SSL相关术语介绍(三）

​

Session ID

Session ID 完成SSL握手后会获得一个编号（Session ID）。如果对话中断，下次重连的时候，只要客户端给出这个编号，且服务器有这个编号的缓存，双方就可以重新使用已有的"对话密钥"，而不必重新生成一把（握手的主要开销）。 因为要缓存每个连接的握手参数，服务端存储开销会比较大。

Session Ticket

Session ticket获得方式和SessionID类似，但是使用时是在每次握手时由服务器进行解密，获得加密参数。服务端无需维持握手参数，可以减少内存开销。

POODLE

POODLE(贵宾犬漏洞 CVE-2014-3566)，贵宾犬漏洞的根本原因是CBC模式在设计上的缺陷，具体来说就是CBC只对明文进行了身份验证，但是没有对填充字节进行完整性校验。这使得攻击者可以对填充字节修改并且利用填充预示来恢复加密内容，让POODLE攻击成为可能的原因是SSL3中过于松散的填充结构和校验规则。

TLS POODLE

TLS POODLE(TLS 贵宾犬漏洞 CVE-2014-8730) 该漏洞的原理和POODLE漏洞的原理一致，但不是SSL3协议，而是在TLS协议上，TLS协议本身没有问题，但是在其实现上。一些开发人员在进行SSL3到TLS的转换的时候，没有遵守协议规定的填充要求，使得他们的实现容易受到POODLE攻击的威胁

DROWN

一句话概括：“使用SSLv2对TLS进行交叉协议攻击”

DROWN(CVE-2016-0800) DROWN表示仅支持SSL2是对现代服务器和客户端的威胁，它允许攻击者通过讲探测发送到支持SSLv2的服务器并使用相同的私钥来解密最新客户端和服务器之间的TLS连接，如果如果服务器容易受到DROWN的影响，有两种原因：

服务器允许SSL2连接

私钥用于允许SSL2连接的其他服务器，即使是另一个支持SSL/TLS的协议，例如，Web服务器和邮件服务器上使用相同的私钥和证书，如果邮件服务器支持SSL2，即使web服务器不支持SSL2，攻击者可以利用邮件服务器来破坏与web服务器的TLS连接。

BEAST

BEAST(CVE-2011-3389) BEAST攻击针对TLS1.0和更早版本的协议中的对称加密算法CBC模式，初始化向量IV可以预测，这就使得攻击者可以有效的讲CBC模式削弱为ECB模式，ECB模式是不安全的

Downgrade

Downgrade attack(降级攻击 ) 降级攻击是一种对计算机系统或者通信协议的攻击，在降级攻击中，攻击者故意使系统放弃新式、安全性高的工作方式，反而使用为向下兼容而准备的老式、安全性差的工作方式，降级攻击常被用于中间人攻击，讲加密的通信协议安全性大幅削弱，得以进行原本不可能做到的攻击。 在现代的回退防御中，使用单独的信号套件来指示自愿降级行为，需要理解该信号并支持更高协议版本的服务器来终止协商，该套件是TLSFALLBACKSCSV(0x5600)

MITM

MITM(Man-in-the-middle) ，是指攻击者与通讯的两端分别创建独立的联系，并交换其所有收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方直接对话，但事实上整个对话都被攻击者完全控制，在中间人攻击中，攻击者可以拦截通讯双方的通话并插入新的内容。一个中间人攻击能成功的前提条件是攻击者能够将自己伪装成每个参与会话的终端，并且不被其他终端识破。

Openssl Padding Oracle

Openssl Padding Oracle(CVE-2016-2107) openssl 1.0.1t到openssl 1.0.2h之前没有考虑某些填充检查期间的内存分配，这允许远程攻击者通过针对AES CBC会话的padding-oracle攻击来获取敏感的明文信息。

CCS

CCS(openssl MITM CCS injection attack CVE-2014-0224) 0.9.8za之前的Openssl，1.0.0m之前的以及1.0.1h之前的openssl没有适当的限制ChangeCipherSpec信息的处理，这允许中间人攻击者在通信之间使用0长度的主密钥

FREAK

FREAK(CVE-2015-0204) 客户端会在一个全安全强度的RSA握手过程中接受使用弱安全强度的出口RSA密钥，其中关键在于客户端并没有允许协商任何出口级别的RSA密码套件

Export-cipher

在1998年9月之前，美国曾经限制出口高强度的加密算法。具体来说，限制对称加密强度为最大40位，限制密钥交换强度为最大512位。

CRIME

CRIME(Compression Ratio Info-leak Made Easy CVE-2012-4929)，这是一种可攻击安全隐患，通过它可窃取启用数据压缩特性的HTTPS或SPDY协议传输的私密Web Cookie。在成功读取身份验证Cookie后，攻击者可以实行会话劫持和发动进一步攻击。

Heartbleed

Heartbleed(心血漏洞 CVE-2014-0160) 是Openssl的程序漏洞，如果使用带缺陷的Openssl版本，无论是服务器还是客户端，都可能因此受到攻击。此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当的验证（缺少边界检查），该程序错误属于缓冲区过读，即可以读取的数据比应该允许读取的还多。

RC4

是一种流加密算法，对称加密，密钥长度可变。由于RC4算法存在弱点，2015年2月所发布的 RFC 7465 规定禁止在TLS中使用RC4加密算法。 Chrome 48版本开始会拒绝与「以 RC4 做为对称加密算法的 CipherSuite」建立 TLS 连接 。

3DES

在加密套件中很多的密码使用的是3DESEDECBC这种类型的，在维基上3DES提供的bits数是192bits(168+24)，但由于Meet-in-the-middle attack攻击的影响，只能提供112bits的安全。因此在等级评定上使用192bits，在套件的安全性上使用112bits

PSK

　PSK 是“Pre-Shared Key”的缩写。就是 预先让通讯双方共享一些密钥（通常是对称加密密钥）。 　　这种算法用的不多，它的好处是：

不需要依赖公钥体系，不需要部属 CA 证书。

不需要涉及非对称加密，TLS 协议握手（初始化）时的性能好于 RSA 和 DH。 
密钥交换时通讯双方已经预先部署了若干个共享的密钥为了标识多个密钥，给每一个密钥定义一个唯一的 ID客户端通过ID 和服务端进行通讯。

SRP

TLS-SRP（ Secure Remote Password）密码套件有两类：第一类密码套件仅使用SRP认证。第二类使用SRP认证和公共密钥证书来增加安全性。