27、互联网加密中的TLS：历史、特性与攻击分析

互联网加密中的TLS：历史、特性与攻击分析

一、TLS 1.3的PSK握手与0-RTT模式

TLS 1.3在握手机制上有了显著的改进，其中PSK（预共享密钥）握手和0-RTT模式是其重要特性。

在PSK握手过程中，客户端和服务器会进行一系列的交互。客户端拥有会话票证消息（NSTM）和预共享密钥$k_{CS}$，服务器拥有证书（$cert_S$）、私钥（$sk_S$）和密钥$k_S$。具体流程如下：
1. 客户端计算$PSK \leftarrow k_{CS}, r_C$，随机生成$x \leftarrow Z_q$，计算$CKS = X \leftarrow g^x$，构建扩展字段$ext1 = ([CKS, ]MOD_{psk}, NSTM, SNI)$，并发送客户端问候消息$CH = (r_C, \vec{cs}, ext1)$。
2. 客户端计算$H_0 \leftarrow h(CH)$，导出$tk_0^{data}$，使用$tk_0^{data}$加密数据$c_1 \leftarrow AE_{tk_0^{data}}(m_1)$并发送。
3. 服务器接收客户端消息后，解密$NSTM$得到$k_{CS}$，计算$PSK \leftarrow k_{CS}, r_S$，随机生成$y \leftarrow Z_q$，计算$SKS = Y \leftarrow g^y$，构建扩展字段$ext2 = (NSTM[, SKS])$，发送服务器问候消息$SH = (r_S, cs, ext2)$。
4. 客户端和服务器分别计算$(EC)DHE \leftarrow Y^x$和$(EC)DHE \leftarrow X^y$，计算$H_1 \leftarrow h