如何使用 Rust 進行 TLS 開發？

TLS 基礎知識

TLS 是一種安全協議，有助於在雙方之間建立安全連接。TLS 通過握手來驗證雙方彼此的身份，並就如何加密數據達成一致。如圖：

• 身份驗證：TLS 使用數字證書對參與通信的各方進行身份驗證，數字證書由受信任的第三方頒發，例如證書頒發機構 (CA)。

• 加密：TLS 使用加密來保護交換的數據，使用的加密算法取決於協商的參數。

• 完整性：TLS 使用散列函數來確保交換的數據未被篡改。

• 協商：TLS 允許通信雙方協商使用的加密參數，這可以確保雙方使用相同的參數，並以一致的方式加密數據。

• 握手：TLS 使用握手過程來建立安全連接，握手過程允許雙方相互驗證並協商要使用的加密參數。

TLS 多年來已經更新了幾次。TLS 的當前版本是 TLS 1.3。TLS 1.3 是對 TLS 的重大更新，帶來了許多安全性和性能改進。如圖：

我們已經介紹了 TLS 的基礎知識，下面讓我們開始看看 Rustls 庫。

Rustls 庫

Rustls 是一個用 Rust 編寫的現代 TLS 庫。它的設計是安全、高效和易於使用。

• 安全性：Rustls 在設計時就考慮到了安全性，它使用現代加密技術，並不斷被審計是否有安全漏洞。

• 性能：Rustls 非常高效，因爲它是用 Rust 編寫的。

• 易用性：Rustls 易於使用，它提供了一個簡單的 API，可以很容易地在應用程序中實現 TLS。

下面是創建 TLS 客戶端和服務器的代碼

在 Cargo.toml 中加入 Rustls 庫：

[dependencies]
rustls = "0.21.7"
webpki-roots = "0.25"

use std::sync::Arc;

use std::io::{stdout, Read, Write};
use std::net::TcpStream;

fn main() {
    // 加載根證書，用於驗證服務器。使用webpki_roots庫，它包含Mozilla的根證書集。
    let mut root_store = rustls::RootCertStore::empty();
    root_store.add_trust_anchors(webpki_roots::TLS_SERVER_ROOTS.iter().map(|ta| {
        rustls::OwnedTrustAnchor::from_subject_spki_name_constraints(
            ta.subject,
            ta.spki,
            ta.name_constraints,
        )
    }));

    // 創建ClientConfig
    let config = rustls::ClientConfig::builder()
        .with_safe_defaults()
        .with_root_certificates(root_store)
        .with_no_client_auth();

    let rc_config = Arc::new(config);
    let example_com = "www.rust-lang.org".try_into().unwrap();

    // 建立到服務器端443端口的連接
    let mut conn = rustls::ClientConnection::new(rc_config, example_com).unwrap();
    let mut sock = TcpStream::connect("www.rust-lang.org:443").unwrap();

    // 建立TLS連接
    let mut tls = rustls::Stream::new(&mut conn, &mut sock);

    // 發送請求數據
    tls.write_all(
        concat!(
            "GET / HTTP/1.1\r\n",
            "Host: www.rust-lang.org\r\n",
            "Connection: close\r\n",
            "Accept-Encoding: identity\r\n",
            "\r\n"
        ).as_bytes(),
    ).unwrap();

    let ciphersuite = tls.conn.negotiated_cipher_suite().unwrap();

    writeln!(
        &mut std::io::stderr(),
        "Current ciphersuite: {:?}",
        ciphersuite.suite()
    ).unwrap();

    let mut plaintext = Vec::new();

    // 接收服務器端返回的數據
    tls.read_to_end(&mut plaintext).unwrap();
    stdout().write_all(&plaintext).unwrap();
}

這段代碼創建了一個連接到 “www.rust-lang.org” 服務器 443 端口的 TLS 客戶端。然後打印服務器返回的信息。

一旦建立了安全連接，我們就可以開始交換數據。爲此，我們使用 tls.write_all 方法通過連接發送數據，並使用 tls.read_to_end 方法接收數據。

本文由 Readfog 進行 AMP 轉碼，版權歸原作者所有。
來源：https://mp.weixin.qq.com/s/dQZVExaoR3iNLspawG51-w