在 Go 中提取 TLS 机密

根本原因是和之间的差异tls1.2，tls1.3差异可以在这里找到每个 golang tls 代码    keyLogLabelTLS12           = "CLIENT_RANDOM"    keyLogLabelClientHandshake = "CLIENT_HANDSHAKE_TRAFFIC_SECRET"    keyLogLabelServerHandshake = "SERVER_HANDSHAKE_TRAFFIC_SECRET"    keyLogLabelClientTraffic   = "CLIENT_TRAFFIC_SECRET_0"    keyLogLabelServerTraffic   = "SERVER_TRAFFIC_SECRET_0"对于tls1.3，那些参数CLIENT_HANDSHAKE_TRAFFIC_SECRET、SERVER_HANDSHAKE_TRAFFIC_SECRET、CLIENT_TRAFFIC_SECRET_0和SERVER_TRAFFIC_SECRET_0 可以导出为客户端机密对于tls1.2,CLIENT_RANDOM可以导出为客户端机密所有这些都可以在 Wireshark 中用于解密 TLS1.2 和 TLS 1.3。这是一个测试样本首先，启动一个HTTPS服务器    mux := http.NewServeMux()    mux.HandleFunc("/", func(w http.ResponseWriter, req *http.Request) {        if req.URL.Path != "/" {            http.NotFound(w, req)            return        }    })    w, err := os.OpenFile("/keypath/https-key.txt", os.O_WRONLY|os.O_CREATE|os.O_TRUNC, 0600)    if err != nil {        fmt.Printf("failed to open file err %+v", err)        return    }    cs := make([]uint16, len(cipherSuites))    copy(cs, cipherSuites)    var tlsCfg tls.Config    tlsCfg.Certificates = make([]tls.Certificate, 1)    tlsCfg.Certificates[0], err = tls.LoadX509KeyPair(*certFile, *keyFile)    tlsCfg.NextProtos = []string{"h2"}    tlsCfg.ClientAuth = tls.RequestClientCert    tlsCfg.SessionTicketsDisabled = true    tlsCfg.InsecureSkipVerify = true    tlsCfg.KeyLogWriter = w    tlsCfg.MinVersion = tls.VersionTLS13    tlsCfg.CipherSuites = cs    tlsCfg.PreferServerCipherSuites = true    srv := &http.Server{        Addr:      *addr,        Handler:   mux,        TLSConfig: &tlsCfg,    }    log.Printf("Starting server on %s", *addr)    err = srv.ListenAndServeTLS("", "")    log.Fatal(err)curl然后，通过tls1.3 curl -Lv  https://localhost:4000 --cacert /crtpath/ca.crt --tlsv1.3我们可以找到如下https-key.txt内容> cat https-key.txtCLIENT_HANDSHAKE_TRAFFIC_SECRET xxxx yyyyySERVER_HANDSHAKE_TRAFFIC_SECRET xxxx yyyyyyyyyCLIENT_TRAFFIC_SECRET_0 xxxxxxx yyyySERVER_TRAFFIC_SECRET_0 xx yyyyyyyyyyyy然后在 WireShark 中将 keyFile 设置为/keypath/grpc-key.txt，Preferences -> Protocols -> TLS -> (Pre)-Master-Secret log filename现在 Wireshark 可以进行 TLS 解密对于 TLS1.2 测试，您可以将服务器代码更改为tlsCfg.MinVersion = tls.VersionTLS12，然后curl通过tls1.2 curl -Lv  https://localhost:4000 --cacert /crtpath/ca.crt --tlsv1.2. 再次检查https-key.txt，您会发现内容可能是CLIENT_RANDOM xxxxxx yyyyyyyy.

在 Go 中提取 TLS 机密

2回答