¿Son las claves de sesión solo las claves simétricas?

4

Por lo que leí, en TLS, el secreto maestro se usa para generar lo siguiente:

  • una clave simétrica para cifrar los registros SSL.
  • un IV (vector de inicialización)
  • una clave para el Código de autenticación de mensaje (MAC)

No estoy seguro de lo que significa el término "claves de sesión": ¿es solo la clave simétrica, o es el conjunto de todas las claves derivadas del secreto maestro?

    
pregunta ling 14.12.2014 - 06:57
fuente

1 respuesta

7

La RFC para TLS no contiene ni define el término Clave de sesión . Simplemente dice:

  

El secreto maestro se expande en una secuencia de bytes seguros, que   luego se divide en una clave MAC de escritura del cliente, una clave MAC de escritura del servidor, una   clave de cifrado de escritura del cliente y una clave de cifrado de escritura del servidor. Cada   de estos se genera a partir de la secuencia de bytes en ese orden. No usado   Los valores están vacíos. Algunas cifras AEAD también pueden requerir un cliente   escribe IV y un servidor escribe IV.

Por lo tanto, no hay una definición oficial de una clave de sesión en el contexto de SSL / TLS. Sin embargo, en general, una clave de sesión es simplemente una clave simétrica, que solo es válida para una sesión de comunicación en particular. Ahora, esta clave se puede utilizar como una clave de cifrado o una clave MAC. Simplemente tiene que ser una symmetric y válida para una sesión en particular. En el contexto de TLS, las personas generalmente usan el término claves de sesión para las cuatro claves derivadas del Secreto Maestro (clave de escritura del cliente, clave de MAC del servidor de escritura, clave de encriptación de la escritura del cliente y clave de encriptación de la escritura del servidor). Por ejemplo: el autor de este impresionante artículo de blog "Los primeros milisegundos de un Conexión HTTPS " ha utilizado el término para las cuatro claves mencionadas anteriormente.

PS: Recomiendo encarecidamente leer el artículo vinculado, si realmente desea obtener una comprensión profunda de SSL / TLS.

    
respondido por el Rahil Arora 14.12.2014 - 08:29
fuente

Lea otras preguntas en las etiquetas