TLS WG Charter y objetivos de seguridad

Navega tus respuestas
2

Estaba viendo la Carta del Grupo de Trabajo de TLS . Noté que la confidencialidad e integridad de los mensajes para aquellos que lo desean no son objetivos no para el grupo.

De manera ingenua, creo que la confidencialidad y la integridad son probablemente los casos de uso predominantes. Incluso hay personas que [incorrectamente] declaran que usted obtiene seguridad de "extremo a extremo" con ellos. La autenticación solo (es decir, eNULL ) y el cifrado solo (es decir, aNULL ) probablemente no sean tan populares.

¿Por qué los objetivos carecen de los requisitos de confidencialidad e integridad para las partes que los desean?

Aquí está el contexto: Cifrado del tipo de contenido TLS 1.3 . En el hilo, se creó un argumento para evitar cambios que rompan los cuadros de middleware. Efectivamente, creo que eso significa no interrumpir los poderes de intercepción, no obstaculizar el análisis del tráfico y facilitar otros métodos de ataque (cinismo por mi parte).

Pensé, muchacho, ese no puede ser el caso. Seguramente la integridad y la integridad de los estados de la carta constitutiva son objetivos de seguridad, y diseñar un protocolo que los subvierta sería una violación de la carta.

    
pregunta jww 28.07.2014 - 17:21
fuente

1 respuesta

11

Esa "carta" es más bien realista; no especifica que "TLS debería proporcionar confidencialidad e integridad" porque esto se considera obvio; en su lugar, la carta es una hoja de ruta hacia el futuro TLS 1.3 y, por tanto, documenta los cambios deseables de TLS 1.2.

En cuanto a los mensajes de la lista de correo a los que apunta, creo que los está interpretando en exceso. El tipo de "cajas de middleware" puede ser, por ejemplo, un sistema de equilibrador de carga que necesita inspeccionar los mensajes ClientHello para que redirija los intentos de reanudación de la sesión al servidor que la manejó por última vez. O un servidor RADIUS usando EAP-TLS como protocolo de autenticación: en EAP-TLS, la capa EAP debe reconocer los límites de los registros para incluirlos en los mensajes EAP. Estas son razones muy legítimas y no malvadas para que los sistemas que residen entre el cliente y el servidor TLS inspeccionen los paquetes y comprendan realmente las partes no cifradas del protocolo.

El diálogo en la lista de correo se realiza principalmente de la siguiente manera:

  • ¡Debemos cifrar todas las cosas! Nuestra Carta lo exige ! Cambiemos el formato del encabezado de registro.

  • Esto romperá los sistemas que dependen del formato de registro; esto puede romper la compatibilidad con las cajas de middleware (a las que me referiré solo en los términos más vagos). ¿Es realmente necesario? ¿O es un Cambio Gratuito, que está explícitamente prohibido por Nuestra Carta?

  • Esto es necesario porque el campo de tipo de contenido en el encabezado permite ataques malintencionados de análisis de tráfico (que no describiré porque en realidad no conozco tal ataque). El análisis del tráfico es muy serio! ¡Cifra todas las cosas!

  • ¡Pero nuestra Carta no habla de análisis de tráfico! Y el análisis de tráfico es mucho más difícil de vencer que simplemente cifrar los encabezados de tipo de contenido de registro. El análisis del tráfico está fuera de alcance!

y así sucesivamente, ad nauseam. Los intercambios en el intercambio son bits reales de información, de los cuales podemos concluir que los miembros del WG no parecen haber alcanzado (aún) un consenso en cuanto al nivel de compatibilidad con versiones anteriores que TLS 1.3 debería tener con las versiones anteriores del protocolo. Sobre todo porque la compatibilidad se define en relación con el sistema existente implementado que interactúa con el formato en línea de varias formas que no están necesariamente bien documentadas.

Sin embargo, leer estos correos electrónicos como si el WG intentara promover un espionaje generalizado similar a la NSA sería erróneo. Este es un caso clásico de "razonamiento de comité" cuando los objetivos y restricciones reales no se han especificado lo suficiente. Se puede predecir que la definición de TLS 1.3 tardará algún tiempo (años) en realizarse.

    
respondido por el Thomas Pornin 28.07.2014 - 21:43
fuente

Lea otras preguntas en las etiquetas

¿Cómo se pueden comprometer los datos http en una red segura? ¿Por qué PHP password_hash usa blowfish intstead threefish?