在 TLS 握手过程中,三个随机数 是生成最终会话密钥的核心要素,它们共同保障通信的前向保密性 和会话唯一性。以下是详细解析:
三个随机数的定义与作用
| 随机数 | 来源 | 长度 | 核心作用 |
|---|---|---|---|
| Client Random | 客户端生成 | 32字节 | 包含客户端支持的TLS版本、时间戳和随机字节,防止重放攻击。 |
| Server Random | 服务器生成 | 32字节 | 包含服务器选定的TLS版本、时间戳和随机字节,确保会话独立性。 |
| PreMaster Secret | 客户端生成 | 48字节 | 核心密钥材料(如RSA加密传输或DH交换生成),用于推导主密钥(Master Secret)。 |
密钥生成流程
三方共同参与生成最终密钥:
- 输入 :
Master Secret = PRF(PreMaster Secret, "master secret", Client Random + Server Random)
(PRF= 伪随机函数,TLS 1.2+默认用SHA-256) - 最终会话密钥 :
会话密钥 = PRF(Master Secret, "key expansion", Client Random + Server Random)
(包括对称加密密钥、MAC密钥、初始化向量等)
为什么需要三个随机数?
- 防御重放攻击
- 若缺少
Client Random或Server Random,攻击者可重放旧握手数据,服务器无法区分新旧会话。
- 若缺少
- 保障前向保密
- 即使服务器私钥泄露(如RSA密钥交换),攻击者也无法解密历史会话------因为
PreMaster Secret是临时生成的,且依赖随机数生成主密钥。
- 即使服务器私钥泄露(如RSA密钥交换),攻击者也无法解密历史会话------因为
- 会话唯一性
- 三个随机数确保每次会话的密钥唯一。即使同一客户端反复连接,密钥也不同(避免关联攻击)。
能否去掉某个随机数?
场景分析
| 随机数 | 能否去掉? | 后果 |
|---|---|---|
| Client Random | ❌ 不可 | 服务器无法验证客户端 freshness,重放攻击风险激增。 |
| Server Random | ❌ 不可 | 客户端无法验证服务器 freshness,中间人可伪造服务器响应。 |
| PreMaster Secret | ❌ 不可 | 无核心密钥材料,无法生成会话密钥(TLS 1.3已通过DH直接共享替代此步骤)。 |
特殊说明(TLS 1.3):
PreMaster Secret被 (EC)DHE共享密钥 替代,但Client Random和Server Random仍保留,用于密钥推导和防重放。- TLS 1.3中密钥计算:
Master Secret = HKDF-Extract(Shared Secret, Client Random + Server Random)
各版本中的演进
- TLS 1.0--1.2 :
显式传输PreMaster Secret(RSA加密)或通过DH交换生成。 - TLS 1.3 :
- 移除
PreMaster Secret概念,直接由(EC)DHE交换生成共享密钥。 Client Random/Server Random仍参与密钥派生(HKDF)。
- 移除
安全意义
- 随机性质量要求 :
三个随机数必须由密码学安全的随机数生成器 (CSPRNG)产生。
(如2012年Android随机数漏洞导致私钥泄露) - 长度不可缩减 :
32字节长度可抵御暴力破解(2²⁵⁶搜索空间)。
总结
| 关键点 | 说明 |
|---|---|
| 三个随机数缺一不可 | 共同实现会话唯一性、前向保密性和身份验证。 |
| TLS 1.3的优化 | 移除 PreMaster Secret 的显式传输,但随机数参与密钥派生的核心逻辑不变。 |
| 实践建议 | 确保系统熵源充足(如Linux的/dev/urandom),避免随机数重复。 |
可通过抓包工具(如Wireshark)查看
Client Hello和Server Hello中的随机数字段(各32字节),而PreMaster Secret在RSA密钥交换中可见为加密的48字节数据。