D-H算法的数学基础是离散对数的数学难题,其加密过程如下:
(1)客户端与服务端确定两个大素数 n和 g,这两个数不用保密
(2)客户端选择另一个大随机数x,并计算A如下:A = g^x mod n
(3)客户端将 A 发给服务端
(4)服务端选择另一个大随机数y,并计算B如下:B = g^y mod n
(5)服务端将B发给客户端
(7)计算秘密密钥K1如下:K1=B^2 mod n , 计算秘密密钥K2如下:K2=A^y mod n , K1=K2,因此服务端和客户端可以用其进行加解密
How QUIC works?
一、基于TCP+TLS的HTTP2建连
出于HTTP的明文和无法验证服务器的真实性,在TCP的基础上引入了TLS协议,目前广泛使用的HTTPS是基于TCP+TLS协议,HTTP2也被主流浏览器默认支持TLS。
但对于建立连接的耗时而言,TCP本身就需要握手时延,而TLS协议为了使得客户端和服务器端在不安全的网络通信中协商出后续安全通信所需的加密私钥,更是要经过额外2次RTT(RoundTrip Time往返时间)
图3 TCP+TLS建连过程
除了TCP建立连接过程,TLS握手过程要经过如下步骤:
1、客户端提供加密套件(算法)列表,版本等信息
2、服务器端提供自己的证书,选择的加密套件,非对称加密公钥(自己保留私钥)等
3、客户端提供自己的证书,用服务器公钥和加密套件加密的自己的私钥
4、服务端用保留的私钥解密客户端传来的加密私钥,得到的私钥即为后续加密传输使用的对称密钥,最后完成握手
此时,双方协商出了对称密钥。基于TCP+TLS的HTTP2建连过程结束,大约需要耗时200-300ms。
二、 QUIC建连
为了保证安全,QUIC也是加密传输数据的,所以在QUIC的建连过程中也需要双方协商出一个加密私钥。但与TLS不同,QUIC采用的加密算法仅需要一个RTT就能实现密钥交换,并且该算法也被用于目前正在草案阶段的TLS1.3协议。该就是Diffie-Hellman密钥交换算法。
图4 Diffie-Hellman算法
可以看到,客户端和服务端各自保留了自己的私钥a和b,通过交换各自的公钥B和A,以及基底G和很大的质数P,双方就能计算出相等的私钥S,这个S就是加密传输的对称密钥。
另外,根据离散对数的不可逆,即使拿到G,P,和质数B,也很难推导出私钥b(同理私钥a),也就保证了计算密钥的安全。
该过程对应到QUIC建连的过程中如下图。
图5 1RTT建连
1、客户端发起Inchoate client hello
2、服务器返回Rejection,包括密钥交换算法的公钥信息,算法信息,证书信息等被放到server config中传给客户端
3、客户端发起client hello,包括客户端公钥信息
此时,双方各自计算出了对称密钥。QUIC的1RTT建连过程结束,平均只耗时100ms以内。
后续发起连接的过程中,一旦客户端缓存或持久化了server config,就可以复用并结合本地生成的私钥进行加密数据传输了,不需要再次握手,从而实现0RTT建立连接。