資訊安全從連線加密開始 workshop 2020/01

羊小咩＠CMoney 2020
資訊安全從連線加密入手資訊安全從連線加密入手

Blog : lamb-mei.com
羊小咩
E-mail : lamb@lamb-mei.com
FB : https://www.facebook.com/lamb.mei
GitHub：https://github.com/lamb-mei/
Lamb Mei

Agenda
• 駭客/攻擊者⼿手法
• 如何防⽌止和使⽤用技術

有做到嗎?
• 連線採⽤用https

• 資料進⾏行行加密

• 傳輸資料簽名

駭客/攻擊者⼿手法
• 中間⼈人攻擊
• 嗅探器

網路路請求（應⽤用層）
Client
Server
請求

網路路請求（應⽤用層）
Client
Server
請求
回應

中間⼈人攻擊
Client
Server
你以為的模式

中間⼈人攻擊
Client
Server
第三者

中間⼈人攻擊
Client
Server
請求
事實上

中間⼈人攻擊
Client
Server
請求偽造請求
事實上

中間⼈人攻擊
Client
Server
請求偽造請求
回應
事實上

中間⼈人攻擊
Client
Server
請求偽造請求
偽造回應回應
事實上

嗅探器 (Sniffers)
⼀一種網絡流量量數據分析的⼿手段，常⾒見見於網絡安全領域使⽤用，也有⽤用於業務
分析領域，⼀一般是指使⽤用偵測器對數據流的數據截獲與封包分析
（Packet analysis）。

偵測所使⽤用的⼯工具即為「偵測⼯工具」，正式的叫法為「數據包分析器」，
還有別稱為「偵測器」、「抓包⼯工具」

Charles
GUI Web Application Debug Proxy
https://www.charlesproxy.com/

Burp Suite
https://portswigger.net/burp

Fiddler
https://www.telerik.com/ﬁddler

Charles 介⾯面操作說明
https://www.charlesproxy.com/

截獲的資料

網域結構排列列

觸發時序排列列

清除攔截資料

停⽌止攔截資料

網路路流量量限制模式

啟⽤用關閉中斷點

編輯攔截資料
重送資料

功能啟⽤用/關閉
設定

攔截簡介

請求資訊
資料分區

回應內容
資料類型分區

http://httpbin.org/get?num=10&str=This%20is%20String
https://qrgo.page.link/mPqhy
栗⼦子1: http 資料攔截

栗⼦子1: http 資料攔截
http://httpbin.org/get?num=10&str=This%20is%20String

HTTPS
HyperText Transfer Protocol Secure

HTTPS
TLS Transport Layer Security
Secure Sockets Layer安全通訊協定
傳輸層安全性協定
SSL
安全協定

圖片來來源 : https://edge1.digicert.com/images/public-key.jpg
HTTPS運作

HTTPS運作
圖片來來源 : https://case.ntu.edu.tw/blog/wp-content/uploads/2017/08/ﬁg2.png

https://httpbin.org/get?use=https&str=This%20is%20String
https://qrgo.page.link/nZMK4
栗⼦子2: https 資料攔截

栗⼦子2: https 資料攔截
發⽣生什什麼事情發⽣生什什麼事情

還記得中間⼈人攻擊
Client
Server
請求偽造請求
偽造回應回應

/ 4144
Charles 攔截 https
導覽列列 help -> ssl proxy

https://httpbin.org/get?use=https&str=This%20is%20String
https://qrgo.page.link/nZMK4
栗⼦子2: https 資料攔截(再試⼀一次)

⼿手機電腦同 WIFE WIFI
查詢電腦 IP

⼿手機電腦同 WIFE WIFI
設定經過 Proxy

電腦共享網路路
啟⽤用網路路共享

設定經過 Proxy 192.168.2.1
電腦共享網路路

實體⼿手機https資料攔截
Help ➔ SSL Proxying ➔ Install Charles Root Certiﬁcate on a Mobile Device

使⽤用瀏覽器開啟 chls.pro/ssl 下載安裝憑證檔

安裝憑證檔
設定 ➔ ⼀一般 ➔ 描述檔與裝置管理理

IOS 10+ 需要額外設定憑證信任設定
設定 ➔ ⼀一般 ➔ 關於本機 ➔ 憑證信任設定

網路路通訊安全
• 訊息隱密性（Conﬁdentiality）
• 訊息完整性（Integrity）
• 訊息來來源辨識性（Authentication）
• 訊息不可重複性（Non-duplication）
• 訊息不可否認性（Non-repudiation）
指訊息不會遭截取、窺竊⽽而洩漏資料內容致損害其秘密性
指訊息內容不會遭篡改⽽而造成資料不正確，即訊息如遭篡改時，該筆訊息無效
指傳送⽅方無法冒名傳送資料，資料進⾏行行數位簽章
指訊息內容不得重複，應採⽤用序號、⼀一次性亂數、時間戳記
指無法否認其傳送或接收訊息⾏行行為
電⼦子⽀支付專法
訊息防護措施

https://github.com/TakeScoop/SwiftyRSA
https://github.com/krzyzanowskim/CryptoSwift
Swift cryptographic algorithms library
pod 'SwiftyRSA'
pod 'CryptoSwift'

雜湊 Hash
• 雜湊不是加密
• 雜湊無法還原
• 產⽣生出來來長度固定
• 只差⼀一bit產出也完全不同
Algorithm
• md5

• sha

• sah0

• sha1

• sha256

• sha512
• 校驗碼（Checksum）
• 產⽣生不可還原資料

訊息鑑別碼
⾦金金鑰雜湊訊息鑑別碼（Keyed-hash message authentication code）
⼜又稱雜湊訊息鑑別碼 (Hash-based message authentication code)，縮寫為HMAC）
Message authentication code (MAC)

栗⼦子3: 使⽤用 HMAC 簽名
https://github.com/lamb-mei/InformationSecurityConnectWorkshop.git
https://qrgo.page.link/nyYx2

栗⼦子3: 使⽤用 HMAC 簽名
取得傳送出去的Body 資料
計算簽名
放入 headers

• RSA加密演算法
• 橢圓曲線密碼學ECC (Elliptic Curve Cryptography)
密碼學 Cryptography
對稱式加密 (Symmetric Encryption)
非對稱式加密 (Asymmetric Encryption)
• 進階加密演算法AES
• 三重資料加密演算法3DES
（Advanced Encryption Standard）
（Triple Data Encryption Standard）

栗⼦子4: 使⽤用 AES 加密

栗⼦子4: 使⽤用 AES 加密
加密資料

栗⼦子5: 使⽤用 RSA 加密

栗⼦子5: 使⽤用 RSA 加密
加密資料

栗⼦子6: 使⽤用 RSA +AES

栗⼦子6: 使⽤用 RSA +AES
將AES ⾦金金鑰資料使⽤用RSA加密 (Server 公鑰)
傳送資料使⽤用AES加密 (AES 可隨機⼀一直產⽣生)
加密後的資料使⽤用RSA 簽名證明是你傳送 (Client 私鑰簽名)

憑證綁定
Certiﬁcate Pinning
正常進⾏行行 https 連線狀狀況

憑證綁定
被中間⼈人攻擊的連線

憑證綁定
在 App 嵌入 SSL 公鑰，進⾏行行驗證
缺點：要注意公鑰過期，或server 更更換⾦金金鑰

憑證綁定

⽺羊⼩小咩＠CMoney 2020
https://www.facebook.com/lamb.mei
Thank You
Being here!
For

資訊安全從連線加密開始 workshop 2020/01

Recommended

Recommended

More Related Content

Similar to 資訊安全從連線加密開始 workshop 2020/01

Similar to 資訊安全從連線加密開始 workshop 2020/01 (20)

More from 羊小咩 (lamb-mei)

More from 羊小咩 (lamb-mei) (11)