破解Google Gmail的https新思路

注:本文为个人学习转载,原文地址:http://www.williamlong.info/archives/2058.html

最近,Google针对Gmail被攻击事件,全面默认启用了始终以https访问Gmail的方式了。但是,对于可以动用整个国家力量的黑客来说,从网络通讯数据中(在此不讨论对用户电脑种木马破解https的情况,只讨论在网络通讯数据中破解https的方法)破解https除了暴力破解(暴力破解https即使按照现在的集群计算能力仍旧需要几百至几万年不等)之外真的别无他法了吗?事实并非如此。

  我们知道,https的安全性主要是由SSL证书中的公钥和私钥来保证的。浏览器与服务器经过https建立通讯的时候(不考虑SSL代理方式需要用户提交证书的情况,因为我们现在讨论的是浏览器访问网站,和SSL代理无关)会按照以下步骤保证通讯的安全性:

  1、浏览器连接服务器,服务器把SSL证书的公钥发送给浏览器

  2、浏览器验证此证书中的域是否和访问的域一致(比如用户访问https://mail.google.com/时,浏览器验证服务器发送过来的SSL证书的公钥中的域是否为mail.google.com或*.google.com)并没有过期

  3、如果浏览器验证失败,浏览器通知用户证书有问题,让用户选择是否继续

  4、如果浏览器验证成功,那么浏览器随机生成一个对称密钥并使用接收到的SSL证书的公钥进行加密并发送给服务器

  5、服务器通过SSL证书的私钥对收到的信息进行解密并得到浏览器随机生成的对称密钥

  6、最后服务器和浏览器都通过这个对称密钥进行通讯了(为什么不直接使用公钥和私钥进行通讯?因为非对称加密比对称加密效率低)

  这个方案看似完美,却无法抵御中间人攻击,攻击者可以按以下步骤实施攻击截取https通讯中的所有数据:

  1、攻击者伪造一个Gmail的SSL证书,使其中的域为mail.google.com或*.google.com,并设置合适的证书过期时间

  2、攻击者等待访问者的浏览器访问Gmail时,通过DNS劫持或IP伪造(对于有路由器控制权限的黑客来说简直轻而易举)的方法使其访问到攻击者的服务器上

  3、攻击者把伪造的SSL证书公钥发送给浏览器

  4、浏览器验证SSL证书的域和过期时间都没错,认为访问到的就是Gmail本身,从而把对称密钥发送给黑客服务器

  5、黑客服务器把伪造的Gmail网页通过收到的对称密钥加密后发送给浏览器

  6、访问者通过浏览器输入Gmail帐户,发送给黑客服务器,黑客服务器通过收到的对称密钥解密后成功获得访问者的Gmail密码

  为了抵御这种中间人攻击,SSL证书需要由可信的SSL证书颁发机构颁发,形成一个证书链(比如Gmail的证书链为:最底层为网域mail.google.com,上一层为Thawte SGC CA证书颁发机构,最顶层为很有名的VeriSign证书颁发机构)。那么,浏览器除了需要验证域和有效期外,还要检查证书链中的上级证书公钥是否有效,上级的上级证书公钥是否有效,直至根证书公钥为止。这样就可以有效避免中间人攻击了,因为根证书公钥都是预装在操作系统中的,黑客如果不是暴力破解,无法得到根证书的私钥,如果黑客自己生成一个私钥,浏览器验证根证书公钥的时候发现无法通过操作系统中预装的公钥加密数据后使用这个私钥进行解密,从而判定这个公钥是无效的。这个方案也是现在https通讯通常的方案。

  那么,这个现在所有的浏览器正在使用的https通讯方案就无懈可击了吗?答案仍是否定的。我们可以看到,在后一个方案中,https的安全性需要在证书颁发机构公信力的强有力保障前提下才能发挥作用。如果证书颁发机构在没有验证黑客为mail.google.com的持游者的情况下,给黑客颁发了网域为mail.google.com的证书,那么黑客的中间人攻击又可以顺利实施:

  1、攻击者从一家不验证mail.google.com持有者的SSL证书颁发机构WoSign那里得到了网域为mail.google.com的证书,此证书的证书链为:最底层为网域mail.google.com,上一层证书颁发机构为WoSign,顶层证书颁发机构为VeriSign

  2/3、第二、第三个步骤同上一个方案的中间人攻击的第二、第三个步骤

  4、浏览器验证SSL证书的域和过期时间都没错,继续验证证书链:

    4.1、最底层的网域mail.google.com证书公钥不在操作系统中,无法验证其访问到的就是Gmail本身,继续验证上一层证书颁发机构

    4.2、上一层证书颁发机构WoSign的公钥也不在操作系统中,仍旧无法验证其有效性,继续验证上一层证书颁发机构

    4.3、浏览器看到顶层证书颁发机构VeriSign的公钥在操作系统中,认为证书链有效,从而把对称密钥发送给黑客服务器

  5/6、第五、第六个步骤同上一个方案的中间人攻击的第五、第六个步骤。黑客成功获得访问者的Gmail密码

  然而,不验证域名持有者就颁发证书的情况在国外几乎不会发生,但是在国内就不一定了。针对破解目标,国内证书颁发机构WoSign(在此只是举例国内比较有名的证书颁发机构WoSign,并不代表WoSign今后一定会这么做)很有可能为了上级要求颁发了证书给非域名持有者的黑客,从而使得破解目标的Gmail密码被黑客截取。

时间: 2024-10-16 07:09:33

破解Google Gmail的https新思路的相关文章

使用 Google Gmail 邮箱服务

原文同步至 http://www.waylau.com/use-gmail/ 总所周知,Google 的大部分服务在华已经被墙,其中也包括 Gmail .为了收取 Gmail 的邮件,也是要进行一番折腾的.当然,你可以施展各种翻墙技能(文章最后会提供一堆的翻墙方法).如果不想折腾,只是想收发 Gmail 的邮件,下面的方法更加简单 修改 hosts 将如下内容加入hosts之后(位置一般在C:\Windows\System32\drivers\etc\hosts). 173.194.65.108

Mac用户抓包软件Charles 4.0 破解 以及 抓取Https链接设置

相信大家曾经都是Window的用户,作为前端哪能没有一款抓包工具,抓包工具可以非常便捷的帮助我们分析接口返回报文数据,快速定位问题. 曾经横扫window用户的Fiddler便是我们的挚爱,然而,作为前端开发者还是习惯用高大上的MAC进行开发,本次博客将给大家介绍MAC电脑如何安装抓包工具,以及如何设置HTTPS连接的抓取. 一.下载Charles 4.0 版本的软件. 链接: https://pan.baidu.com/s/1jI5j0O2 密码: u5r2 下载完成后,双击安装即可,直到安装

破解google翻译API全过程

前言 google的翻译不得不承认它是比较好的.但是google翻译对外提供的翻译接口都是收钱的,做为一名普普通通的开发者,囊中羞涩,因此就需要借助技术的力量来完成免费的翻译接口的调用. git 首先在github上我们找到了这篇链接 https://github.com/ssut/py-googletrans 看介绍免费.无限制,这刚好适合我们来用.于是按照它的操作步骤我们来试试: 由于它是python的,因此第一步是去下载它的python库,由于我没有配置python pip的环境变量,因此

charles4.2下载与破解方法以及配置https

Charles的使用方法 Charles下载地址 地址:https://www.charlesproxy.com/latest-release/download.do 2. Charles破解 破解地址:https://www.zzzmode.com/mytools/charles/ 生成jar文件后,放到charles安装目录的lib目录下 3. 此时,重启charles,查看已经破解,如下图: 5. 设置charles, Proxy->Proxy setting,就可以抓取http协议了(默

charles4.2下载与破解方法以及配置https.RP

Charles下载地址 地址:https://www.charlesproxy.com/latest-release/download.do 2. Charles破解 破解地址:https://www.zzzmode.com/mytools/charles/ 生成jar文件后,放到charles安装目录的lib目录下 3. 此时,重启charles,查看已经破解,如下图: 5. 设置charles, Proxy->Proxy setting,就可以抓取http协议了(默认不用更改) 6. 首先手

如何区分国内上网环境中不同的人为网络故障(转)

add by zhj:学习了,原来GFW可利用的手段这么多啊,当然,我猜测真正的手段应该比这还多.而且GFW经常不断的升级. 作者Twitter:@davidsky2012 投稿到月光博客发表  http://www.williamlong.info/archives/2195.html 众所周知,在国内上网会遇到各种各样不同的人为网络故障,使得我们无法正常访问很多网站.但由于很多人并不熟悉网络,很多时候会无法区分不同的网 络故障,导致明明是网络故障,却认为是服务器故障:或明明是服务器故障,却认

HTTPS优势逐步凸显,传输安全倾向HTTPS(上)

此前,在棱镜门事件引起了全球各界的轰动,爱德华·斯诺登(Edward Snowden)透露,美国中情局在大量收集各国的网络通讯,信息安全专家纷纷呼吁全体网络进行加密.四年后,互联网的安全似乎发生了千变万化. 过去的一年,HTTP明文协议加载SSL / TLS协议转向HTTPS加密协议的网站急剧上升.去年二月份,有相关媒体对全球访问量最大的网站调查发现,将近20%的网站支持HTTPS,半年后HTTPS的网站增长率超过40%.据Google的Chrome和Mozilla Firefox最新检测数据显

变化hosts 解决Google打开速度慢的问题 Google 全球IP地址 代理站点

Google 代替网 http://sinaapp.co http://alicdn.co http://baidustatic.co http://www.aol.com/ https://startpage.com/ 一个收费的 FQ站点 9元/月 https://ybb117.com/ 怎样不让google.com跳转到google.com.hk? 来自知乎 自从google的server搬离中国大陆后,大陆地区用户用google服务时会自己主动跳转到香港的http://google.co

Gmail Notification自动Gmail未读检查和短信提醒

何时应该检查Gmail邮箱有没有未读邮件,大概都要不停的登陆刷新. 怎么能让新邮件到达给个主动提醒,是我最近一直思考的问题. 于是查了Google的接口,非常丰富非常丰满,不愧是业界第一邮箱服务. 所以就诞生这个项目Gmail Notification https://github.com/spance/Gmail-Notification Gmail Notification 对已许可的Gmail邮箱进行检查,发现新邮件后通过已配置的短信接口发送未读邮件的提醒短信. 利用Google oaut