國家機密SSL VPN客戶端(瀏覽器);
Wireshark客戶端(支持state secret協議版本,github地址)用於查看握手數據。
打開wireshark客戶端並監控相應的網卡。可以通過wireshark在聯網時檢查哪個網卡有網絡波動,選擇對應的網卡。
Wireshark設置基於IP過濾,設置SSL VPN連接的國家秘密服務器的IP過濾。IP地址是用於安全訪問的網關或安全服務的地址。
這時候就可以通過GMTLS協議看到握手數據了。根據要求,我們對其進行詳細分析。
客戶端向服務器發送客戶端Hello消息,傳輸客戶端支持的最高SSL協議的版本號、隨機數、加密算法列表等所需信息。客戶端Hello消息的內容如下圖所示:
服務器收到客戶端建立SSL連接的請求後,通過發送服務器Hello消息將SSL協議的版本號、隨機數、會話ID、加密算法等相關信息發送給客戶端。該消息內容如下:
同時,服務器向客戶端發送包含其證書的證書消息。證書中攜帶的服務器公鑰。如下圖所示:
發送證書請求消息,要求服務器上報證書,如下圖所示:
客戶端發送客戶端密鑰交換和更改Crypter Spec的消息,客戶端密鑰交換包含用服務器公鑰加密的隨機數Pre_Master_Secret,用於以後生成主密鑰。(這裏客戶端用上面提到的兩個隨機數生成第三個隨機數,然後通過服務器證書中的公鑰加密第三個隨機數,生成pre _ master _ secret)* *;更改密碼規範消息告知服務器下壹條消息將使用新協商的加密套件和密鑰進行通信,並通知客戶端來自服務器的握手過程已經結束。如下圖所示:
服務器還發送更改密碼器SPE消息以通知服務器和客戶端之間握手過程的結束,並發送加密的握手消息。消息被解密後,客戶端對其進行驗證。如果驗證通過,說明握手過程中的數據沒有被篡改,也說明服務器是之前交換證書的持有者。現在雙方都可以開始加密通信了。如下圖所示: