação do servidor e, opcionalmente, do cliente
  • Troca de informações de chave de sessão.

Negociação do Cipher Suite

O cliente e o servidor fazem contato e escolhem o conjunto de criptografias que será usado durante a troca de mensagens.

Autenticação

No TLS, um servidor prova sua identidade para o cliente. O cliente também pode precisar provar sua identidade para o servidor. A PKI, o uso de pares de chaves públicas/privadas, é a base dessa autenticação. O método exato usado para autenticação é determinado pelo conjunto de criptografias negociado.

Troca de chaves

O cliente e o servidor trocam números aleatórios e um número especial chamado segredo de pré-mestre. Esses números são combinados com dados adicionais que permitem que o cliente e o servidor criem seu segredo compartilhado, chamado de Segredo Mestre. O Segredo Mestre é usado pelo cliente e pelo servidor para gerar o segredo mac de gravação, que é a chave de sessão usada para de hash e a chave de gravação, que é a chave de sessão usada para criptografia.

Estabelecendo uma sessão segura usando o TLS

O Protocolo de Handshake TLS envolve as seguintes etapas:

  1. O cliente envia uma mensagem "Olá do cliente" para o servidor, juntamente com o valor aleatório do cliente e conjuntos de criptografia compatíveis.
  2. O servidor responde enviando uma mensagem "Olá do servidor" para o cliente, juntamente com o valor aleatório do servidor.
  3. O servidor envia seu certificado ao cliente para autenticação e pode solicitar um certificado do cliente. O servidor envia a mensagem "Servidor olá concluído".
  4. Se o servidor solicitou um certificado do cliente, o cliente o enviará.
  5. O cliente cria um segredo pré-mestre aleatório e o criptografa com a chave pública do certificado do servidor, enviando o segredo pré-mestre criptografado para o servidor.
  6. O servidor recebe o segredo pré-mestre. O servidor e o cliente geram cada um o Segredo Mestre e chaves de sessão com base no Segredo Pré-Mestre.
  7. O cliente envia a notificação "Alterar especificação de criptografia" para o servidor para indicar que o cliente começará a usar as novas chaves de sessão para de hash e criptografar mensagens. O cliente também envia uma mensagem "Cliente concluído".
  8. O servidor recebe "Alterar especificação de criptografia" e alterna o estado de segurança da camada de registro para de criptografia simétrica usando as chaves de sessão . O servidor envia uma mensagem "Servidor concluído" para o cliente.
  9. O cliente e o servidor agora podem trocar dados do aplicativo pelo canal seguro que estabeleceram. Todas as mensagens enviadas de cliente para servidor e de servidor para cliente são criptografadas usando a chave de sessão.

Retomando uma sessão segura usando TLS

  1. O cliente envia uma mensagem "Olá do cliente" usando a ID da sessão a ser retomada.

  2. O servidor verifica o cache de sessão para obter uma ID de sessão correspondente. Se uma correspondência for encontrada e o servidor puder retomar a sessão, ele enviará uma mensagem "Olá do servidor" com a ID da Sessão.

    Nota

    Se uma correspondência de ID de sessão não for encontrada, o servidor gerará uma nova ID de sessão e o cliente e o servidor do TLS executarão um handshake completo.

     

  3. Cliente e servidor devem trocar mensagens "Alterar especificação de criptografia" e enviar mensagens "Cliente concluído" e "Servidor concluído".

  4. O cliente e o servidor agora podem retomar a troca de dados do aplicativo pelo canal seguro.