È possibile SSL su HIP (Host Identity Protocol)?

1

In questa panoramica relativamente breve del protocollo HIP (Host Identity Protocol) Protocollo di identità dell'host: Identifier / Locator Split per Host Mobility e Multihoming indicato

Most Internet applications can run unmodified over HIP, although only HIP-aware new applications using the extended socket interface can take better advantage of the new features that HIP provides. As HIP secures application data traffic with IPsec that is located logically “deep” within the networking stack, the challenge is to provide proper and understandable security indicators to the user to convince the user that the connection, for example, to a banking website, is secured. Such indicators can be developed as extensions to applications (for example, a security plug-in to the Firefox browser) or within a hostwide HIP management utility that controls all applications.

la frase evidenziata mi ha lasciato un po 'perplesso in quanto afferma indirettamente che i protocolli di livello superiore attualmente in uso come TLS non funzioneranno su HIP. Se funzionasse, non avremmo bisogno di un'altra soluzione, poiché abbiamo già l'autenticazione del server che è evidenziata nei browser. Quindi TLS funzionerà su HIP?

Fino ad ora pensavo che HIP avrebbe introdotto modifiche in TCP (vedi la frase citata prima) ma soprattutto che tutto dovrebbe funzionare bene, dato che l'architettura a strati di stack ip non rende trasparenti i layer connessi direttamente.

Oppure TLS diventerà un livello di sicurezza ridondante poiché HIP fornisce già la crittografia di autenticazione e trasporto dell'ospite con IPSec, in modo che TLS su HIP debba essere evitato ( rallenta e non fornisce ulteriore sicurezza se è in esecuzione HIP con autenticazione del certificato aggiuntiva ). Per questo abbiamo bisogno di un nuovo modo di evidenziare (HIP) gli host autenticati? (o usa quello vecchio per non confondere l'utente)

    
posta jannikb 26.05.2015 - 23:43
fonte

2 risposte

1

tl; dr: quest'ultimo.

HIP introduce un ulteriore livello tra TCP e IP e TLS funziona su TCP. Non c'è motivo per cui non dovrebbe funzionare, sarebbe solo un ulteriore livello di crittografia e autenticazione.

HIP è un protocollo di livello di rete e i suoi indirizzi sono un sottoinsieme speciale di indirizzi IPv6. Qualsiasi comunicazione a tali indirizzi su un host che supporta HIP viene protetta da HIP. Una delle sfide è che attualmente le applicazioni non hanno modo di sapere se qualsiasi comunicazione di testo apparentemente semplice verso qualche indirizzo IPv6 viene crittografata silenziosamente dallo stack di rete o meno, quindi non è possibile indicarlo su una barra degli indirizzi del browser. Basta controllare se l'indirizzo appartiene a quel blocco speciale IPv6 non è sufficiente, poiché un host che non supporta HIP potrebbe effettivamente trattare quegli indirizzi come normali indirizzi IPv6 e inviare i pacchetti di testo normale al gateway predefinito.

Un'altra sfida è che, poiché le identità dell'host sono autogenerate, non vi è alcuna autorità di certificazione o altra terza parte attendibile che è possibile chiedere se un'identità appartenga realmente a una determinata entità del mondo reale e la mostri agli utenti. Un certo livello di fiducia può essere raggiunto se gli identificatori vengono trasferiti su DNSSEC.

    
risposta data 28.05.2015 - 10:20
fonte
1

Cisco dice che HIP è un'alternativa a TLS :

HIP provides a network layer alternative to using Secure Sockets Layer/Transport Layer Security (SSL/TLS) for application security, which has its benefits and drawbacks. HIP is a generic solution that should work for any transport protocol, whereas until recently TLS supported only TCP. HIP enables host mobility and multihoming, which is not supported by TLS. TLS runs on top of TCP, leaving it vulnerable to various TCP attacks; for example, using spoofed reset (RST) packets or DoS attacks with SYNs. Applications must be designed explicitly to use TLS, whereas HIP can provide security as an add-on to existing traditional applications. On the other hand, TLS does not have a problem with traversing traditional middle-boxes such as NATs and firewalls that need special attention for HIP. Both protocols share the characteristic of endorsing host identity. TLS relies on certificates issued by one of the known Certification Authorities, whereas HIP can use Domain Name System Security Extensions (DNSSEC) [18] or a PKI infrastructure.

Per quanto riguarda la possibilità di eseguire TLS su HIPS, non sembra possibile. C'è un grande conflitto nei livelli in cui interagiscono.

    
risposta data 27.05.2015 - 00:58
fonte

Leggi altre domande sui tag