我正在编写一个桌面应用程序,希望使用户能够验证网络流量,因此他们知道自己没有被滥用。我的应用程序使用.NET's SslStream方法通过AuthenticateAsClient建立到服务器的TLS连接。 Wireshark用户可以使用NSS key logs解码TLS流量。我可以看到Firefox和Chrome都具有记录加密密钥的选项。如何在.NET应用程序中执行相同操作?即如何以编程方式从SslStream中提取会话密钥?
截至撰写本文时,还没有办法使用dotnet的SslStream。这是使用BouncyCastle导出会话密钥的方法:
internal static class BouncyCastleTls
{
public static Stream WrapWithTls(Stream stream)
{
var client = new MyTlsClient();
var tlsClientProtocol = new TlsClientProtocol(stream, new SecureRandom());
tlsClientProtocol.Connect(client);
return tlsClientProtocol.Stream;
}
}
internal sealed class MyTlsClient : DefaultTlsClient
{
public override TlsAuthentication GetAuthentication()
{
return new MyTlsAuthentication();
}
public override void NotifyHandshakeComplete()
{
var clientRandom = mContext.SecurityParameters.ClientRandom;
var masterSecret = mContext.SecurityParameters.MasterSecret;
Console.WriteLine("CLIENT_RANDOM {0} {1}", ToHex(clientRandom), ToHex(masterSecret));
}
private static string ToHex(byte[] bytes)
{
var sb = new StringBuilder(bytes.Length * 2);
for (var i = 0; i < bytes.Length; ++i)
sb.Append($"{bytes[i]:x2}");
return sb.ToString();
}
}
internal sealed class MyTlsAuthentication : TlsAuthentication
{
public void NotifyServerCertificate(Certificate serverCertificate)
{
}
public TlsCredentials GetClientCredentials(CertificateRequest certificateRequest)
{
return null;
}
}