这阵子在看加密协议,因此读了一下TLS1.2的RFC了解一下。主要重点是关注一些可能出现内存洞的地方,思考下后面该怎么进行fuzz。
TLS协议简介
SSL全称是Secure Sockets Layer,安全套接字层。其实感性点来讲,在我印象里就是https协议中,用来加密http协议内容的东西。毕竟http请求都是明文的,如果你的请求里包含一些敏感信息像身份证号,银行的账号密码什么的。你的这些信息就很容易被劫持和泄漏。
比如我在我合租房间的路由器上,放一个劫持流量的程序。假如我的舍友们都用http协议来访问和登陆网站,那么我就可以劫持到他们的明文流量得知他们的账号和密码。如果他们的流量是用tls加密过的,比如https协议。那么即使我可以看到他们的流量我也无法得知他们访问的具体内容以及账号密码。
HMAC
HMAC是一种基于密钥的认证码算法,全称是Hash-based Message Authentication Code,是一种更安全的信息摘要算法。HMAC的作用是通过一个共享的密钥和一个哈希加密函数,来对数据进行完整性和身份验证。它可以与任何哈希函数配合使用。