[CS] TLS/SSL HandShake

파란색 : TCP의 3-way handshake로 HTTPS가 TCP 기반의 프로토콜이기 때문에 암호화 협상(SSL Handshake)에 앞서 연결을 생성하기 위해 실시하는 과정
노란색 : SSL Handshake

✅ Client Hello : 클라이언트가 서버에 연결을 시도하며 전송하는 패킷

자신이 사용 가능한 Cipher SUite 목록, Session ID, SSL 프로토콜 버전, Random Byte 등을 전달
Cipher Suite는 SSL Protocol version, 인증서 검정, 데이터 암호화 프로토콜, Hash 방식 등의 정보를 담고 있는 존재로 선택된 Cipher Suite의 알고리즘에 따라 데이터를 암호화 함

→ 클라이언트가 사용가능한 Cipher Suite를 서버에 제공하는 것을 알 수 있음

✅ Server Hello : 클라이언트가 보내온 Client Hello Packet을 받아 Cipher Suite 중 하나를 선택한 다음 클라이언트에 이를 알림

→ 17개였던 Cipher Suite에서 서버가 선택한 Cipher Suite만 존재하는 것을 알 수 있음

✅ Certificate : 서버가 자신의 SSL 인증서를 클라이언트에게 전달

인증서 내부에는 서버가 발행한 공개키(+개인키는 서버가 소유)
클라이언트는 서버가 보낸 CA의 개인키로 암호화된 SSL 인증서를 이미 모두에게 공개된 CA의 공개키를 사용하여 복호화 (복호화에 성공하면 진짜임이 증명되는 것)
클라이언트는 데이터 암호화에 사용할 대칭키(비밀키)를 생성한 후 SSL 인증서 내부에 들어있던 (서버가 발행한) 공개키를 이용해 암호화하여 서버에게 전송

→ SSL이 무슨 알고리즘으로 암호화되었고, 무슨 Hash알고리즘으로 서명되었는지 확인 가능

✅ Server Key Exchange/ Server Hello Done

‘Server Key Exchange’는 서버의 공개키가 SSL 인증서 내부에 없는 경우, 서버가 직접 전달함을 의미
- 공개키가 SSL 인증서 내부에 있을 경우 Server Key Exchange는 생략됨
인증서 내부에 공개키가 있다면 클라이언트가 CA의 공개키를 통해 인증서를 복호화한 후 서버의 공개키를 확보할 수 있음 → 서버가 행동을 마쳤음을 전달

키 교환 알고리즘 : Diffie-Hellmen 알고리즘 → Server Key Exchange 발생

✅ Client Key Exchange

대칭키(데이터를 실제로 암호화하는 키)를 클라이언트가 생성하여 SSL 인증서 내부에서 추출한 서버의 공개키를 이용해 암호화한 후 서버에게 전달
RSA 키교환 알고리즘을 사용하게되면 클라이언트가 대칭키(비밀키)를 생성하여 인증서 내부에 들어 있던 서버의 공개키로 암호화한 후 전달하게 됨

사진의 경우 Diffie-Hellman(DH, DHE 등)알고리즘을 사용
DH 알고리즘과 타원곡선 암호인 ECDHE (Elliptic Curve DHE)를 사용하게 되면 클라이언트가 데이터를 암호화할 대칭키를 보내는 것이 아니라 대칭키를 생성할 재료를 클라이언트와 서버가 교환하게 됨
→ 서로 교환한 각자의 재료를 합쳐 동일한 대칭키를 만들 수 있음

✅ Client Cipher Spec/ Finished

[CS] Blocking/Non-blocking & Synchronous/Asynchronous (1)	2024.01.30
[CS] Load Balancing (로드밸런싱) (0)	2024.01.26
[CS] HTTP & HTTPS (0)	2024.01.26
[CS] 대칭키 & 공개키 (1)	2023.11.29
[CS] UDP (0)	2023.11.29

티스토리툴바