Wireshark解密SSL/TSL加密数据
in with 0 comment

Wireshark解密SSL/TSL加密数据

in with 0 comment

解密方式

  1. Pre-Master-Secret log解密

  2. RSA key解密

Pre-Master-Secret

Pre-Master-Secret是在TLS/SSL握手过程的client_key_exchange阶段由浏览器根据自己生成的随机数生成。
用于后续的对称加密阶段的秘钥协商。具体要了解SSL握手过程的童鞋可以参考这几篇文章,写的很详细。

https://blog.csdn.net/hherima/article/details/52469267
https://blog.csdn.net/hherima/article/details/52469360
https://blog.csdn.net/hherima/article/details/52469488
https://blog.csdn.net/hherima/article/details/52469674
https://blog.csdn.net/hherima/article/details/52469787

当客户端获取到SSL握手阶段产生的两个随机数random_C和random_S与自己计算得到的Pre-Master-Secret时,就可以
利用公式enc_key=Fuc(random_C, random_S, Pre-Master)计算得到对称加密阶段的秘钥。

Pre-Master-Secret log方式解密SSL

其本质是利用浏览器导出它生成的两个随机数,其中一个是就是Pre-Master-Secret,它在后续将通过服务端证书的公钥加密后发送给服务器,服务器解密后就通过客户端随机数Random_C,和服务器自己生成的随机数random_S利用上述公式完成对称私钥的计算。

导出Pre-Master-Secret

设置环境变量SSLKEYLOGFILE变量的值填写一个路径及文件名,在linux下保证这个路径具有可写权限。浏览器会自动根据这个环境变量生成文件,将两个随机数进行存储。

wireshark设置

导出秘钥后,在wiresahrk->preference->protocols->ssl->pre-master-secret log filename中选择上述环境变量对应的文件。
之后wireshark会自动根据所配置的变量对加密内容进行解密。
解密成功后的效果:
decripted1.png
decripted2.png

RSA key解密

在CTF中可能会出现流量分析获取RSA private key并利用其解密的操作。
获取到RSA private key之后,在wireshark中选择wiresahrk->preference->protocols->ssl 编辑 RSA key list,
分别填写通信目的IP, 端口, 协议, Key File, 密码
这里的IP,端口支持0通配{0.0.0.0:0}
key File :私钥证书文件,这里必须保证证书格式为PEM,或者PKCS12,若私钥本身需要密码,需要填写私钥密码。
edit.png

解密后的效果

decripted3.png

常用加密算法的原则和注意点

1,如果工程中涉及任何安全加密相关的内容,绝对绝对不要尝试自己实现加密算法。

对称加密

  1. AES,配合不同的工作模式,它既可以用于分组加密,也可以用于流加密,保证安全性的同时在大多数平台上都有不俗的性能表现。

  2. 128位的AES已经足够安全,256位的AES现阶段并非必要

  3. 流加密算法用ChaCha20(或Salsa20),不考虑RC4

hash算法相关

1.MD5、SHA-1已经相继被发现可以被恶意碰撞,SHA_256暂时是安全的

非对称加密

1.非对称加密通常更慢

  1. RSA公钥长度至少选择2048位,1024位已经不再安全。

参考文章

https://gloxec.github.io/2018/05/04/decryptedSSLpackets/
https://blog.csdn.net/javajiawei/article/details/50622749
https://blog.csdn.net/u010726042/article/details/53408077
https://blog.csdn.net/u010536377/article/details/78989931
https://blog.csdn.net/linuxnews/article/details/51900900
https://blog.csdn.net/hherima/article/details/52469674
https://blog.csdn.net/hherima/article/details/52469360
https://blog.csdn.net/hherima/article/details/52469488
https://blog.csdn.net/tuhuolong/article/details/42778945
https://blog.csdn.net/qmickecs/article/details/72669595

Responses