如何使用 Rust 進行 TLS 開發?
TLS 基礎知識
TLS 是一種安全協議,有助於在雙方之間建立安全連接。TLS 通過握手來驗證雙方彼此的身份,並就如何加密數據達成一致。如圖:
-
身份驗證:TLS 使用數字證書對參與通信的各方進行身份驗證,數字證書由受信任的第三方頒發,例如證書頒發機構 (CA)。
-
加密:TLS 使用加密來保護交換的數據,使用的加密算法取決於協商的參數。
-
完整性:TLS 使用散列函數來確保交換的數據未被篡改。
-
協商:TLS 允許通信雙方協商使用的加密參數,這可以確保雙方使用相同的參數,並以一致的方式加密數據。
-
握手:TLS 使用握手過程來建立安全連接,握手過程允許雙方相互驗證並協商要使用的加密參數。
TLS 多年來已經更新了幾次。TLS 的當前版本是 TLS 1.3。TLS 1.3 是對 TLS 的重大更新,帶來了許多安全性和性能改進。如圖:
我們已經介紹了 TLS 的基礎知識,下面讓我們開始看看 Rustls 庫。
Rustls 庫
Rustls 是一個用 Rust 編寫的現代 TLS 庫。它的設計是安全、高效和易於使用。
-
安全性:Rustls 在設計時就考慮到了安全性,它使用現代加密技術,並不斷被審計是否有安全漏洞。
-
性能:Rustls 非常高效,因爲它是用 Rust 編寫的。
-
易用性:Rustls 易於使用,它提供了一個簡單的 API,可以很容易地在應用程序中實現 TLS。
下面是創建 TLS 客戶端和服務器的代碼
在 Cargo.toml 中加入 Rustls 庫:
[dependencies]
rustls = "0.21.7"
webpki-roots = "0.25"
use std::sync::Arc;
use std::io::{stdout, Read, Write};
use std::net::TcpStream;
fn main() {
// 加載根證書,用於驗證服務器。使用webpki_roots庫,它包含Mozilla的根證書集。
let mut root_store = rustls::RootCertStore::empty();
root_store.add_trust_anchors(webpki_roots::TLS_SERVER_ROOTS.iter().map(|ta| {
rustls::OwnedTrustAnchor::from_subject_spki_name_constraints(
ta.subject,
ta.spki,
ta.name_constraints,
)
}));
// 創建ClientConfig
let config = rustls::ClientConfig::builder()
.with_safe_defaults()
.with_root_certificates(root_store)
.with_no_client_auth();
let rc_config = Arc::new(config);
let example_com = "www.rust-lang.org".try_into().unwrap();
// 建立到服務器端443端口的連接
let mut conn = rustls::ClientConnection::new(rc_config, example_com).unwrap();
let mut sock = TcpStream::connect("www.rust-lang.org:443").unwrap();
// 建立TLS連接
let mut tls = rustls::Stream::new(&mut conn, &mut sock);
// 發送請求數據
tls.write_all(
concat!(
"GET / HTTP/1.1\r\n",
"Host: www.rust-lang.org\r\n",
"Connection: close\r\n",
"Accept-Encoding: identity\r\n",
"\r\n"
).as_bytes(),
).unwrap();
let ciphersuite = tls.conn.negotiated_cipher_suite().unwrap();
writeln!(
&mut std::io::stderr(),
"Current ciphersuite: {:?}",
ciphersuite.suite()
).unwrap();
let mut plaintext = Vec::new();
// 接收服務器端返回的數據
tls.read_to_end(&mut plaintext).unwrap();
stdout().write_all(&plaintext).unwrap();
}
這段代碼創建了一個連接到 “www.rust-lang.org” 服務器 443 端口的 TLS 客戶端。然後打印服務器返回的信息。
一旦建立了安全連接,我們就可以開始交換數據。爲此,我們使用 tls.write_all 方法通過連接發送數據,並使用 tls.read_to_end 方法接收數據。
本文由 Readfog 進行 AMP 轉碼,版權歸原作者所有。
來源:https://mp.weixin.qq.com/s/dQZVExaoR3iNLspawG51-w