Il documento Sulla sicurezza del protocollo TLS suggerisce che HTTPS fornisce disponibilità , ma non ho trovato la spiegazione. Viene fornito perché HTTP supporta bilanciamento del carico ecc.? O è qualcosa di speciale su HTTPS che aiuta con la disponibilità?
The paper On the Security of the TLS Protocol suggests HTTPS provides availability
No, non è così.
Citazione della sezione pertinente del documento:
II. Security Goals
...
The primary goal of TLS, defined in its specification, is “Cryptographic security” [3]. This goal already refers to the Confidentiality corner of the CIA triad. The CIA triad describes the most necessary security goals a secure application has to fulfill in order to provide data security. The following three enumeration items describe the corners of the CIA triad [2].
Il documento afferma che il primo obiettivo di sicurezza di TLS "Cryptographic Security" corrisponde a Riservatezza nella triade della CIA. Il documento non afferma che TLS soddisfi gli altri due angoli della triade.
Does HTTPS provide availability?
No, non lo è.
Se facciamo riferimento a RFC 5246 , TLS ha quattro obiettivi:
2. Goals
The goals of the TLS protocol, in order of priority, are as follows:
- Cryptographic security: TLS should be used to establish a secure connection between two parties.
- Interoperability: Independent programmers should be able to develop applications utilizing TLS that can successfully exchange cryptographic parameters without knowledge of one another's code.
- Extensibility: TLS seeks to provide a framework into which new public key and bulk encryption methods can be incorporated as necessary. This will also accomplish two sub-goals: preventing the need to create a new protocol (and risking the introduction of possible new weaknesses) and avoiding the need to implement an entire new security library.
- Relative efficiency: Cryptographic operations tend to be highly CPU intensive, particularly public key operations. For this reason, the TLS protocol has incorporated an optional session caching scheme to reduce the number of connections that need to be established from scratch. Additionally, care has been taken to reduce network activity.
Sebbene il documento non abbia presentato un reclamo su Integrity, TLS insieme al certificato x509 effettivamente soddisfa anche i criteri di integrità, a condizione che ci si fidi del sistema CA. La riservatezza in TLS viene ottenuta mediante la firma crittografica e il MAC di ciascun pacchetto trasferito nella connessione, che impedisce che i dati che viaggiano attraverso la connessione vengano modificati senza essere notati.
TLS non migliora direttamente la disponibilità, sebbene possa migliorare la disponibilità in alcuni scenari, come quando viene utilizzato con il certificato client, un Terminatore TLS può essere configurato per rifiutare le connessioni non autenticate / non correttamente prima di inviarlo al server reale, che potrebbe ridurre l'impatto dell'abuso su una risorsa scarsa sul server reale.
Se leggo correttamente la carta, la disponibilità in questo contesto significa semplicemente che TLS non ha proprietà intrinseche che limitano la disponibilità. Ciò non significa che l'utilizzo di TLS aumenta la disponibilità perché TLS fornisce solo un trasporto sicuro.
Naturalmente, l'uso pratico di TLS potrebbe aumentare o diminuire la disponibilità. È possibile raggiungere una maggiore disponibilità, ad esempio perché il trasporto di dati sensibili come le password è protetto dallo sniffing e quindi è più difficile per un utente malintenzionato ottenere le credenziali necessarie per hackerare in un sistema specifico (il che ne ridurrebbe la disponibilità). Una disponibilità ridotta può accadere perché TLS ha bisogno di più risorse per lo stesso carico di traffico, quindi a meno che l'hardware non sia adattato di conseguenza, la disponibilità è inferiore a quella senza TLS.
Leggi altre domande sui tag internet tls availability