TLS Estensioni: Omissione dei messaggi TLS Handshake

Naviga le tue risposte
2

Ho letto diverse RFC e non sono riuscito a trovare una risposta definitiva alla mia domanda: può un'estensione TLS negoziata saltare alcuni dei messaggi TLS Handshake ed essere comunque conforme alle specifiche TLS? Il mio obiettivo è sviluppare una nuova versione di TLS, mentre preferibilmente, rimanere compatibile con le versioni precedenti.

Qui, parlerò specificamente di TLS 1.2 , definito in RFC 5246 . Di seguito è riportato un flusso di messaggi per l'intera handshake (presa direttamente da RFC 5246): 

  Client                                          Server
  ------                                          ------      

  ClientHello                  -------->
                                                  ServerHello
                                                 Certificate*
                                           ServerKeyExchange*
                                          CertificateRequest*
                               <--------      ServerHelloDone
  Certificate*
  ClientKeyExchange
  CertificateVerify*
  [ChangeCipherSpec]
  Finished                     -------->
                                           [ChangeCipherSpec]
                               <--------             Finished
  Application Data             <------->     Application Data


* Indicates optional or situation-dependent messages that are not always sent.

Ora, so che è perfettamente legale per un'estensione TLS modificare la struttura di alcuni messaggi o aggiungere un nuovo messaggio , ma non sono sicuro se uno dei messaggi, non definito come facoltativo / dipendente dalla situazione può essere omesso.

Lascia che ti faccia un esempio concreto. Diciamo che creo una nuova estensione chiamata XYZ . Il client e il server negoziano quell'estensione nei loro messaggi ciao estesi. Sarebbe legale per l'estensione XYZ mandare il server a non inviare il messaggio ServerHelloDone ? Per quanto ho capito, questo è non legale .

RFC 5245 Sezione 4.4.1.4 afferma che: 

it would be technically possible to use extensions to change major 
  aspects of the design of TLS; for example the design of cipher 
  suite negotiation.  This is not recommended; it would be more 
  appropriate to define a new version of TLS -- particularly since 
  the TLS handshake algorithms have specific protection against 
  version rollback attacks based on the version number, and the 
  possibility of version rollback should be a significant 
  consideration in any major design change

Suppongo, tuttavia, che quegli aspetti principali non includano l'omissione di messaggi non contrassegnati come facoltativi / dipendenti dalla situazione nelle specifiche.

    
posta Illya Gerasymchuk 07.11.2017 - 13:06
fonte

2 risposte

1

Ho inviato questa stessa domanda alla mailing list TLS, e ho ottenuto una risposta che è, in effetti, legale per un'estensione da specificare per omettere messaggi non contrassegnati come opzionali / situazione- dipende dalla specifica.

Puoi trovare la discussione qui .

    
risposta data 08.11.2017 - 00:13
fonte
0

Non vedo alcun motivo per cui non è possibile eseguire il fork dal normale stato di handshake TLS e fare tutto ciò che si desidera in base a un'estensione. Soprattutto perché è stato negoziato e il client / server saprebbe come parlarci. Tuttavia, se sei conforme a TLS 1.2 dipende dalle modifiche apportate. Qualcosa come cambiare l'handshake ti porterebbe fuori dalla norma.

L'intento delle estensioni, credo, è di consentire al protocollo di tappare i buchi di sicurezza e fornire più opzioni di sicurezza. È chiaro da RFC 5246 che nel protocollo Handshake sono presenti messaggi facoltativi e obbligatori. Omettere qualsiasi messaggio richiesto violerebbe le specifiche. Esiste anche un ordine specifico per i messaggi di Handshake che, se modificati, violano le specifiche:

Sezione 7.4

The handshake protocol messages are presented below in the order they MUST be sent;

Non penso che saresti in grado di creare un nuovo protocollo conforme a TLS 1.2 nel modo che desideri.

    
risposta data 07.11.2017 - 13:19
fonte

Leggi altre domande sui tag

Segnalibri sicuri e portatili Le back back possono essere ragionevolmente ben nascoste nella comunicazione cifrata end-to-end?