我正在编写一个桌面应用程序,并希望让用户能够验证网络流量,以便他们知道自己没有被滥用。我的应用程序使用.NET's SslStream 和AuthenticateAsClient 方法建立到服务器的TLS 连接。 Wireshark 用户可以使用NSS key logs 解码 TLS 流量。我可以看到 Firefox 和 Chrome 都有记录加密密钥的选项。如何在我的 .NET 应用程序中做同样的事情?即如何以编程方式从SslStream 中提取会话密钥?
【问题讨论】:
标签: c# .net ssl .net-core sslstream
在撰写本文时,dotnet 的SslStream 无法做到这一点。以下是使用BouncyCastle 导出会话密钥的方法:
internal static class BouncyCastleTls
{
public static Stream WrapWithTls(Stream stream)
{
var client = new MyTlsClient();
var tlsClientProtocol = new TlsClientProtocol(stream, new SecureRandom());
tlsClientProtocol.Connect(client);
return tlsClientProtocol.Stream;
}
}
internal sealed class MyTlsClient : DefaultTlsClient
{
public override TlsAuthentication GetAuthentication()
{
return new MyTlsAuthentication();
}
public override void NotifyHandshakeComplete()
{
var clientRandom = mContext.SecurityParameters.ClientRandom;
var masterSecret = mContext.SecurityParameters.MasterSecret;
Console.WriteLine("CLIENT_RANDOM {0} {1}", ToHex(clientRandom), ToHex(masterSecret));
}
private static string ToHex(byte[] bytes)
{
var sb = new StringBuilder(bytes.Length * 2);
for (var i = 0; i < bytes.Length; ++i)
sb.Append($"{bytes[i]:x2}");
return sb.ToString();
}
}
internal sealed class MyTlsAuthentication : TlsAuthentication
{
public void NotifyServerCertificate(Certificate serverCertificate)
{
}
public TlsCredentials GetClientCredentials(CertificateRequest certificateRequest)
{
return null;
}
}
【讨论】:
HttpClient 结合起来?