SSL Handshake

🔒 HTTPS는 제 3자 인증, 공개키 암호화, 비밀키 암호화를 사용함
1. 제3자 인증 : 믿을 수 있는 인증기관에 등록된 인증서만 신뢰
2. 공개키 암호화 : 비밀키를 공유하기 위해 사용
3. 비밀키 암호화 : 통신하는 데이터를 암호화하는데 사용

SSL 인증서와 SSL Handshake에 탑재된 기술

• 하나의 키로 암호화/복호화를 수행하는 대칭키 암호화 방식
• 한 쌍의 키 페어로 암호화/복호화를 수행하는 비대칭키 암호화 방식
• 통신 대상을 서로가 확인하는 신분 확인
• 믿을 수 있는 SSL 인증서를 위한 디지털 서명
• 디지털 서명을 해주는 인증 기관 (CA)
• 공개키를 안전하게 전달하고 공유하기 위한 프로토콜
• 암호화된 메세지의 변조 여부를 확인하는 메세지 무결성 알고리즘

SSL Handshake 과정

클라이언트 1)
Client Hello : 클라이언트가 먼저 서버에 접속해서 말을 건다.
브라우저 주소창에서 naver.com을 치면 내 브라우저는 네이버 웹 서버에 접속을 시도함. TCP연결을 위한 3-way handshake를 수행한 브라우저는 네이버가 HTTPS를 사용하는 것을 알게 되고 다음의 정보를 보냄

• 브라우저가 사용하는 SSL 혹은 TLS 버전 정보
• 브라우저가 지원하는 암호화 방식 모음(안전한 키 교환, 전달 대상 인증, 암호화 알고리즘, 메세지 무결성 확인 알고리즘)
• 브라우저가 순간적으로 생성한 임의의 난수
• 만약 이전에 SSL 핸드 셰이크가 완료된 상태라면, 그 때 생성된 세션 아이디
• 기타 확장 정보

서버 2)
Server Hello : 서버 또한 위의 인사에 응답하면서, 다음 정보를 클라이언트에 제공함.

• 브라우저의 암호화 방식 정보 중에서, 서버가 지원하고 선택한 암호화 방식
• 서버의 공개키가 담긴 SSL 인증서
• 서버가 순간적으로 생성한 임의의 난수
• 클라이언트 인증서 요청 (선택 사항)

클라이언트 3)
브라우저는 서버의 SSL 인증서가 믿을만한지 확인함
등록된 CA가 아니거나, 등록된 CA가 만든 인증서처럼 꾸몄다면 경고

클라이언트 4)
브라우저는 자신이 생성한 난수와 서버의 난수를 사용하여 premaster secret을 만듬
웹 서버 인증서에 딸려온 웹 사이트의 공개키로 암호화하여 서버로 전송함

서버 5)
서버는 사이트의 비밀키로 브라우저가 보낸 premaster secret값을 복호화
복호화한 값을 master secret 값으로 저장함. 이것을 사용해서 방금 브라우저가 만들어진 연결에 고유한 값을 부여하기 위한 session key를 생성함. 세션 키는 대칭키 암호화에 사용하고 이걸 사용해서 브라우저와 서버 사이에 주고받는 데이터를 암호화하고 복호화함

서버&클라이언트 6)
SSL handshake를 종료하고 HTTPS 통신을 시작함
브라우저와 서버는 SSL Handshake가 정상적으로 완료되었고 이제 웹 상에서 데이터를 세션 키를 사용하여 암호화/복호화하며 HTTPS 프로토콜을 통해 주고받을 수 있음

📝 요약

클라이언트가 TCP 3-way handshake를 수행한 이후 Client Hello를 전송함. 서버는 인증서를 보내고 클라이언트는 받은 인증서를 신뢰하기 위해서 등록된 인증기관인지를 확인함.
이 인증서는 인증기관의 개인키로 암호화되어있고, 공개키로 검증할 수 있음(브라우저에 내장되어 있음) 클라이언트는 사이트의 정보와 서버의 공개키를 얻을 수 있음.

서버의 공개키로 통신에 사용할 비밀키를 암호화해서 서버에 보냄. 서버는 이를 개인키로 확인하고 이후 통신은 공유된 빔리키로 암호화되어 통신함.

제3자 인증 : 인증서, 인증 기관/공개키 암호화 : 인증서, 비밀키 공유/비밀키 암호화 : 통신 과정

공개키와 비밀키를 복합해서 쓰는 이유

공개키 방식은 암/복호화 과정에서 많은 컴퓨터 파워를 사용하기 때문임. 성능에 단점이 생김 그래서 혼합해서 사용..
만약 공개키를 그대로 사용하면 많은 접속이 몰리는 서버는 매우 큰 비용을 지불해야 함. 반대로 대칭키는 암호를 푸는 열쇠를 상대에게 전송해야 하는데 이걸 그냥 전송하면 위험함. 그래서 속도는 느리지만 데이터를 안전하게 주고 받을 수 있는 공개키 방식으로 대칭키를 암호화하고 실제 데이터를 주고 받을 때는 대칭키를 이용해서 데이터를 주고 받음

출처 : https://brunch.co.kr/@sangjinkang/38
https://github.com/ksundong/backend-interview-question