SSL&TLS Handshake

📖SSL(Secure Sockets Layer)/TLS(Transport Layer Security)

클라이언트와 서버가 서로 데이터를 암호화하여 통신할 수 있도록 돕는 보안 프로토콜

• 특정 네트워크 계층에 속하는 프로토콜이 아니라, 독자적으로 존재하는 프로토콜
• TLS가 SSL의 뉴 버전(대다수의 보안 프로토콜이 TLS, but 계속 SSL이라고 부름)
• 대칭키와 공개키 암호화 방식을 적절히 혼합한 하이브리드 알고리즘

대칭키와 공개키 암호화 방식을 조합해서 사용하는 이유

• 실제 전송되는 데이터의 암호화 : 대칭키 암호화 방식
• 키 교환 : 비대칭키 암호화
  🔖공개키암호화 방식만을 사용 많은 접속이 몰리는 서버는 매우 큰 비용을 지불해야 함 🔖대칭키 암호화 방식만을 사용 대칭키를 상대방에게 전송할 때, 암호화가 되지 않은 인터넷을 통해 키를 전송하는 것은 위험
  → 대칭키를 공유할 때(대칭키를 암호화할 때)는 속도는 느리지만 데이터를 안전하게 주고 받을 수 있는 공개키 암호화 방식을 사용 → 실제 데이터를 주고 받을 때는 대칭키 암호화 방식을 사용

📖SSL 동작 과정

📎Handshake(악수)

1. Client(브라우저) : “Client Hello” 메세지에 다음과 같은 정보를 담아 서버로 전송

• 클라이언트가 사용하는 SSL/TLS 버전 정보
• 클라이언트가 지원하는 암호화 방식
• 클라이언트가 순간적으로 생성한 임의의 난수

2. Server : 응답으로 “Server Hello” 메세지에 다음과 같은 정보를 담아 전송

• 서버의 공개키가 담긴 SSL 인증서
• 서버가 순간적으로 생성한 임의의 난수

3. Client : 서버가 보낸 SSL 인증서가 CA 리스트에 있는지 확인 → CA 리스트에 없다면 사용자에게 경고 메세지 출력

CA 리스트에 있는지 어떻게 확인하나요?

클라이언트에 내장된 CA의 공개키를 이용해서 인증서를 복호화 복호화에 성공 시 → 인증서는 CA의 개인키로 암호화된 문서임이 암시적으로 보증이 된 것

4. Client : 자신이 생성한 난수와 서버가 생성한 난수를 사용해 premaster secret key를 생성해 서버의 공개키를 사용하여 암호화 한 뒤 서버로 전송
5. Server : 자신의 비밀키로 클라이언트가 전송한 premaster secret key를 복호화 → 복호화한 값을 master secret값으로 저장 → 이 값을 이용해 session key 생성 즉, premaster key → master key → session key
6. Handshake 단계 종료

📎Session(세션)

서버와 클라이언트가 실제로 데이터를 주고 받는 단계

• session key : 서버와 클라이언트가 서로 공유

1. session key를 이용하여 데이터를 대칭키 방식으로 암호화해 데이터를 전송
2. session key를 이용하여 데이터를 대칭키 방식으로 복호화해 데이터를 받음

📎Session End(세션 종료)

1. 데이터의 전송이 끝나면 SSL 통신이 끝났음을 서로에게 알림
2. session key 폐기