前向安全#
前向安全(Forward Secrecy,FS),更严格的版本叫 完美前向安全(Perfect Forward Secrecy,PFS),指的是:即使长期密钥(例如服务器的私钥)将来被泄露,攻击者也无法解密历史上已经截获的会话流量。
为什么需要前向安全#
考虑一个不具备前向安全的场景:客户端用服务器的 RSA 公钥加密一个对称密钥(pre-master secret)发给服务器。攻击者把所有密文流量都录下来存着,等若干年后通过某种方式拿到了服务器私钥,就能把当年所有会话的对称密钥反推出来,过去几年的通信全部解密。
前向安全要解决的就是这个"事后清算"问题:长期密钥只用来认证身份,不用来传输会话密钥;每次会话的对称密钥由临时的、用完即丢的密钥协商过程产生,这些临时材料会话结束就销毁。
实现方式#
实现前向安全的核心是 临时密钥交换(Ephemeral Key Exchange),常见两种:
- DHE(Diffie-Hellman Ephemeral):每次握手生成全新的 DH 参数
a, b,会话结束后丢弃。 - ECDHE(Elliptic Curve Diffie-Hellman Ephemeral):椭圆曲线版本的 DHE,更短的密钥就能达到等效安全强度,是当前主流。
握手时,双方各自生成临时私钥,交换公开值,独立推导出共享秘密;这个共享秘密只存在于当次会话内存中,不会写盘也不会被长期密钥保护。即使日后服务器证书私钥泄露,攻击者拿不到任何一次握手时双方临时生成并销毁的随机数,也就无法重建会话密钥。
TLS 1.3 已经把所有不具备前向安全的密钥交换方式(如 RSA 密钥交换、静态 DH)从协议中移除,强制使用 (EC)DHE。
前向安全 ≠ 不可破解#
前向安全只保护过去的会话。如果攻击者实时拿到了服务器私钥并能完成中间人攻击,当下及未来的会话依然会被破解——只是历史流量是安全的。
重放攻击#
重放攻击(Replay Attack)指的是攻击者截获一段合法的通信报文,在之后的某个时间点原样重新发送给接收方,从而冒充原发送者执行某个操作。攻击者不需要解密报文内容,也不需要知道密钥,只要复制粘贴就能复用受害者的身份。
一个直观的例子#
假设转账请求是这样的密文:
ENC(用户A → 用户B 转账 100 元)攻击者抓到这个报文之后,不解密,直接再发一次。如果服务端没有任何防重放机制,会以为用户 A 又发起了一次转账,于是再扣 100 元。发上 100 次,A 的账户就被掏空了。
类似的场景还包括:重放登录请求、重放开门指令、重放支付凭证、重放 API 调用等等。只要服务端把"报文有效"等同于"行为有效",就存在被重放的风险。
防御手段#
防重放的核心思路是让每个合法报文带上"只能被处理一次"的标识,让服务端能识别"这个报文我之前见过"。常见方式有:
- 时间戳 + 时间窗:报文带上发送时间,服务端只接收"当前时间 ± N 秒"内的报文。问题是攻击者仍可以在时间窗内重放,且依赖双方时钟同步。
- Nonce / 随机数:每次请求带一个一次性的随机数,服务端记录已经见过的 nonce,重复出现的就拒绝。常见做法是把 nonce 存到带 TTL 的 Redis 里。
- 单调递增序号:每个会话维护一个递增
seq,服务端只接收"大于上一个已处理 seq"的报文,重放过来的旧 seq 直接丢弃。TLS 记录层、SSH 都使用这种方式。 - 挑战 - 应答(Challenge-Response):服务端先发一个一次性 challenge,客户端基于 challenge 计算签名/响应,攻击者抓到的旧响应在新 challenge 下无效。
- 签名覆盖关键字段:把时间戳、nonce、请求体一起签名,攻击者既不能改字段也不能复用,否则签名校验失败。
实际系统里这些手段通常组合使用:例如 OAuth 2.0 的 access token 有较短有效期 + 服务端可以主动吊销;HTTPS 握手用 nonce + 序号 + 数字证书的组合一起防御。
与前向安全的区别#
两者关注的威胁模型不同:
- 前向安全防的是 “事后解密”——长期密钥泄露后,过去的密文还能不能被读取。
- 重放攻击防的是 “原样复发”——合法的密文被攻击者再发一遍,服务端会不会重复执行。
一个保护机密性,一个保护完整性 + 时效性,是两类独立的安全属性,需要分别设计机制。