Il certificato del client SSL / TLS "hash su tutti i messaggi precedenti" ha cancellato l'intero pacchetto TCP o solo i dati?

0

Abbiamo quale utilizza i certificati client TLS come meccanismo di autenticazione tra client e server.

C'è un dipartimento IT che vuole eseguire questa app attraverso un dispositivo firewall / proxy di qualche tipo (l'app client è su Internet, il server è dietro il loro firewall / dispositivo proxy) e apparentemente vogliono modificare le intestazioni TCP in qualche modo (non sono sicuro di cosa esattamente questo comporta e non sono stato in grado di scoprirlo)

Il dipartimento IT ci dice che funziona con altre app utilizzando SSL o TLS, ma nessuna di queste app utilizza certificati client.

In ogni caso, la connessione sicura non funziona. Per quanto ne so dalla lettura della documentazione, il processo di handshake non è fondamentalmente diverso nella prescrizione dei certificati client - la chiave di crittografia simmetrica viene comunque derivata allo stesso modo, ecc.

Ma una cosa che potrebbe non funzionare è il passaggio "hash su tutti i messaggi precedenti", in cui il client genera un hash di tutte le cose precedenti che ha inviato al server, lo firma con il client-cert privato chiave e lo invia al server.

Quindi, questo passo "hash su tutti i messaggi precedenti" include le intestazioni TCP? E quindi, questo reparto IT potrebbe causarne il fallimento modificando le intestazioni TCP?

In caso contrario, cosa significa esattamente?

Grazie per il tuo tempo

    
posta Orion Edwards 16.09.2014 - 05:18
fonte

1 risposta

5

È solo un hash sui messaggi TLS stessi e non sui dati TCP. I dati TCP vengono frequentemente modificati in rotta (si pensi al NAT, ecc.), Quindi tentare di eseguire l'hash sarebbe inutile.

Senza saperne di più su come sta fallendo, è difficile dire quale sia la causa. Ad esempio, se stanno eseguendo SSL MITM, fallirebbero con i certificati client, anche se il loro certificato del server fosse accettato. Un'altra possibilità è che stanno utilizzando alcuni dispositivi di tipo IPS che rilasciano pacchetti non riconosciuti e non riconoscono i messaggi dei certificati client.

Un PCAP della sessione potrebbe fare più luce.

    
risposta data 16.09.2014 - 06:09
fonte

Leggi altre domande sui tag