10.24日学习笔记

一、安全目标与威胁模型
CIA 三元组
Confidentiality 机密性
Integrity 完整性
Availability 可用性
扩展目标：Authenticity（真实性）、Non-repudiation（不可否认）、Accountability（可审计）。
威胁模型
Dolev-Yao 模型：攻击者可窃听、重放、篡改、注入、丢弃报文。
内部人 vs 外部人；被动 vs 主动；MITM、DoS、DDoS、Replay、Downgrade。
二、密码学基础
对称加密（共享密钥）
流密码：ChaCha20、RC4（已弃用）
分组密码：AES-128/192/256（ECB/CBC/CTR/GCM/XTS）
工作模式：GCM = CTR + GHASH，提供 AEAD（加密+认证）
非对称加密（公钥）
RSA（加密/签名）、DH 密钥交换、ECDH（椭圆曲线）、DSA→ECDSA→EdDSA（Ed25519/Ed448）
消息完整性
Hash：SHA-2（256/384/512）、SHA-3、Blake3
MAC：HMAC-SHA256、CMAC、GMAC
数字签名
RSA-PSS、ECDSA、EdDSA；签名流程 = Hash + 私钥加密；验证 = 公钥解密比对
密钥派生与协商
PBKDF2/bcrypt/scrypt/Argon2（口令→密钥）
HKDF（密钥扩展）
Diffie-Hellman、ECDH、X25519/X448；前向保密（Forward Secrecy）
量子威胁与后量子（PQC）算法简览：CRYSTALS-KYBER、Dilithium。
三、公开密钥基础设施（PKI）
组成：CA、RA、证书、CRL、OCSP、证书链、信任锚（Root store）。
X.509 v3 证书字段：版本、序列号、签名算法、颁发者、主体、公钥、SAN、KeyUsage、EKU、AIA、CRL DP、OCSP URL。
验证流程：签名→有效期→吊销状态（OCSP stapling）→主机名校验（SAN/CN）→链式信任。
证书透明（CT）：Signed Certificate Timestamp（SCT），防伪造证书。
私钥保护：HSM、TPM、Intel SGX、云 KMS。
四、传输层安全——TLS 1.3 深度拆解
握手对比
1.2：2-RTT 完整握手，大量协商扩展
1.3：1-RTT 默认，0-RTT 恢复（PSK + ECDHE），裁剪算法至 AEAD 套件
密钥调度
ECDHE → 共享密钥 → HKDF-Extract/Expand → 握手流量密钥 → 应用流量密钥
独立密钥：client handshake / server handshake / client app / server app / resumption master
记录协议
仅保留 AEAD：AES-128/256-GCM、ChaCha20-Poly1305
显式随机数（64-bit sequence + 96-bit IV）→ 防重放
扩展
Server Name Indication（SNI）→ Encrypted SNI（ESNI/ECH）
ALPN（h2/http/1.1）
Key Share（客户端提前发 X25519 公钥）
Post-Handshake Auth、Exported Keying Material（EAP-TLS、QUIC）
攻击面与缓解
降级攻击 → 禁止重新协商、静态 RSA 移除、Downgrade Sentinel（randomized version field）
重放 → 0-RTT 数据限制幂等、单次票证
跨协议攻击 → ALPN 严格校验
侧信道 → Lucky13、RC4 biases、BEAST、CRIME、BREACH → 1.3 已修复