TLS WG Charter e obiettivi di sicurezza

Question

TLS WG Charter e obiettivi di sicurezza

#1 da (11 voti)

2

Stavo guardando lo Charter del gruppo di lavoro TLS . Ho notato che la riservatezza e l'integrità dei messaggi per coloro che lo desiderano sono non obiettivi per il gruppo.

Ingenuamente, credo che la riservatezza e l'integrità siano probabilmente i casi d'uso predominanti. Ci sono persino persone che [erroneamente] affermano di avere una sicurezza "end-to-end" con loro. Probabilmente non sono così popolari solo l'autenticazione (cioè, eNULL ) e solo la crittografia (cioè, aNULL ).

Perché gli mancano i requisiti di riservatezza e integrità per le parti che li desiderano?

Ecco il contesto: Crittografia del tipo di contenuto TLS 1.3 . Nel thread, è stato fatto un argomento per evitare cambiamenti che rompono le scatole del middleware. In effetti, penso che ciò significhi non rompere i proxy di intercettazione, non ostacolare l'analisi del traffico e facilitare altri metodi di attacco (cinismo da parte mia).

Ho pensato, ragazzo, che non può essere il caso. Sicuramente la carta afferma che riservatezza e integrità sono obiettivi di sicurezza e la progettazione di un protocollo che li sovverte sarebbe una violazione della carta.

tls integrity

posta jww 28.07.2014 - 17:21

fonte

1 risposta

Leggi altre domande sui tag tls integrity

forza bruta MD5 su un hash difettoso? Questo file PHP contiene un'eval in una variabile POST un'indicazione di compromesso?

score 11 · Accepted Answer

Quella "carta" è piuttosto terra-terra; non specifica che "TLS dovrebbe fornire riservatezza e integrità" perché ciò è considerato ovvio; invece, la carta è una roadmap per il futuro TLS 1.3 e quindi documenta le modifiche desiderabili da TLS 1.2.

Per quanto riguarda i messaggi della mailing list che stai indicando, penso che tu li stia interpretando in modo eccessivo. Il tipo di "scatole middleware" può essere, ad esempio, un sistema di bilanciamento del carico che deve ispezionare ClientHello messaggi in modo che reindirizzi i tentativi di ripresa della sessione al server che ha gestito quest'ultima sessione. Oppure un server RADIUS utilizzando EAP-TLS come protocollo di autenticazione: in EAP-TLS, il layer EAP deve riconoscere i limiti del record per poterli includere nei messaggi EAP. Queste sono ragioni molto legittime e non malvagie per i sistemi che risiedono tra il client TLS e il server per ispezionare i pacchetti e capire effettivamente le parti non crittografate del protocollo.

Il dialogo nella mailing-list è principalmente il seguente:

Dobbiamo crittografare tutte le cose! La nostra carta richiede ! Cambiamo il formato dell'intestazione del record.
Ciò interromperà i sistemi che si basano sul formato del record; questo potrebbe compromettere la compatibilità con le scatole del middleware (che alluderemo solo nei termini più vaghi). È veramente richiesto? O è un Cambio Gratuito, che è esplicitamente proibito dalla Nostra Carta?
Questo è necessario perché il campo del tipo di contenuto nell'intestazione consente malevoli attacchi di analisi del traffico (che non descriverò perché in realtà non conosco un simile attacco). L'analisi del traffico è molto seria! Cripta tutte le cose!
Ma la nostra Carta non parla di analisi del traffico! E l'analisi del traffico è molto più difficile da sconfiggere rispetto alla semplice crittografia delle intestazioni del tipo di contenuto del record. L'analisi del traffico è fuori dall'ambito!

e così via, ad nauseam. Intervallati nello scambio sono veri e propri bit di informazione, dai quali possiamo concludere che i membri del WG non sembrano aver raggiunto (ancora) un consenso sul livello di compatibilità a ritroso che TLS 1.3 dovrebbe avere con le versioni precedenti del protocollo. Soprattutto dal momento che tale compatibilità è definita in relazione al sistema esistente, distribuito che interagisce con il formato on-the-wire in vari modi che non sono necessariamente ben documentati.

Tuttavia, leggere queste e-mail come se il WG stesse cercando di promuovere una spionaggio generalizzato simile alla NSA sarebbe errato. Questo è un caso classico di "ragionamento del comitato" quando gli obiettivi e i vincoli reali sono stati specificati in modo insufficiente. Si può prevedere che la definizione di TLS 1.3 richiederà un po 'di tempo (anni) per giungere a buon fine.